五月2018

勒索软件唤醒电话
萨拉·埃尔金斯
郑重声明
第30卷第5页

对Allscripts SamSam的攻击是否足以让整个行业改变思路?

1月18日，SamSam勒索软件袭击了Allscripts基于云的电子病历服务器。该公司的数千名客户遭遇了7天的服务中断，引发了集体诉讼。

佛罗里达州博因顿海滩的Surfside非手术整形医院于1月25日提起诉讼，一天后服务完全恢复。诉讼称，“该公司未能审计或监控数据系统，导致其电子病历和电子处方系统瘫痪，并扰乱了患者护理。”

许多人对诉讼发起得如此之快感到惊讶，但对于Surfside医疗主任Glenn Chapman医学博士来说，长达一周的停电是最后一根稻草。根据查普曼的说法，电子病历经常宕机，尽管每次只宕机一个小时左右。他以为停电会很短暂，于是决定:“好吧，我们会继续工作。”马上就好。我们一直在努力，但情况并没有好转。”

在停电的痛苦中，查普曼收到了Allscripts的4000美元账单，这进一步激起了他的愤怒。不久之后，一家律师事务所找到查普曼，准备提起集体诉讼。他同意提起诉讼，希望该公司能够“追究Allscripts的责任，让他们为未能提供服务负责。”

根据查普曼的说法，获得可靠的电子病历服务的选择很少，这是勒索软件攻击之前他争论的一个问题。“我所能做的就是试着联系另一家电子病历公司，试着跳槽。我和Allscripts签了一份5年的合同。一旦他们抓到你，他们就抓到你了。如果我违约，除非我起诉他们，否则我几年就会欠下数万美元。”

采取集体诉讼的方式似乎是获得有利解决方案的最佳途径，因为正如查普曼所描述的那样，“当一个人起诉一家价值13亿美元的公司时，你知道这是多么有效。”

行业问题
查普曼的沮丧超越了SamSam攻击的细节，甚至超越了Allscripts。他断言，该行业为医生创造了一个不可能的环境，需要完全依赖一种远非万无一失的技术。

查普曼说:“(诉讼)的背景非常重要。作为一名医生，我们没有义务，但我们被强迫和感激拥有电子健康记录。是的，从技术上讲，你可以用纸，但这是不切实际的，而且要花很多钱。实际上，没有电子病历，医生就无法行医。”

与此同时，大多数小型企业负担不起大型的、基于服务器的电子病历(医院或医疗系统可能会购买的那种)，而且它们当然没有内部IT资源来支持如此强大的软件。基于云的技术更适合小型实践的独特需求，提供可负担性、灵活性和易于管理。不幸的是，在可靠性方面，云环境不如服务器环境。依赖云计算的电子病历的小型诊所被迫将糟糕的网络连接添加到他们的担忧列表中。即使软件能够无缝运行并避免勒索软件的攻击，这种做法的互联网提供商也可能会崩溃。对于查普曼和成千上万像他一样的人来说，这是一个进退两难的境地。

更重要的是，查普曼认为电子病历供应商正在利用像他这样的小公司所面临的不可能的情况。“(使用电子病历)是一项艰巨的任务。这不是掉以轻心的，这就是为什么大多数人，一旦他们有了一个，他们就不会换了。电子病历公司也知道这一点。”

集体诉讼是一个向歌利亚扔石头的机会，但这并不是说查普曼对结果过于自信。他担心利用法律制度可能会对他的业务造成什么影响。他担心这起诉讼可能会引起负面关注，但他相信自己在做正确的事情。

查普曼说:“这就是为什么这些大公司可以凌驾于我们之上。“没有人站出来说，‘不，这是错的。这就是我提起诉讼的原因。我至少要试着让他们对自己的行为负责。我不知道这件事会有什么结果。”

它会奏效吗?
现在预测诉讼结果还为时过早，而且自最初提起诉讼以来的几个月里没有任何消息。接下来会发生什么将取决于初步调查的发现。

根据uthehealth生物医学伦理学院教授Dean Sittig博士的说法，“诉讼可能会基于一些发现进行。例如，如果发现Allscripts在过去的6个月里没有更新他们的服务器，他们运行的是旧版本的软件，他们没有修补他们的系统，这对他们来说是很糟糕的。”

电子医疗网络认证委员会(Electronic Healthcare Network Accreditation Commission)执行董事Lee Barrett表示:“虽然我无法预测[诉讼]的结果，但受到任何违规或攻击影响的组织可能会损失客户收入，以及客户和/或利益相关者的信誉，这就是为什么在发生攻击或违规行为时，实体希望向其选民保证已采取适当的补救措施，并减轻了风险/漏洞。”

