Mt.San Rafael医院在今年早些时候就挫败了一起对其姐妹医院之一的勒索软件攻击。其首席信息官Michael Archuleta表示，该组织仍在研究黑客攻击的细节。Archuleta的医院是BridgeCare医疗网络的一部分，该网络包括了科罗拉多州的五家医院。

“如果我们没有自动化和智能来捕捉和阻止它的话，这就可能会是一个糟糕的问题。”Archuleta说。

绝大多数勒索软件源于员工打开的恶意电子邮件附件，并会在无意中通过网络传播。攻击者可以利用此漏洞锁定系统，并要求付费才能释放它们。

不是每个组织都能如此迅速地捕捉到恶意行为。问问2020年SolarWinds天罗地网中的受害者就知道了，该网络渗透到了软件供应链，并像野火一样蔓延到了包括美国国务院在内的数千家企业和政府机构。事实证明，这场全球流感大流行为犯罪者提供了一个绝佳的机会，使他们能够对每个正在应对COVID-19对其业务产生影响的行业发动网络安全攻击。

医疗保健行业是网络攻击的最佳目标

在所有的数字攻击中，也许没有哪个行业比医疗保健行业更难对付勒索软件了，医疗保健行业丰富的互联计算机、医疗设备和患者信息使其成为了攻击者的宝库。根据网络安全供应商CrowdStrike的2021年全球威胁报告，仅在2020年，就有18个勒索软件家族感染了104家医疗机构，包括医院、制药公司和生物医药公司。

Gartner的分析师Paul Proctor表示，在抵御攻击方面，“从网络安全的角度来看，医疗保健组织往往没有像其他机构那样做好准备。”他说，他已经接听了医院首席信息官和安全负责人关于疫情大流行期间所遇威胁的几个电话。有些人想知道他们能做些什么来更好地阻止攻击;其他人甚至已经经历了被突破的“变革时刻”。

令宝洁公司感到惊讶的是，高管决策者在继续抵制承认他们所依赖的支持其组织的技术的重要性。许多医疗保健高管仍在继续将网络安全视为合规性问题，而不是存在的业务风险。因此，许多医疗保健组织仍然对技术投资不足，未能对其员工进行基本的网络安全教育，例如该如何识别网络钓鱼攻击。

“银行高管非常重视安全问题;而医院管理人员则不会这样做，”Proctor说。

医院IT需加强自身以抵御攻击

Mt.San Rafael的Archuleta对此表示赞同，他指出，金融和能源等行业的网络安全状况比医疗机构要好。Archuleta说，尽管在疫情爆发期间看到了更多的攻击，但许多组织仍然只是依赖着网络安全，而没有将其作为核心IT战略的一部分。

“网络一直在被视为成本中心，而不是战略收入贡献者，”他说。“我们需要推动创新。”

为了保护他的医院，Arculeta部署了Cylera软件来监控跨越放射科机器、计算机和其他设备的物联网网络。“它提供了鹰眼式的视角”，涵盖了从IP地址和操作系统再到打印机和虚拟局域网的一切，Archuleta说。IT人员可以在仪表板上查看软件，并根据风险来对威胁进行分类，如果检测到异常，该软件就会将设备或系统从网络上断开。

Mt.San Rafael的防御战略还包括了戴尔、思科和Splunk的软件和硬件。Archuleta还提供了网络安全教育，以确保“强大的人类防火墙”。

在疫情大流行期间，勒索软件和其他网络威胁的兴起也引起了其他医疗机构的关注。例如，Cedars-Sinai医院就已经“部署了很多东西”，以保护该组织免受勒索软件和各种威胁，其首席信息官Darren Dworkin表示。

例如，IT部门扩大了医院的虚拟桌面基础设施，以容纳更多在家工作的员工，并在家庭计算机上部署监控工具。

“最重要的是，去做更多的事情，包括对安全运营中心和事故管理工具的依赖，” Dworkin告诉记者。

勒索软件是主要关注点

布鲁克林医院中心的首席信息官Sam Amirfar博士说，自他2014年加入该组织以来，寻找弱点的机器人数量在急剧增加。这些机器人会发现漏洞并将其转发给人类犯罪者，然后他们就可以将目标的有效载荷投放到勒索软件设施当中了。“你会对一些攻击的老练程度感到敬畏，”Amirfar告诉记者。

Amirfar将医疗系统攻击的增加归因于复杂的黑客工具和比特币等加密货币的兴起，这使得犯罪分子能更容易的接受匿名支付。他尤其担心犯罪者会欺骗因疫情而变得疲惫不堪、压力巨大的医护人员，让他们点击电子邮件和短信中的恶意链接。

虽然该中心很小，只有一个大约有200张床的设施，但它靠近巴克莱中心竞技场，那里会举办专业篮球比赛和音乐会等活动，因此也是一个潜在的目标。

Amirfar提出了以下假设：假设一名流行歌星在巴克莱中心表演时腿部受伤，就会被送往该中心进行治疗。如果信息公开，医院就会成为众矢之的。Amirfar担心黑客可能会对医院发起勒索软件攻击，用加密软件锁定其计算机，并要求用比特币支付以释放解密密钥。

这种看似合理的场景让Amirfar晚上很难睡得舒服，尽管他已经付钱给了思科系统公司来为医院管理一个SOC，该系统运营着2200多台电脑和500台服务器。如果思科检测到可疑的东西，就会关闭它，并立即提醒Amirfar的团队。

“思科建立了一个庞大的安全网，”Amirfar说。在一个月内，该中心记录了超过1.48亿起安全事件，思科对这些事件分别进行了分析、驳回或调查。在这1.48亿次事件中，思科对248人进行了进一步调查，其中不到三分之一的人被提升到了Amirfar的团队进行最终解决。

即便如此，Amirfar承认医院也只是“一场伟大的数字战争中的棋子。”

“如果国务院都不能保护自己，我将不知道我们该如何保护自己，”Amirfar补充道，暗指了SolarWinds的袭击。