新西兰医疗系统网络攻击曝光的教训

关键要点

一项对新西兰威卡托地区卫生局（WDHB）在2021年遭遇的网络攻击的调查揭示，尽管已制定了应急响应计划并提前明确了网络安全的优先事项，但由于缺乏有效的实践准备和一系列其他失误，导致反应不佳。

虽然该卫生系统在攻击发生前有广泛的网络和信息安全政策及程序，但报告确认WDHB未能在事件发生前在模拟环境中测试其应急计划的可行性。应急响应计划甚至包括了清晰的角色和责任分配的建议，而团队成员“非常清楚网络安全的重要性”。WDHB还定期进行了独立的安全评估和监测安全控制。

但这些计划过于通用，未考虑到具体的威胁或风险。由于没有进行实际训练，WDHB在某些领域面临“计划可行性的问题”，例如在恢复和修复的优先级方面。

正如Mitre公司资深网络安全工程师MargieZuk所指出的，组织必须识别维护患者护理所需的系统，并同时具备经过充分练习的响应计划。“这些是关键部分，”Zuk说道。

WDHB在网络攻击之后接受了InPhySec的评估，同时也在2022年初合并到Te WhatuOra的背景下经历医疗系统管理流程的转型。合并是报告结论中的一个因素。

值得注意的是，报告还将其网络攻击和事件响应与2021年同一时期爱尔兰卫生服务机构（HSE）遭遇的数据泄露、勒索软件攻击和网络中断进行了比较。

虽然报告以全球医疗服务提供商为中心，但美国的相关机构应积极审阅该事后分析报告，并在适用时遵循安全团队的建议，以防止类似结果的发生。

正如之前SC媒体所报道的那样，WDHB在2021年5月遭遇了一次勒索软件攻击，启动了电子健康记录的停机程序，导致使用纸笔流程，取消预约和手术，延长患者护理延迟。

尽管报告未透露勒索软件攻击者的名称，但明确指出WDHB遭遇的是一个基于服务的勒索软件团体。“因此，确切识别执行攻击的团体可能很困难。”

该卫生系统雇佣了数百名外部IT工作人员来支持恢复工作，使得团队在一个月内恢复了20%的工作站和一半的服务器。然而，电话线路、临床系统和IT服务的中断仍在持续。实际上，唯一未受到网络攻击影响的服务是电子邮件系统。

当时，现场的临床医生和工作人员向当地媒体表示，受到影响的医院内情况“混乱”，各部门间无法发送实验室影像，无法访问病人记录。公众也被建议除非是危急情况，否则不要前往急救部门。

总体来看，WDHB从2021年5月大约停工至11月。报告显示，即便在五个月的停机后，一些系统仍未恢复正常功能。这也是对医院而言最长的网络中断之一。

报告小心翼翼地未将全部责任归咎于WDHB，鉴于该行业面临的勒索软件攻击的复杂性和频繁性，四家其他卫生系统在WDHB遭遇攻击时也遭到了电子健康记录的停机。

在首次黑客攻击发生时，WDHB正在经历“重大重组”，包括“紧迫的人员和组织变化”。报告指出，“理事会本身被架空，其工作被政府委托。”

这些变化意味着在事件发生时，工作人员对其职位相对较新，“整个组织正在应对一个重要、繁重的工作计划”，而这一切恰逢COVID-19疫情肆虐全球。

“这些挑战对所有参与