医院勒索软件攻击：这就是网络安全成功故事听起来的样子

主要的勒索软件攻击很可怕，但对医院来说，情况更糟。2021 年 8 月的一次值得注意的袭击迫使俄亥俄州纪念卫生系统急诊室关闭（患者被转移到其他医院）。在所有医院袭击中，患者的健康、安全、隐私和生命都面临风险。 但这一事件也表明，无论目标是医院还是任何其他类型的组织，花费在预防攻击上的时间和金钱几乎总是值得的。 

但是，如果保护措施失败了怎么办？一旦攻击已经发生，可以做什么？ 

一位医疗保健 IT 主管树立了一个很好的例子，说明当检测到主动勒索软件攻击时该怎么做。 

他的名字叫 Jamie Hussey，在佛罗里达州的杰克逊医院工作，这是美国最近成为勒索软件攻击目标的数十家医院之一。这一切都始于一月初的一个周日晚上午夜时分。急诊室的工作人员打电话给 IT 部门，称医生无法访问患者的病历记录。Hussey 发现勒索软件感染了外部供应商维护的图表软件。 

所有 IT 部门都应该研究接下来发生的事情，以此作为正确做法的示例。 

如何遏制勒索软件攻击

赫西迅速敦促采取激进行动。他敦促立即关闭整个医院的计算机系统。他们答应了。在计划中的称为停机程序的应急措施下，医院工作人员开始使用笔和纸来记录数据和交流。医护人员手写处方。 

IT 人员随后调查了攻击的性质。他们发现攻击者在杰克逊医院用于存储与患者记录无关的文件的计算机上使用 Mespinosa 勒索软件加密文件。（攻击者使用Mespinoza 攻击数百个目标，包括医疗保健和健康相关组织。）

然后，该团队彻底检查了他们的完整医院计算机系统列表是否存在感染。一旦发现干净，他们将它们一一重新连接到网络。最后，该团队使受感染的 ER 图表系统重新上线。 

诊断

主要的收获不是组织可以在勒索软件攻击开始后阻止它，而是这种准备能够实现遏制。杰克逊医院发生的一切都是计划的一部分。 

例如，发现勒索软件攻击的那一刻并不是将利益相关者或领导者聚集在一起开始就是否关闭整个组织的计算机系统 进行争论和谈判的时候。

在医院，医生和外科医生在生死攸关的问题上处于最高权力的地位。很容易想象，在紧急情况下，医生可能会否决安保人员关闭急诊室的计算机系统，从而对患者和患者记录造成不必要的风险。在发现正在进行的勒索软件攻击的情况下关闭的决定必须提前做出 并得到所有相关人员的同意。 

在新闻采访中，Hussey 承认组织极端反对让所有系统脱机。但正如他所指出的，这通常是主要和次要中断之间的区别。 

勒索软件准备 

作为政策和网络安全培训的一部分，一套在系统停机时运行的实践和政策是在勒索软件攻击中幸存下来的重要组成部分。系统可能会停机数小时、数天或数周。

底线是勒索软件预防是最好的良药。但是，预防只是准备工作的一部分。如果勒索软件攻击实际发生，另一部分是快速行动并做正确的事情。医院 IT 主管的快速行动使该组织免于遭受广泛而灾难性的勒索软件攻击。