2021-2023年全球医疗行业网络安全重大事件盘点！

“互联网+医疗”、“智慧医疗”等新兴产业强势进入医疗行业各个环节，高效的信息交互提供了医疗系统的办公效率，同时在数据安全方面也面临巨大的挑战。本文整理了近3年医疗行业网络安全事件，供大家学习思考!

01

2023年

1、澳洲医疗中心遭网络攻击

据澳洲新闻集团5月5日报道，悉尼一家大型癌症治疗中心遭到黑客攻击，黑客要求该中心在7天内支付10万澳元，否则患者的个人数据可能会被泄露到网上。

报道称，周四晚间，新州卫生厅接到警告，称悉尼Westmead医院内的Crown Princess Mary Cancer Centre癌症治疗中心受到了勒索软件的威胁。

推特账户FalconFeedsio在下午3点左右发布了一份声明，称一个名为Medusa的组织是此次黑客攻击的幕后黑手。声明中称：“勒索软件组织Medusa将总部位于澳洲的Crown Princess Mary Cancer Centre癌症中心，添加到了其受害者名单中，他们声称会在七天内公布该机构的数据。”声明附上了一张图片，显示要下载或删除数据需要支付10万澳元的费用，此外每超时一天，赎金就会增加1万澳元。

2、衡阳一医院因数据保护不力造成泄露，当地网信办开出罚单！

衡南县某医院未履行数据安全保护义务，造成部分数据泄露，违反《中华人民共和国数据安全法》第二十九条规定。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定，对该医院作出责令整改，给予警告，并处罚款5万元的行政处罚。同时，对第三方技术公司及相关责任人处以1.2万元罚款。

02

2022年

1、数据泄露导致电子病历厂商被起诉

去年1月，总部位于田纳西州的电子病历厂商QRS被用户起诉。其原因是，自2021年8月份始，QRS公司没有采取有效的监测手段，未实施安全风险隐患加固措施，导致患者门户被攻击，数据被泄露。原告认为，“QRS公司未能合理地保护、监控和维护存储在其患者门户网站上的个人信息和法定保护的个人健康信息（PHI）”。

2、提出医疗设备物联网安全法案建议

去年4月，威斯康星州参议员Tammy Baldwin和路易斯安那州的Bill Cassidy博士针对医疗设备和网络安全措施提出新的法案建议，称之为“Protecting and Transforming Cyber Health Care Act”。该法案的目的是，要求医疗设备制造商，在通过FDA审批上市前，需要实施相关网络安全协议和程序，以确保用户能够妥善地应对国内外勒索软件病毒的攻击。尽管该法案没能得到通过，但是美国FDA发布了医疗器械网络安全指南（草案），以及应对突发事件的预案和应急响应手册。

3、联邦调查局对医院医疗设备进行网络安全风险评估

联邦调查局针对医院医疗设备的网络安全进行了评估。研究发现，胰岛素泵、心内除颤器、移动心脏遥测、起搏器和鞘内疼痛泵等医疗设备存在网络安全漏洞。调查发现，平均每台医疗设备有6.2个漏洞，约有40%的医疗设备没有安装安全补丁程序或进行软件升级。

4、网络安全导致Tenet Healthcare医疗集团运营中断

去年4月，总部位于达拉斯的Tenet Healthcare医疗集团遭受攻击，其550多个急诊医疗业务被迫中断，其中包括在马萨诸塞州救护车无法调度，佛罗里达州的医院无法使用电子病历系统。由于网络漏洞的存在，该医疗集团停止了业务运营，并在一周后发布了相关事件情况公告。

5、美Kaiser 医疗集团泄露了近 7 万份医疗记录

这是一起电子邮件泄露事件，攻击者获得了华盛顿 Kaiser 基金会健康计划公司一名雇员的电子邮件的访问权限，一直未授权访问该邮箱长达数个小时，其中包含大量的受保护的健康信息。该公司遭受了一次大规模的数据泄露，可能泄露了近 7 万名患者的医疗记录。

6、美医疗中心Broward Health数据泄露，超130万人受影响

Broward Health是一个位于佛罗里达州的医疗系统，有三十多个地点提供广泛的医疗服务，每年接收超过60000名入院病人。调查显示，入侵网站的黑客已获取到病人的个人信息，其中包括病人的出生日期、家庭住址、电话号码及银行信息等。

