在過去的兩年里，考慮到疫情給患者造成的巨大損失，COVID-19病毒一直醫療保健組織的心腹之患——這是理所當然的。但另一個造成巨大傷害的威脅受到的關注比起COVID-19則微不足道——勒索軟件。雖然勒索軟件攻擊占據了很多頭條新聞，但經常在討論中缺失的這種威脅可能給患者造成的不可挽回的傷害。

網絡攻擊是一種不同類型的流行病，在過去幾年中大幅增加。它們已成為醫療保健行業所要應對的日常現實問題。醫療保健組織的領導者明白網絡威脅成為了一種“新常態”。但關于網絡風險的對話通常集中在底線，例如緩解、不合規或訴訟的成本。

對于一個以提高我們生活質量為使命的行業來說，令人驚訝的是，最大的網絡安全問題的關注視角始終圍繞著財務損失。醫療保健領導者、醫生和其他護理人員需要從一個新的視角——患者健康和安全——來看待網絡安全風險。 

勒索軟件和健康專業人士承諾“不傷害”

醫療保健專業人員致力于保護患者免受傷害。在當今的數字世界中，這項任務不再局限于直接護理服務。勒索軟件攻擊使患者面臨身體風險，并與可能危及生命的疾病一樣具有破壞性。

以2020年秋季使佛蒙特大學醫學中心（UVMC）運營癱瘓的襲擊為例。在勒索軟件關閉了對電子健康記錄等系統的訪問近一個月后，UVMC的癌癥中心不得不拒絕數百名化療患者。

癌癥診所主要為農村地區服務，因此網絡攻擊不僅讓許多患者感到恐懼、痛苦和流淚，而且沒有其他治療方法。《紐約時報》援引一名護士的話說：“（我）看著病患的眼睛，告訴他們不能接受延長生命或挽救生命的治療，這太可怕了，而且完全令人心碎。”

像UVMC患者這樣的故事很少在公共場合得到討論，但它們遠非獨一無二。根據Ponemon Institute最近的一份報告（PDF）顯示，在過去兩年中，43%的接受調查的醫療保健提供組織遭到勒索軟件攻擊。這其中導致的后果包括由于程序或測試延遲而導致的結果不佳（70%受勒索軟件影響的醫院經歷過），醫療程序并發癥增加（36%），死亡率上升（22%）。

重新思考網絡安全的重要性

ECRI是一家專注于患者安全的非營利組織，他們將網絡安全攻擊評為2022年最大的健康技術危害（PDF）。影響排名的因素包括嚴重性、頻率、廣度和可預防性。歐洲反對種族主義和不容忍委員會的報告強調，網絡安全事件“不僅會干擾業務運營——還可以擾亂患者護理，構成真正的人身傷害威脅”。

預計隨著威脅行為者以驚人的速度瞄準該行業，解決這種風險帶來的不利影響將迫在眉睫。UVMC就是一個很好的例子——就在幾天前，美國政府官員警告俄羅斯黑客即將對美國醫院進行網絡攻擊，他們襲擊了醫療中心。這不是第一次這樣的警報。

當然，網絡安全對該行業來說不是一個新問題。長期以來，IT和網絡安全專業人士一直敲響警笛，表明醫療保健是許多其他行業實施強大防御的幕后黑手。但勒索軟件威脅重新揭示了網絡安全的不足，因為對患者的影響是立竿見影的，其危害比數據泄露之類的東西大得多。

現在是決策者和醫療保健專業人員理解網絡安全對人類的好處以及網絡安全缺失或失敗時的人員損失的時候了。患者來到醫院或診所等待治療，通常是緊急的。如果醫療保健提供商因網絡犯罪分子劫持他們的系統而無法提供這些服務，那么他們就會侵犯患者的信任，并危及生命。考慮到該行業網絡攻擊的快速增長，像我們在UVMC看到的改變生活的情況將變得普遍。

投資于重要的事情

網絡安全在任何部門都不是容易解決的問題，但在醫療保健領域更是如此。環境的復雜性，包括連接的醫療設備、多個位置和遺留系統，造成了許多挑戰。一個典型的醫療保健組織擁有最低的IT預算遠遠不足以實施有效的網絡安全解決方案，這杯水車薪，無濟于事。

讓IT團隊幾乎沒有資源來抵御網絡攻擊不再是一種選擇。雖然醫療保健組織將大部分資金用于提供護理，但他們還需要認識到，在當今的環境中，護理的提供不僅依賴于醫療設備和人員，還依賴于強大的網絡安全防御。如果網絡安全是低優先級，那么護理的提供將受到影響。

你如何迫使決策者從新的角度看待他們的責任？首先就要告訴他們他們需要聽的故事。關于兩個孩子的母親被剝奪了救生待遇的故事。或者，護士將在受勒索軟件影響的醫療中心工作比作在波士頓馬拉松爆炸案后在燒傷病房工作。或者一位悲痛欲絕的母親將孩子死亡歸咎于勒索軟件攻擊。

這些不是恐嚇策略。它們是那種有助于將網絡安全風險轉化為人類影響的信息。如果這不能迫使董事會或其他決策者對網絡安全進行投資，會發生什么？