網路攻擊事件層出不窮,大家比較熟知的後果可能是資料損毀或隱私外洩,但它如今也可能導致一個人的死亡。
根據《美聯社》報導,德國廣告、服飾、通訊業重鎮杜塞道夫(Düsseldorf)區域發生一起醫院 IT 系統遭駭事件,導致原先有緊急狀況需送往該醫院的婦人,被醫院拒絕接收而必須送往其他城市的醫院,路程中不幸身亡。
A patient died when a German hospital was hit by ransomware, causing delays in life-saving treatment. Looks like the fears of healthcare cybersecurity professionals have come true 🙁 https://t.co/de0xjpF2VH
— Steve Christey Coley, BS 🐀 (@SushiDude) September 17, 2020
駭客攻擊漏洞,把醫院網路搞垮了
自上週四起,德國 Duesseldorf University(杜塞道夫大學)旗下附設的醫院、診所系統出現中斷現象,調查人員追溯此事件發現,駭客從系統中保護較弱的節點下手,攻擊了一個廣泛使用的附加軟體,而且沒有任何人察覺。
結果,駭客得逞了。醫院系統崩潰,導致醫護人員無法取得關鍵數據,所有急診病患被要求轉移到其他醫院,緊急手術也被延遲了。
這名婦人上週五因為突發狀況,原先預計被送往 Duesseldorf Hospital(杜塞道夫醫院),但因為醫院拒絕接收,被迫送往位於 Wuppertal(烏帕塔)的另一家醫院(距離 Duesseldorf 有 32 公里的車程),在車程中婦人不幸身亡。
攻擊目標是大學,不是醫院?
一份來自德國 North Rhine-Westphalia(北萊茵-西發利亞)司法部長的報告指稱,該醫院在上周對 30 台伺服器進行了加密,並在其中一台伺服器上發現了勒索通知。
根據德國新聞媒體 DPA 報導,這個勒索通知是針對杜塞道夫大學的(通知中告知請收件者聯繫,但沒有提及任何有關勒索金額得消息),並不是醫院(他們有關係)。
在當地警察與駭客聯繫,跟他說明相關醫院受到影響,並危及病人生命,駭客收回原先的勒索企圖,同時提供一組數字密鑰來解密。
德國當局目前仍在調查這名婦女的死亡與延遲急救的關聯,駭客可能涉嫌過失殺人罪。
醫院也要加強部署網路安全!
醫院整體連線系統、健保系統等成為網路攻擊目標的事件時有耳聞,許多網路安全專家也都各國醫院呼籲必須加強部署網路系統的安全,因為醫療院所高度依賴所有的網路連線,一旦崩解,將影響眾多病患的療程與醫護人員對病患資料的掌握。
即使攻擊僅僅是針對病患資料,而非整個系統設備,仍會損害病患的治療。根據《The Verge》報導,一項研究發現,在資料遭駭後的幾年裡,醫院因心髒病發作而導致的死亡率上升,原因可能是醫院必須轉移資源來應對攻擊或升級醫院的軟體來改變醫生的操作方式。
像是 2017 年的 WannaCry 網絡攻擊事件,就造成英國國家衛生服務系統的大崩解,雖然那次攻擊沒有連帶導致直接死亡,但在醫院系統部建安全的網路系統已成為各醫院系統必須正視的議題。
This may be the first confirmed death resulting from a cyberttack on healthcare infrastructure. https://t.co/O2mPziOgJu
— Andrew "Andy" Manoske 🔑 (@a2d2) September 17, 2020
這次德國婦女的死亡,實際原因還有待了解,如果真的是因為延遲治療,那真的史上第一起網路攻擊醫院系統造成的死亡。
參考資料
(本文提供合作夥伴轉載。首圖來源:unsplash)
