打击健康相关 网络安全威胁
虚拟世界可从公共卫生领域学习到什么
塞巴斯蒂安·凯瓦尼(Sebastian Kevany)博士和迪恩·坎仰(Deon Canyon)博士/亚太安全研究中心
2021 年 5 月对爱尔兰共和国卫生系统的网络攻击清楚地表明网络安全和公共卫生领域是如何重叠的。黑客使用加密程序让卫生系统无法运作,手术及其他基本服务不得不推迟,医疗服务陷入瘫痪并危及生命。
爱尔兰政府必须在向黑客集团支付赎金与冒受保护的卫生信息被公布的风险之间做出权衡。不得使用这些信息的法律禁令,加上公开的反赎金声明以及公众的厌恶和愤怒感,这些是爱尔兰打击黑客集团的有效手段,并避免了担心私人数据丢失或医疗记录受到污染的情况。
爱尔兰的经验揭示了重要的全球教训:第一,卫生系统的网络安全必须用银行及其他主要社会机构相同的方式加以保护;第二,卫生系统必须意识到日益依赖数字记录与纸面记录相比较的风险;第三,关于能在多大程度上保持卫生信息隐私的许多问题仍未得到解答。
虽然网络安全和虚假信息在病因和解决方案方面都是不同的问题,但互联网监管是一个涵盖这两个问题的概念。同样,保护个人身份信息和受保护的健康信息既是虚拟问题,也是有形问题。在这里,我们试图将这些截然不同的概念整合到一个框架中,将公共卫生、卫生安全和所谓的网络健康结合起来。
当代网络环境
当代网络不安全和不受监管的互联网被描述为现代的狂野西部——在这个领域,传统的规则、授权和法律,即便在可以适用的情况下,也几乎不可能得到执行。网络自由的极端在我们周围随处可见——任何或所有与网络连接的社会成员——无论其年龄或教育水平如何,都能相对容易地访问从言语攻击和种族主义到在政治和社会问题上支持极端主义立场,再到药品、色情和其他极端或暴力内容。
反过来,这些对社会和公共卫生的威胁构成了一系列的国家和国际安全挑战。然而,目前看来,互联网所代表的跨国言论自由、贸易自由和虚拟运动极不可能受到任何政府或监控措施的控制。在没有国家或超国家管制机构的情况下,这种现状似乎将持续下去:即使是执行更严格的国家互联网政策的国家,也不可避免地在国际层面受到影响,并被网络空间的全球性和非一致性所包围。
但各国需要在网络自由与健康和安全威胁之际实现平衡。极端的网络自由可能助长错误信息,甚至加剧极端主义和促进恐怖组织的成长。但审查和互联网控制又会产生自己的一系列安全和健康威胁,这主要是因为它们可以推进独裁政权的权力和控制。
上述许多问题(即便不是全部的话)既可以归类为全球公共卫生威胁,也可以归类为安全威胁。几乎每一场危机都伴随着对健康的影响。因此,作为对这一问题的更广泛的国家和国际反应的一部分,可能有机会对网络极端主义做出协调一致的公共卫生反应。
独特的网络卫生联系
卫生系统特别容易受到黑客攻击,部分原因是因为其信息敏感性及潜在赎金价值。2020 年,据 Becker Health 研究组织披露,尽管医疗保健相关网络事件仅占全部数据泄露事件的 1.5%,但 82%的接受调查的美国医院在过去一年间遇到过网络安全事件。但医疗记录泄露的平均成本为 408 美元,是其他行业的 2 至 5 倍。
此外,威瑞森(Verizon)的《2021 年数据泄露调查报告》(2021 Data Breach Investigations Report)显示,全球报告的所有事件中有2.2%(655 起)及报告的数据泄露事件中有 9%(472 起)发生在医疗保健行业。此外,这些攻击背后的威胁行为者来源已从 2019 年主要是来自内部转变为 61%为外部攻击。肇事者对攻击动机的描述为 93%出于财务目的、3%为了乐趣、2%间谍活动、1%怨恨和1%便利。与此相关,卫生系统网络攻击的复杂程度也在增加,现在黑客能够修改医疗记录,甚至可以进行成像扫描,此外还可以窃取这些记录。
网络环境中的机密信息丢失有三个主要原因:恶意攻击和犯罪攻击在所有数据泄露事件当中占 48%,其次是人为错误(27%)和系统错误(25%)。医疗保健组织的网络事件对客户和患者的影响也更加明显,因为与其他环境相比,这些客户和患者更有可能会提起集体诉讼及转移到其他地方开展业务。
因此,医疗保健机构面临着更新软件或更换整个网络的要求,因此可能需要付出巨大代价。在这方面值得注意的是,部分攻击——比如 2017 年获得朝鲜支持的WannaCry 勒索软件,是专门针对医疗设备和卫生服务的。
未来的网络攻击可能会由更具体的动机推动。现在网络暗杀理论上是可能的,因为黑客可阻断患者或病房的气流,可通过使电梯无法运作来阻止转移患者去进行紧急手术,修改患者扫描图像去启动紧急手术,或者改变拯救生命的医疗设备的功能。恐怖分子或国家支持的攻击背后的动机可能包括市场操纵(通过针对大型医疗保健组织下手)和知识产权盗窃。