沟通失败
巴雷特建议组织与他们的选民进行沟通，这一建议指出了这种情况和类似情况中的问题:在事件发生期间和事件发生后缺乏清晰的沟通。当勒索软件攻击发生时，组织往往会转入地下。他们无疑在努力修复攻击，但很少将细节传达给他们的客户。因此，涉众没有意识到情况的严重性，也缺乏解决问题的时间表。

查普曼对袭击开始时他的诊所收到的信息并不满意。他说:“我们好几天都没有收到Allscripts的任何消息，你可以想象，当你试图打电话时，你在第一天之后就无法接通电话。”

有一些交流。他说:“我们确实收到了Allscripts首席执行官的一封电子邮件，说‘我们98%的服务都在正常运行’。”这一说法只会加剧查普曼的沮丧，因为尽管大多数服务可能都在正常运行，但它们完全无法访问。

在停机期间，Allscripts发布了许多tweet，其中大多数都表达了对供应商糟糕沟通的不满。沮丧的用户也在寻求故障会持续多久的答案，并对Allscript试图淡化攻击的影响表示不满。(Allscripts没有回应置评请求。)

Sittig表示，整个行业就恶意软件攻击进行沟通的方式还有改进的空间。他说:“我们应该分享更多关于它们如何发生以及发生了什么的信息。”“有些人会说，如果我们这样做，坏人就会知道我们在做什么，他们就会知道这有多容易。我想他们知道这一点，所以我不知道我们在隐瞒什么。”

西蒂格回忆起MedStar对2016年SamSam袭击事件的公开回应。“MedStar甚至在攻击结束几天后才承认他们有勒索软件。他们的策略是甚至不承认他们拥有它，即使人们在谈论它并展示截图。我们本应从中吸取教训。”

恢复服务
Allscripts收到的客户抱怨不仅仅是沟通不畅。供应商将其服务重新上线所花费的时间是对数千个实践造成最大经济损失的问题。在7天的停电期间，Surfside等做法无法操作。

例如，查普曼无法访问他的预约时间表，让病人知道系统宕机了。此外，他的预约提醒服务瘫痪了。许多病人没有按时就诊，导致收入损失。相反，当病人来就诊时，由于无法查阅病人记录，提供的护理受到了阻碍。因此，查普曼不能安全地执行许多程序，造成额外的收入损失。

简而言之，查普曼说:“我们的整个医疗存在，我的整个职业生涯都是通过电子病历来实现的，所以当电子病历下降时，我就没有职业了。这是件大事。”

Allscripts面临着重新分配数千个登录的艰巨任务，这是一项必要的工作，因为有证据表明用户登录已被泄露。这可不像访问备份数据那么简单，这也许可以解释为什么让服务重新上线需要这么长时间。

前进
随着勒索软件攻击得到补救，而集体诉讼的解决方案还没有出现，此时最相关的问题可能是:供应商和实践应该采取哪些不同的做法?

对巴雷特来说，答案很简单。“行业需要关注核心的基础风险评估战略和战术。这包括资产清单的开发、持续的风险和漏洞评估、密码协议的审查、软件补丁和更新，以及第三方供应商管理。”

尽管这些建议在业界得到了广泛认同和宣传，但勒索软件攻击仍然存在。

根据西蒂格的说法，这种脱节存在于人类行为中。“防范勒索软件是一个安全问题。安全问题的关键在于它给你的日常生活带来了不便。”“我在没有安全带的时代长大，我记得我不想系安全带。我花了很长时间才意识到，如果我不系安全带，我就不安全。不知何故，我们必须习惯于安全使用我们的计算机系统，这将使它们更难使用。”

巴雷特说，这些框架已经存在。他说，重要的下一步是通过健康信息信托联盟共同安全框架和电子医疗网络认证委员会的认证，利用国家标准与技术研究所的网络安全法规和现有法规。

与此同时，查普曼对如何避免另一次袭击的破坏性影响有一个想法。他说:“Allscripts能做的是让我们把自己的数据移植到一个单独的文件中，我可以把它保存在我自己的安全电脑上，这样我至少可以调出我的病人数据……即使只是他们的名字和电话号码，这样我就可以联系我的病人，让他们知道。”

根据Sittig的说法，学习曲线是陡峭的，坏人正在获胜。“这应该是一个警钟。这很不幸，但这种情况还会再次发生。”

萨拉·埃尔金斯是西弗吉尼亚州的一名自由撰稿人。