勒索軟件：我們如何爬出泥沼

付佳偉，海洛德·辛博貝，徐文淵，閆琛

勒索軟件：我們如何爬出泥沼

付佳偉，海洛德·辛博貝，徐文淵，閆琛

醫(yī)療信息安全專家呼吁，醫(yī)院必須像預防和治療疾病一樣確保醫(yī)療設備與信息系統(tǒng)的高可用性，因為勒索軟件只是表面癥狀，而非根本病因。

以WannaCry勒索軟件為例的計算機惡意軟件嚴重地擾亂了臨床工作的連貫性。美國國土安全部就此事件發(fā)布警報，受該勒索軟件漏洞影響的醫(yī)療設備產品多達數(shù)十款，包括腫瘤放療設備、移動式X線攝片機、超聲檢查與麻醉監(jiān)護設備等。雖然該惡意軟件在世界范圍的傳播因為一位好奇的22歲年輕人花11美元注冊了一個域名而暫時停止（并非玩笑），下一輪攻擊仍然會在毫無預警的情況下再次發(fā)生。

勒索軟件本身并非造成我們面前問題的罪魁禍首，它是我們醫(yī)療基礎設施中固有的設計缺陷所表現(xiàn)出來的癥狀。這些問題的根源是充斥著老舊醫(yī)療設備軟件的脆弱的基礎設施。

當我們了解了一種疾病之后，我們只是看看新聞然后希望自己永遠不要得病嗎？不是的，我們接種疫苗，避免前往高危地區(qū)，洗手，在與病原攜帶者接觸后立刻尋求醫(yī)療幫助。總之，我們?yōu)榱孙L險管理而未雨綢繆。

所以，什么策略可以有效地規(guī)避醫(yī)療設備信息安全風險，保護臨床操作不再被惡意軟件干擾？

只是采用新技術并不是答案。把不可維護的舊電腦換成不可維護的新電腦同樣也不是答案。一套有效的方法必須顧及醫(yī)療供應鏈的五個核心部分：制造、采購、法規(guī)、培訓、監(jiān)管。

首先，醫(yī)療設備生產商必須設計在網絡安全風險下也能夠保持安全有效運行的醫(yī)療設備。美國食品藥物管理局已經認可了AAMI TIR57等相關社會標準和最佳實踐，在醫(yī)療設備的設計環(huán)節(jié)構建信息安全。微軟公司在計劃淘汰Windows XP系統(tǒng)的第一天就警告了設備生產商。事實上，該操作系統(tǒng)被終結的命運在多年前就已經非常明確，其后的危險已被預先警告過。盡管設備生產商可能賣出了不可維護的產品，醫(yī)院在購買它們的時候同樣犯了錯誤。醫(yī)院積累了數(shù)十年的老舊設備，卻沒有財政機制來淘汰這些無法確保安全的設備。

醫(yī)院在做出采購決定時應當將網絡安全作為重要因素進行考慮，并參考例如梅奧醫(yī)學中心發(fā)布的網絡安全“廠商名錄”這類采購實踐。醫(yī)療設備應該配備軟件物料清單以便醫(yī)院做出基于風險的采購決定。醫(yī)院需要通過更好的服務合同來購買和維護更好的設備——他們需要跟蹤到庫存設備的端口數(shù)量、以太網MAC地址和軟件版本以更好的管理風險。設備生產商需要向供應商提供將醫(yī)療設備序列號與MAC地址映射的數(shù)據(jù)庫，使基于網絡的庫存跟蹤成為可能。

政府應該考慮建設一個國家試點醫(yī)院，進行醫(yī)療基礎設施的網絡攻擊承受度測試。類似汽車制造業(yè)的汽車耐撞性測試，消費者從這類測試中可以了解產品的風險。盡管對于患者來說，有醫(yī)療設備遠比沒有更安全，患者和醫(yī)院有權利在使用和購買一套醫(yī)療設備時了解他們所需要面對的風險。

