一种名为WanaCrypt0r的严重勒索软件攻击目前正在影响74个国家中的各种个人和公司。首批受影响的是英国多家国民医疗服务体系(NHS)的医院,其关键患者数据已被劫持。攻击者要求支付300美元的比特币赎金,比特币通常是此类不法行为的首选加密货币。作为回应,受影响的国民医疗服务体系医院正在取消预约,并敦促所有非紧急情况的患者在情况解决之前远离医院。攻击者利用被劫持的健康数据进行勒索,这凸显了现代互联网的一个基本真相:所有数据都可能成为一种责任,保护敏感数据绝不能是事后诸葛亮。
医院将观察结果转化为数据,通常是高度敏感的数据,并且是为成千上万的个人进行的。这些数据是值得勒索的“黄金”。当勒索软件攻击家用电脑时,犯罪分子对个人最多也就能收取有限的费用,而且有一些安全服务和工具可供个人使用,以保护自己免受后续攻击。个人几乎无能为力来保护其在医院系统中持有的深度个人信息,这应该促使医院优先考虑保护其数据。否则,像这样的勒索攻击可能迫使医院立即支付赎金,否则将遭受数据永久丢失的风险。
专注于特定医疗设备的安全研究人员经常发现基本的安全漏洞,例如无需身份验证即可更新固件的药物注射器或心脏起搏器。其中一种弱点甚至导致美国食品药品监督管理局(FDA)呼吁医院停止使用易受攻击的设备。然而,在医院中,访问数据可能是最严重的网络安全风险。
从保险提供商那里窃取的个人资料在黑市上的价值可能高达信用卡的二十倍。利用医疗信息,人们可以欺诈性地获取具有黑市转售价值的药物,甚至进行医疗身份盗窃。对特定医疗设备(如胰岛素泵或心脏起搏器)设置赎金,可以使犯罪分子勒索需要这些机器的患者或让他们遭受痛苦。
在一个依赖数据的医院里,无法访问这些信息甚至会威胁到最微小的细节,比如如何喂养病人。
部分问题似乎在于医院的电脑运行的是较旧、易受攻击的操作系统,未来可以通过要求从一开始就提供更好的安全性的法规来解决,但这肯定无法解决当前正在展开的问题。确实似乎有人支付了300美元的比特币赎金,但几乎可以肯定的是,在这场风波结束之前,还会有更多的金钱交易。
这次勒索软件攻击并不局限于NHS,尽管攻击医院可能是最糟糕的结果。西班牙的几家公司也似乎受到了同一种勒索软件攻击的影响。截至下午,此次攻击已蔓延至另外74个国家。此次攻击似乎专注于由NSA发现并在NSA文件泄露中公布的Windows漏洞。微软在三月份就公布了修补此漏洞的方法,但修补网络安全漏洞并非总是优先事项,即使补丁已提供给最终用户。
糟糕的网络安全实践和宽松的补丁管理导致像勒索软件这样恶意程序进入NHS系统的后果之一。而且,NHS似乎并未做好充分准备来阻止这类攻击。2016年11月,Sky News和网络安全专家Hacker House在NHS进行的一项安全调查发现,“配置错误的电子邮件服务器、过时的软件和安全证书,以及通过公开搜索可获取的NHS信托的电子邮件和密码。”
