歐盟積極應對醫療保健行業網絡攻擊

為了加強醫療保健行業網絡安全，歐盟委員會于2025年1月公布了一份關于保護衛生領域免遭網絡攻擊的行動計劃。

醫療機構面臨網絡威脅

據歐盟網絡安全局的一份報告，勒索軟件攻擊占歐盟涉醫療網絡威脅的54%。患者數據（如電子健康記錄）成為勒索軟件攻擊者最主要的目標，竊取或泄露醫療機構的數據的事件占46%。勒索軟件是惡意軟件的一種，敲詐勒索是攻擊者獲取資金的常見方法。盡管針對醫療保健的勒索軟件攻擊較普遍，但只有27%的衛生機構擁有專門的勒索軟件防御程序。相關機構分析后發現，黑客活動分子受到患者數據價值的驅使，針對衛生組織的DDoS攻擊（即“分布式拒絕服務攻擊”）數量呈增加趨勢，絕大多數攻擊（83%）明顯出于經濟動機。

DDoS攻擊是一種常見的網絡安全攻擊方式，使被控制設備的訪問流量通常難與正常的訪問流量區分開。攻擊者通過控制大量的網絡設備（如個人電腦、服務器、物聯網設備），向攻擊目標（如網站、服務器、網絡設備等）發出海量的且并不是出于正常業務需要的訪問請求，以此消耗目標系統或網站的資源，讓用戶無法正常使用該系統或訪問該網站，從而達到破壞網站或在線服務正常運營的目的。攻擊者可利用惡意軟件或攻擊目標系統的漏洞等安全薄弱環節，對攻擊目標方接入互聯網的設備（即“傀儡機”）進行控制。同時，對被控制設備發送遠程指令，讓其對目標網站或服務發起DDoS攻擊。

據盧森堡廣播電視集團德國分臺報道，德國杜塞爾多夫大學醫院就曾遭受勒索軟件攻擊，系統癱瘓，30多臺內部服務器遭到感染。一名需要緊急施治的女性患者被迫轉移至距離30多千米外的某城市的另一家醫院，因錯過最佳搶救時機而不治身亡。留在醫院加密服務器上的勒索信息顯示，其攻擊對象是杜塞爾多夫·海因里希·海涅大學，而杜塞爾多夫醫院只是該高校整體網絡中的一部分。在警方聯系了勒索軟件攻擊者并告知他們“加密”了一家醫院之后，攻擊者撤回了贖金要求并提供了解密密鑰，醫院在收到鑰匙后開始著手恢復業務系統。調查結論顯示，相關醫療數據在這一事件中并未被盜取。

醫院官員稱，勒索軟件之所以能夠成功感染，利用的正是院內廣泛使用的某款商業軟件中的安全漏洞。歐盟網絡安全局曾經發出警告，提醒各德國企業針對ADCCVE-2019-19871漏洞（這是前述勒索軟件團伙所利用的漏洞入口點）對正在使用的網關系統進行更新。

位于法國巴黎的一家機構也在近年遭遇過網絡攻擊，當時，其下屬的兩家醫院和一家養老院不得不取消部分需要進行的手術，并轉移患者。據法國國際廣播電臺網站的消息，這家機構的計算機感染了勒索軟件，背后的攻擊者要求贖金為1000萬美元。

網絡安全列為優先關鍵事項

隨著互聯網的普及，數字健康科技正迅速嶄露頭角，成為醫療行業的變革引擎。醫療保健不再是單一的、靜態的體系，而逐漸成為充滿活力和創新的領域。這一趨勢的核心在于數字化和信息技術的廣泛應用，遠程醫療服務和在線醫生門診等創新方式變得越來越普及，使醫療保健更具可及性，能夠為患者提供更好的服務。

然而，網絡攻擊擾亂醫院秩序，中斷醫療程序，延誤患者病情，甚至給患者帶來了生命危險。歐盟委員會在公布行動計劃的當天發表聲明說，僅在2023年，歐盟國家就報告了309起針對醫療保健行業的重大網絡安全事件，比其他任何關鍵行業都要多。隨著醫療保健行業數字化水平提升，網絡安全威脅不容忽視。

歐盟委員會公布的關于保護衛生領域免遭網絡攻擊的行動計劃，被歐盟委員會主席列為上任頭100天內的優先關鍵事項之一，足見加強醫院和其他醫療保健機構網絡安全的重要性。其重點關注網絡安全威脅的預防、檢測、減輕影響等，提議為醫院和醫療保健提供者建立泛歐洲網絡安全支持中心。歐盟網絡安全局將通過這一中心，提供針對性的指導、工具、服務和培訓。

根據行動計劃，2025年第一季度，啟動與利益相關者的磋商，成立聯合健康網絡安全咨詢委員會，制訂對醫院和其他醫療保健機構網絡安全的監管方案。第二季度，開始為醫院和其他醫療保健機構建立歐洲網絡安全支持中心，呼吁網絡安全利益相關者采取有效行動，應對挑戰。第三季度，制定網絡安全實踐指南，創建網絡安全成熟度評估框架，制定新的醫療保健網絡安全采購指南，以提供指導，幫助醫院和其他醫療保健機構避免支付勒索軟件攻擊者提出的贖金。需要指出的是，許多國家在反勒索軟件這一事項上已達成共識，不再向網絡犯罪團伙支付勒索贖金。各國政府已經認識到，向犯罪分子妥協只會助長其氣焰，進一步加劇網絡犯罪的嚴峻形勢。第四季度，將醫療保健部門的快速響應服務納入歐盟網絡安全儲備，為醫療設備、電子病歷和信息通信技術提供商建立歐洲已知的可利用漏洞目錄，識別針對醫療保健領域的勒索軟件，進一步完善行動計劃啟動試點項目。2026年，將進行年度健康網絡成熟度評估，制定網絡安全優惠券計劃，為實施網絡安全措施提供財政援助。進行網絡安全演習，通過阻止網絡威脅行為者對歐洲醫療系統的攻擊，保護歐洲醫療系統。

歐盟進一步打造網絡安全環境

歐盟前述關于保護衛生領域免遭網絡攻擊的行動計劃，建立在網絡安全領域現有立法框架的基礎上，回應了目前醫療保健行業網絡安全的嚴峻形勢及面臨的潛在威脅。

專家指出，該行動計劃與歐盟網絡團結法案、網絡安全法案的修正案密切相關，后者是歐盟兩個對包含數字元素的產品提出強制性網絡安全要求的立法，于2024年12月生效，屬于歐盟網絡安全立法“一攬子計劃”的一部分?！耙粩堊佑媱潯卑ㄒ惶坠芾須W盟數據自由流動的新規和應對網絡攻擊的措施，例如進一步加強歐盟網絡安全機構的職能、建立一個歐盟范圍內的網絡安全認證框架、制定如何應對大規模網絡安全事件及危機的計劃，成立歐洲網絡安全研究和能力中心。

網絡團結法案構建了歐盟在應對網絡威脅方面的能力，同時加強了合作機制。例如，歐盟將建立由國家和跨境網絡中心組成的“網絡安全警報系統”，以實現信息共享、檢測并應對網絡威脅。該法案還提出建立網絡安全應急機制，以提高歐盟的突發事件響應能力。網絡安全法案的修正案承認托管安全服務在預防、檢測、響應和恢復網絡安全事件方面的重要性日益增加，將有助于提升托管安全服務質量，培養值得信賴的網絡安全服務商。

編輯：張宏羽" " zhanghongyuchn@hotmail.com