公共健康与网络健康并行
在 2020 年新冠疫情期间,针对医疗相关组织的网络攻击增加了一倍,其中28%与勒索软件有关。2021 年CrowdStrike关于全球威胁的报告指出,网络钓鱼攻击被视为高风险威胁,其策略包括:剥削寻求疾病追踪、检测和治疗信息的个人,假冒世界卫生组织(WHO)和美国疾病控制与预防中心(U.S. Centers for Disease Control and Prevention)等医疗机构索取信息以及提供财政援助或政府刺激方案以换取私人信息。
如上所述,互联网监管有别于网络安全,也可能单独且明显地导致公共卫生领域的错误信息。但由于大多数互联网监管努力的普遍失败,互联网已被用于放大公共卫生领域的错误信息和虚假信息,最近的例子是疫苗阴谋论和与之相关的伪科学。互联网监管即便是可执行的,或是能够制定出管制这种恶意活动的手段,但也不足以解决这一问题。
公共卫生与网络领域许多术语是相同的:病毒、扫描、错误及其他网络安全术语都是从医疗领域借用。同样,网络威胁与传染病威胁有很多共同之处,通常遵循与流行病相同的周期性加速和衰减曲线。此外,网络和公共卫生考虑因素的全球性质现在已经很清楚。因此,从公共卫生对流行传染病和病毒的反应中可学习到很多东西去帮助构思网络威胁对策。
公共卫生领域的解决方案?
公共卫生运动有成功的经验。无论是关于艾滋病毒/艾滋病的预防宣传,关于性传播疾病、疟疾或结核病的保健教育,还是《阿拉木图宣言》(Alma Ata)等初级保健协定的宣言,由于世卫组织、世界银行、联合国艾滋病项目(United Nations program on AIDS)、全球抗击艾滋病、结核病和疟疾基金(Global Fund to Fight AIDS, Tuberculosis and Malaria)以及美国总统艾滋病紧急救援计划(U.S. President’s Emergency Plan for AIDS Relief)等双边倡议的努力,全球健康状况无疑得到了改善。
因此,将网络意识信息纳入公共卫生运动,或是将公共卫生运动纳入网络意识信息,都可能是一种有意义的方式,可以教育公众了解在网络空间中容易遇到的危险和虚假信息。相关的政策建议可能包括:
• 关于艾滋病毒/艾滋病和其他传染病的卫生运动可扩大到包括警示关于治疗和预防的网络虚假信息。这种间接方法可能导致许多发展中国家健康和网络意识的改善,鼓励公民同其他领域一样,在健康方面不会读到什么内容都照单全收。
• 世卫组织和联合国其他组织在打击网上一般性错误信息方面可能有更多直接参与的空间。这可能包括在极端主义和恐怖主义等领域,或在公共心理、身体健康方面警示互联网“事实”和“假新闻”的政策和信息宣传运动。
• 互联网隐私的首要地位应在与卫生系统的运作、赎金请求和黑客威胁相平衡的情况下予以评估。现实是,我们所有人每天都会以个人隐私换取互联网使用的许多即时好处,这可能意味着个人数据隐私不再神圣不可侵犯。同样,通过简化数据共享和实时跟踪矢量,减少对数据隐私的强调将对预防和遏制未来的流行病具有重大的潜在好处。
• 许多让无法追踪黑客攻击能够实施的应用、组织和公司都位于美国和欧洲。其中一些应用——比如 Tor Onion Project,让黑客能够在勒索赎金的过程中自由、匿名地开展行动。虽然这些应用设计初衷是为了让持不同政见记者和其他崇高的事业能通过互联网进行自由、匿名交流,但它们也为许多暗网活动提供便利,比如勒索赎金、黑客攻击、人口贩卖和武器贸易。可能有必要评估允许这种犯罪活动的政策。
• 现在,网络安全问题的技术解决方案至关重要。这些措施包括对敏感个人和卫生信息进行行政、实物和技术保护,以及加强国家和国际互联网监管,以应对互联网错误信息。
• 领导层必须改变将网络安全作为医疗领域信息技术问题的优先顺序安排。这已迅速演变成为一种患者护理威胁,需要企业风险管理方法加以应对。
控制猖獗的网络威胁需要时间——但通过利用所有相关组织的资源进行多部门应对,便可在结束极端网络自由的刺激、黑暗时代方面取得进展。我们了解到,当国家和国际高级卫生官员提到个人健康面临的威胁时,都会受到严肃对待——没有理由不对日益扩大的网络安全威胁及其与全球健康的联系采用相同的一套原则。
本文最初发表在亚太安全研究中心网络杂志《安全联系》(Security Nexus)2021 年 7 月版。文章经过编辑以适应《论坛》的排版。