監(jiān)管機構必須考慮到惡意軟件的非地域性問題，即它們不受國境的限制。相同的核心網絡安全問題無處不在，不同國家的醫(yī)療信息技術日常運作出乎意料地受相似的計算安全難題困擾。醫(yī)療設備監(jiān)管機構，例如美國的FDA、英國的MHRA和中國的CFDA，需要擁有知情權威和立法職權來保證醫(yī)療設備在網絡安全威脅下保持安全有效。

誰該對這些問題負責？誰處于經濟原因有動力解決這些問題？不幸的是，正如我們最近在勒索軟件上的慘敗所揭示的，去應對安全根本問題的人并不具被足夠的能力。政府可以強制淘汰無法確保安全的設備和操作系統(tǒng)，并由衛(wèi)生與公眾服務部的民權事務辦公室評估處罰（以美國為例）。

如果沒有連貫合理的監(jiān)管策略，我們與受暴利刺激的國際犯罪分子的斗爭將會是曠日持久的敗仗。例如，英國的《刑事司法法》假定信息技術不會出現(xiàn)安全錯誤。這種欠妥的法律敞開了誤導訴訟的偏門——出于好意的醫(yī)生和護士卻要為醫(yī)療系統(tǒng)和設備自身的缺陷擔負法律責任。立法本應推動廠商生產安全可靠的醫(yī)療設備，而不是處罰那些向廠商和監(jiān)管機構合情合理地報告問題的無辜的醫(yī)護人員和患者。

人力短缺一直是網絡安全的巨大阻礙。計算機科學專業(yè)的學生很少會選擇在醫(yī)療領域工作。需要注意，計算機科學的學生在幫助改進醫(yī)療衛(wèi)生行業(yè)上能夠起極大作用，特別是生物醫(yī)學工程雙專業(yè)是很好的選擇！設備廠商和政府應該通過提供卓著的研究生獎學金將最優(yōu)秀的學生吸引到這個領域，這樣廠商、醫(yī)院和政府就能夠填補他們在網絡安全方向上的職位空缺。

最后，醫(yī)院亟需有效的監(jiān)管體系以控制醫(yī)療設備的軟件安全風險。一個醫(yī)院應當指派一位管理高層，全權、全責負責包括生物醫(yī)學工程與信息技術部門的網絡安全，并擁有預算支持，實現(xiàn)對醫(yī)療安全的保障。

沒有任何醫(yī)療設備是絕對安全的，但一個醫(yī)院在遭受網絡攻擊后應該正常恢復，而不是承受數(shù)天的全系統(tǒng)中斷。在任何時候，患者都不應該被迫懷疑醫(yī)療衛(wèi)生服務的可用性與可信性。安全只是為了實現(xiàn)目標的一條途徑，而那個最終的目標就是安全、有效的醫(yī)療衛(wèi)生服務。

勒索軟件近期在全球范圍的爆發(fā)只是癥狀，是時候該我們采取建議和行動來改進制造、采購、法規(guī)、培訓、監(jiān)管這些環(huán)節(jié)的網絡安全了。除非網絡安全意識已經變成了像洗手一樣的第二天性，否則網絡安全問題的發(fā)生頻率與影響只會有增無減。

如果說這次事件能夠給我們一絲慰藉的話，也許就是促使廠商、醫(yī)療衛(wèi)生組織和政府開始戰(zhàn)略地思考如何改進醫(yī)療信息安全，而不再只是被動的應對了。

付佳偉博士，現(xiàn)為醫(yī)療網絡安全公司Virta Laboratories的首席執(zhí)行官和首席科學家，以及密歇根大學阿基米德醫(yī)療設備安全中心的主任。

海洛德·辛博貝博士，現(xiàn)為威爾士斯旺西大學計算機科學教授。他是皇家內科醫(yī)學院的榮譽院士，研究醫(yī)院信息技術問題。

徐文淵博士，現(xiàn)為浙江大學電氣學院教授，博導。

閆琛，現(xiàn)在為浙江大學電氣學院博士生。