7、联邦调查局警告“齐柏林飞艇勒索软件”是针对医疗行业的病毒

去年8月，联邦调查局和国土安全部网络安全和基础设施安全局发布联合警报，称“齐柏林飞艇勒索软件”（Zeppelin）被用于针对医疗行业机构进行网络攻击。根据网络安全和基础设施安全局称，自2019年以来，网络犯罪分子已针对各种关键基础设施，组织部署“齐柏林飞艇勒索软件”，并要求对方以比特币支付高额赎金。该警报概述了相关策略，技术手段和工作程序，以及事件导致的后果，并提出帮助医院和卫生系统降低风险的建议。

8、澳洲最大私人健康保险公司Medibank遭遇重大网络安全事件

医疗巨头Medibank宣布，一群黑客在声称窃取了客户信息后，已与该保险公司取得联系，要求进行谈判。犯罪分子声称已窃取200GB的个人数据，包括姓名、地址和电话号码等重要信息，此次事件也使得390万名客户处于警戒状态。

Medibank表示：“犯罪团伙提供了100份保单的记录样本，我们认为这些保单来自我们的AHM和国际学生系统。这些数据包括名字和姓氏、地址、出生日期、医疗保险号码、保单编号、电话号码和一些索赔数据。”该保险公司称，被窃取的索赔数据中包括客户接受医疗服务的地点以及与诊断和程序相关的代码。该犯罪集团还声称窃取了信用卡安全数据，然而，Medibank的调查人员还未证实这一点。

9、CommonSpirit医疗集团遭受勒索病毒攻击

去年10月，CommonSpirit医疗集团遭受网络攻击。本次攻击导致分布在多个州的医疗机构业务工作大面积中断。CommonSpirit医疗集团在全国拥有350多家医院，是全美第二大非营利性连锁医院集团。在遭受网络攻击后，患者无法访问病历数据和登录患者门户，140多家医院不能正常运营。经过进一步调查发现，该事件还导致了患者病历数据泄露。

10、凯撒医疗集团员工安全违规导致患者电子病历信息泄漏

去年11月，凯撒医疗集团宣布，该单位一名员工非法访问了位于美国东中部几个州单位的患者医疗记录，导致患者基本信息和医疗信息泄露。在HIMSS 2022网络安全论坛上，在讨论单位内部安全威胁时，许多医疗信息技术专业人员表达了他们对电子病历访问控制管理上的担忧。

03

2021年

1、巴西医疗保健巨头遭 REvil 勒索软件攻击导致系统中断

2021 年 6 月，巴西最大的医疗诊断公司 Grupo Fleury 遭勒索软件攻击。该公司将其系统下线，业务运营中断，患者无法进行在线诊断或其他临床检查。据消息人士称，Grupo Fleury 此次遭遇的是 REvil 勒索软件攻击，此前该勒索软件攻击过的企业包括巴西的南里奥格兰德法院系统、核武器承包商 Sol Oriens 和全球最大的肉类生产商 JBS。据分析，此次解密赎金至少需要 500 万美金。REvil软件采用的是双重勒索攻击，即在加密设备之前窃取文件。如果数据被盗，此事件将会造成更严重的影响，因为包含大量患者的个人医疗数据。

2、北爱尔兰发生数据泄露后暂停疫苗在线认证服务

2021 年 7 月，北爱尔兰卫生部发生数据泄露事件后，暂停了其新冠疫苗在线接种认证服务。该政府机构表示，少量用户可能会接触到其他用户的数据，导致他们暂时停止服务。

此前在 2021 年 5 月，爱尔兰卫生服务执行机构（HSE）遭勒索软件攻击，导致 HSE 所有 IT 系统被关闭，其内部电子邮件系统也因此无法使用。爱尔兰政府的国家网络安全中心（NCSC）表示，攻击者使用一年前出现的 Conti 勒索软件实施攻击。HSE 受到攻击的细节未披露，勒索团伙索要大约 2000 万美元的赎金。

