放射科勒索软件攻击的应对策略

 
Responding to a Ransomware Attack in Radiology
 

为防范未来可能发生的攻击,我们推出了两项新举措:制定国家网络安全政策并设立网络安全办公室;在扫描仪上部署存档备份解决方案。

试想您所在的放射科无法访问 PACS、RIS,甚至连邮件都无法使用。您将如何生成和分发诊断报告?如何实现影像存档?而这正是我们放射科在遭遇网络攻击后陷入的窘迫困境。请继续阅读,了解我们是如何应对这次放射科勒索病毒攻击的——若您遭遇类似事件,愿我们的经验能为您提供参考。

2021 年 5 月,都柏林圣詹姆斯医院成为爱尔兰卫生服务执行局 (HSE) 网络攻击事件的 54 家受影响的公立医院之一。此次攻击由 Conti 团伙发起,该组织是一个技术娴熟、以经济利益为目的的犯罪集团。这是史上已知针对医疗服务计算机系统发起的规模最大的一次攻击,且发生在新冠疫情(COVID-19)期间 (1).

我们放射科算是较为幸运,PACS 系统“仅”中断了 6 天。而爱尔兰其他医疗机构的 PACS 系统中断时间长达近 5 周。此外,从攻击发生到 HSE 管辖内大部分系统与应用程序完全恢复,总共花费了近 4 个月的时间。

从钓鱼攻击到文件加密

此次攻击始于一次钓鱼尝试。钓鱼攻击是一种网络犯罪手段,诈骗者通过伪装成可信来源,诱使受害者泄露个人信息或破坏系统安全。在我们的案例中,HSE 的一名员工打开电子邮件中的 Excel 附件时启动了一种恶意软件。在该恶意软件被检测到之前,它已扩散至多家医院的网络系统中。2021 年 5 月 14 日,Conti 犯罪集团激活了该恶意软件。HSE 全体员工的电脑屏幕上闪现出这条不祥消息:“您的所有文件已被 CONTI 勒索软件加密。”若试图忽视我们,您应知悉:我们已下载数据,若您不作出回应,我们将在新闻网站公开这些数据。”

顷刻之间,HSE 80% 的 IT 环境陷入加密状态。IT 部门的紧急应对措施是关闭所有网络连接,以此限制恶意软件的扩散。此举导致我们与外部科室的沟通几乎完全中断,就连互联网也陷入瘫痪。尽管国家 PACS 系统未被病毒侵袭,但已与网络断开连接,实际上处于停用状态。我们所有的影像设备都无法连接至存档系统。我们无法出具检查报告,临床医生也无法查看影像和报告。医疗服务因此严重中断,给患者及其诊疗过程带来了负面影响。从规模上看,放射科业务量的下降幅度,与新冠疫情首次封锁期间的情况相当。

放射科勒索软件攻击的应对措施
放射科报告出具方案

当时,我们唯一能正常运作的只有影像设备。没有 PACS/RIS。没有网络。我们无法访问邮件或共享文件。最初,我们只能直接从影像设备上查看影像,流程繁琐且缓慢。我院外的部分科室搭建了带有小型 PACS 的临时网络。即便我们的本地网络恢复后,远程报告系统仍中断了数月之久。

检查申请与报告分发

幸好我们还有手机。我们高度依赖手机,通过安全邮件创建并发送报告。幸运的是,我们仍能通过智能手机访问基于云的听写系统 (T-Pro)。在有些情况下,我们使用纸张和钢笔借助复写纸制成报告副本。那些胶片打印机仍可用的科室,则依靠打印机将 X 光片打印出来,送往其他远程科室及本院急诊科。

需要重点说明的是,HSE 的所有通信系统,主要是邮件系统,均已瘫痪。这不仅严重阻碍了与工作人员之间的沟通,也意味着我们无法将邮件系统作为报告分发的备用渠道。

response-to-ransomware-diagram-everything-rad

图表由都柏林圣三一学院圣詹姆斯医院的 Niall Sheehy 博士提供。

临时存档方案

可想而知,由于影像设备与 PACS 系统断开连接,影像存档成了一大难题。当然,受全院网络攻击的影响,我们的检查扫描量已大幅减少。即便如此,扫描仪的存储空间仍很快就满了。我们科室靠着 IR 工作站的备用存储空间,撑过了无法访问 PACS 的 5 天。但其他科室的本地存储很快也告急,不得不另想应对办法。

