长期报道网络安全的记者贾伊库马尔·维贾扬认为,由于美国大力推进电子病历记录项目,眼下全国医疗系统的病历档案统统联网,这为黑客们拿医院下手提供了便利。而医院和保险公司的信息安全技术更新换代比较慢,安全意识又普遍较弱——服务器管理不设权限,设备不更改初始密码或设置过于简单,无线网络密码几乎人人能猜到……这样的例子比比皆是,黑客们才得以频频得手、日渐猖狂。
【怎样才能更安全?】
虽然迄今尚无报告显示黑客对医院的攻击造成病患伤亡,但不少业内人士呼吁,医院亟需加强数据安全工作,尤其在医疗设备上更要下工夫防范风险。
约翰斯·霍普金斯大学计算机学教授、网络安全专家阿维·鲁宾1月参加一个关于医学网络安全的大会时说,早在上世纪90年代,他参观东海岸医院时就发现不少医院计算机实验室密码保护过于简单,安全程序被随意更改,软件控制的药物调剂机器人缺少必要的保护程序。
“一旦(调剂药物的)软件出故障怎么办?要是有人攻击这个系统、导致药全都配错了怎么办?”鲁宾忧心忡忡地说。
眼下,美国不少医疗设备生产商开始和监管者一起,加强安全措施,防范网络袭击——
2013年,食品和药物管理局向医疗保健设备生产厂家发布网络安全备忘录,建议对方评估设备及相关网络安全;2014年,食品和药物管理局发布指导准则,要求医学设备上市前必须接受网络安全测试;2015年,食品和药物管理局联手国土安全部向医院发布警告,指出一种植入式药泵设计存在严重缺陷,能给黑客可乘之机;2016年1月,食品和药物管理局起草文件,要求设备生产商展开安全自检,同时允许第三方研究人员标注安全风险。
医学设备技术安全顾问斯科特·埃芬斯认为,如何平衡医学创新和监管之间的关系至关重要,但这一切不应以人的生命为代价。
埃芬斯说,虽然目前尚未发现有人蓄意针对医学设备发动网络攻击,但风险犹存。靠内部自省与外部监管不断完善是个漫长的过程,医院眼下至少还能做些补充防范措施,例如将安全风险最大的设备与外部网络断开,要求技术人员删除预设的安全凭证信息,加强无线网络安全,淘汰安全隐患较大的设备等。(王鑫方)(新华社专特稿)