3、意大利地方疫苗接种预约系统因网络攻击被迫关闭

2021 年 7 月底，黑客攻击了管理意大利罗马周边的拉齐奥地区 COVID-19 疫苗预约的公司 IT 系统，导致该系统被迫关闭。包括该地区的卫生门户网站和疫苗接种网络的系统在内的所有的系统都被停用，相关部门警告说接种计划可能会受到延误。据安莎社报道，意大利邮政警察和罗马检察官正在调查此事，并可能展开调查以找出攻击的幕后黑手。事件发生前，意大利跟随法国宣布，接种疫苗或提供 COVID-19 免疫证明，将成为参加各种聚集活动的强制要求。

4、美国一 DNA 检测公司敏感数据泄露影响 210 万用户

2021 年 8 月，位于美国俄亥俄州一家进行 DNA 检测服务的 DNA 诊断中心检测到自身系统发生了一起数据泄露事件。黑客利用漏洞，访问了该公司 2004 年至 2012 年期间用户包括姓名、财务帐号、社会安全号码、信用卡 / 借记卡号码及其安全码在内的高度敏感个人数据，其中超过 210 万名用户的敏感个人和财务数据被窃取。该公司表示，没有基因检测数据因此次数据泄露事件而暴露。

5、美国数十家医院诊所系统瘫痪，患者紧急转移

2021 年 8 月，美国医疗连锁机构 Memorial Health System 遭遇勒索软件攻击，致使 IT 系统瘫痪，旗下三家医院无法正常运营。三家医院只能着手将急诊病患转移至卡姆登克拉克医疗中心。除此之外，位于俄亥俄州贝尔普雷市贝尔普雷医学园区一处独立急诊室的重症监护设施也受到了同一波攻势的影响。

6、美国阿拉巴马州婴儿因勒索软件攻击不幸去世

2021 年 9 月，一名因勒索软件攻击去世的婴儿的母亲对医疗中心提起诉讼，认为医疗中心应对此事件负责。半年多前，美国阿拉巴马州 Springhill 医疗中心遭勒索软件攻击，但很快发布通告目前医院运营并没有受到影响，但实际上部分电子设备已失效，这也导致医护人员监测不到婴儿的状况。待发现问题后，婴儿已出现了严重的脑损伤，在持续供氧九个月后去世。医护人员否认是他们造成婴儿死亡，并补充说根据州法律，医院没有法律义务通知病人网络攻击情况。该案预计将于明年 11 月开审，《华尔街日报》表示，如果指控得到证实，这将是勒索软件攻击首次直接导致个人死亡。

7、加拿大卫生网络遭遇史上最严重网络攻击致敏感数据泄露

2021 年 10 月 30 日，加拿大纽芬兰和拉布拉多省（简称纽省）的卫生网络遭到网络攻击瘫痪，导致全省数千人的医疗预约（包括化疗）被取消，多个地方卫生系统被迫重新使用纸张。直到 11 月 4 日，管辖着 13000 名员工的纽省东部地区卫生局才宣布，内部电子邮件系统重新上线运行。

纽省政府于 11 月 9 日在公告中表示，黑客窃取了近 14 年以来众多东部卫生系统数据，包括姓名、地址、医保编号、社会保险在内的多种患者与员工的个人信息，以及拉布拉多 GrenfellHealth 近 9 年以来的敏感内容。有外部专家表示，此次事件具有勒索软件攻击的一切迹象，包括黑客渗透进 IT 网络内部，并要求受害者付款以换取访问恢复。安全专家认为，加拿大应该把这起针对纽省卫生系统的网络攻击视为国家级安全问题。

8、美国一计划生育协会遭勒索攻击，数十万患者个人信息泄露

2021 年 10 月，美国洛杉矶计划生育协会网络系统感染勒索软件，黑客获取了包括数十万名患者个人信息的文件，包括患者姓名、地址、保险信息等基本信息和临床信息、诊断手术和处方信息等敏感医疗信息。计划生育协会不仅提供堕胎服务，还提供生育控制、性病检测、激素治疗等医疗服务，所以患者信息极其敏感和有价值。

来源：数据安全域

原文始发于微信公众号（杭州数据安全联盟）：2021-2023年全球医疗行业网络安全重大事件盘点！