系统恢复后的影像核对工作

即便 RIS/PACS 系统恢复了,后续工作也远未结束。我们仍面临的问题是,需要将通过临时系统生成的报告与恢复后的 RIS/PACS 进行关联。每一份扫描影像都必须有对应的检查申请,每一份检查申请又必须有对应的报告。部分科室总共耗时数月才完成这一工作。

此外,HSE 针对攻击的 IT 响应措施(虽属必要)带来的影响与攻击本身的影响同样重大。所有工作站和服务器上安装的新终端软件是在一夜之间紧急部署的,且未经过测试。这引发了诸多问题,导致我们科室及所有其他放射科在数周内都无法正常访问 PACS,直到相关的例外设置问题得到解决。

与新冠疫情危机时一样,科室全体工作人员以及 IT 支持团队(包括院内团队和厂商支持人员)的应对表现都极为出色,每个人都在全力以赴,助力系统恢复。

此次勒索软件攻击总共给 HSE 造成的相关损失估计超过 1 亿欧元,此外还有高额的法律费用尚未结算。此外,113,000 万名患者和工作人员的个人信息被窃取。

保障未来安全

当然,如今 HSE 和我们的系统已更加安全。以下是 HSE 实施的关键改进措施,供您的医疗机构参考:

  • 我们对国家级 PACS 进行了重大升级,为其搭建了基于私有云的高安全性架构。这一改进不仅能提升系统的抗风险能力,还能加快系统恢复上线的速度。未来,我们可能会全面转向云解决方案。
  • 我们在本地及全国性网络中部署了终端软件和其他安全增强工具——初期故障排除后运行良好。
  • 我们制定了全国统一的网络安全政策,并设立了网络安全办公室。
  • 我们在扫描仪上部署了存档备份解决方案,确保 PACS 不可用时快速切换。
  • 目前,多家医院储备了可紧急部署的 IT/网络设备,用于重建基础系统。他们还安装了含特定配置策略/IT 基础设施的“隐藏式”服务器,一旦主系统瘫痪,可立即用于快速搭建基础网络。
  • 我们正逐步采用非本地部署的邮件及其他通信系统,确保在遭遇攻击时,仍能与工作人员保持联系。

在国际层面上,已有部分科室开始将其 PACS 系统迁移至云平台。云系统具备多项优势。首先,云系统通常拥有更多层安全防护,且配备更专业的专职人员。其次,云端会留存多份数据备份,因此系统恢复更简便。最后,用户数据通常会进行加密处理,极大增加黑客访问难度。

social_secure_by_design_blog
 

CARESTREAM ImageView 软件具备先进的安全功能,可帮助您抵御不断变化的网络安全风险,守护患者诊疗标准、法规合规性、机构声誉和财务安全。

除了参考我们采取的应对措施外,我还建议各放射科关注其他潜在漏洞,例如 IT 人员配置不足、多软件版本并存、应用程序冗余,以及系统备份不可靠。若不幸遭遇类似困境,我的最终建议是灵活应变、快速适应、全力攻克。

希望我们在应对放射科勒索攻击中的经验能为您提供有价值参考。感谢阅读!

参考文件

1 https://www.hse.ie/eng/services/publications/conti-cyber-attack-on-the-hse-full-report.pdf

Niall-Sheehy

Niall Sheehy 博士,医学学士、皇家内科医师学会会员、爱尔兰皇家外科医学院放射学研究员

Niall Sheehy 博士,医学学士、皇家内科医师学会会员、爱尔兰皇家外科医学院放射学研究员,现任都柏林圣三一学院圣詹姆斯医院副教授及放射科医师。自 2008 年起从事放射学临床实践,曾任爱尔兰皇家外科医学院放射学院院长。2008-2012 年,他作为首席放射科医生参与了爱尔兰全国 PACS 采购项目,并于 2013-2019 年担任爱尔兰最大医院临床总监期间监督 PACS 系统转型工作。Sheehy博士在 2023 年欧洲放射学会会议上分享了相关内容,并就该主题在此次大会上发表了演讲。

本文仅用于知识普及,不构成锐珂健康提供的专业建议。对于圣詹姆斯医院的经验是否适用于您的具体情况,锐珂不作出任何声明。