【环球科技】
网络犯罪长期存在,但新冠肺炎疫情下,犯罪分子利用疫情期间人们对网络安全关注度下降的机会,发起了一系列针对个人、企业、国际组织甚至医疗机构的网络攻击。捷克、法国、西班牙、美国等的卫生部门和医疗机构都相继中招。
这些攻击,有的利用勒索软件削弱主要的医疗救护网络而勒索钱财,有的则通过蓄意散布虚假信息,干扰、破坏疫情应对行动,包括检测及疫苗研究机构的工作。网络攻击不但造成了医疗服务供应的中断,而且增加了医疗服务提供方的额外支出。在医疗服务最为紧缺之时,这些事件突显出医疗领域面对网络攻击的脆弱性。
红十字国际委员会(ICRC)地区法律顾问玛格丽特·达斯卡尼奥日前就医疗机构受到网络攻击的问题接受本报记者专访,指出针对医疗机构的网络攻击在任何时候都会对人类生命健康带来严重影响,在新冠肺炎疫情全球大流行的当下更是如此。
1.疫情下的罪恶 网络诈骗与网络钓鱼
网络犯罪,是指运用计算机技术,借助于网络对其系统或信息进行攻击,破坏或利用网络进行其他犯罪的总称。恶意域名、勒索软件、收集数据的恶意软件、僵尸网络等网络犯罪方式,随着信息化的发展越来越频繁地出现在人们的生活中。网络犯罪不分国界,并且不断依托最新科技、根据网络环境变化和社会突发事件调整犯罪手段,给包括政府、企业和个人在内的世界各国受害者造成严重伤害。
根据国际刑警组织的报告,当前利用新冠肺炎疫情的网络犯罪方式主要包括恶意域名、网络诈骗和网络钓鱼、收集数据的恶意软件以及破坏性恶意软件等。
其中恶意域名是指用“新冠”“冠状病毒”(“COVID”“corona”)等关键词注册的,企图利用搜索疫情信息的民众的具有恶意目的的域名。根据派拓网络公司的统计,截至今年3月底就有2022个新注册的恶意域名和40261个高危域名。
网络诈骗和网络钓鱼指的是犯罪分子通过创建虚假的新冠肺炎相关网站,诱使访问者打开恶意附件或点开网络钓鱼链接,导致身份被冒用或个人账户被非法访问。其中,商务电子邮件泄密也是此类犯罪的形式之一。据趋势科技公司统计,今年1月至3月底就有近一百万条新冠肺炎相关的垃圾邮件被报告,犯罪分子模仿官方医疗部门身份,用“可提供口罩和防护装备”“经济刺激基金查询”“预约新冠肺炎疫苗”等理由引诱受害者点击链接。疫情下对关键物资的需求极高,犯罪分子还冒用供货商或买家的电子邮件或利用几乎相同的电子邮件地址实施诈骗,获取商业信息或将数百万美元的采购资金转走。
收集数据的恶意软件指的是远程木马病毒、信息窃取程序,间谍软件和银行木马渗透系统等利用疫情相关信息作为诱饵破坏网络、窃取数据、转移资金或建立僵尸网络的恶意软件。破坏性恶意软件指的是网络犯罪分子部署的勒索软件等破坏性软件。针对医疗机构等关键基础设施和应急响应机构部署的此类勒索软件或网络攻击通常不会以窃取信息为目标,而是阻止对关键数据的访问或扰乱系统,以实现勒索赎金等目的,恶化了现实世界中因疫情原因本已严峻的形势。
网络犯罪分子总是伺机利用各种机会发动攻击,在新冠肺炎疫情时也不例外。据《金融时报》网站报道,欧盟建立的欧洲网络安全能力网项目ECHO指出,人们比以往任何时候都更加依赖数字技术,居家办公的员工和利用家中电脑接受学校教育的孩子越来越多,但是在网络环境的安全性方面,家庭网络和私人设备远不如办公室,这种情况超出了疫情前设立的网络安全保障方式的承受能力。网络技术人员当前大多忙着在短时间内将工作系统转向远程和云端,而无暇顾及网络安全问题。不少企业还因为疫情期间经济不景气而对技术部门实施了裁员。此外,疫情之下,人们更容易陷入恐慌,也会更倾向于点击网络上的带有疫情信息的链接。犯罪分子得以浑水摸鱼,利用这些机会窃取数据,赚取利润或者引起混乱。
2.锁定医疗机构 “虚拟”攻击造成现实损失
玛格丽特·达斯卡尼奥在采访中说:“医院正面临着一系列不同的威胁,但使用勒索软件是这些网络攻击的主要途径。”联合国反恐怖主义办公室副秘书长弗拉基米尔·沃龙科夫近日指出,今年第一季度网络钓鱼网站增加了350%,许多钓鱼网站针对的是医院和医疗系统。IBM公司发现从3月到4月,利用新冠肺炎疫情对信息系统进行的垃圾邮件攻击增加了60倍,其中许多目标都是医疗机构。这些都是勒索软件的常见传播途径。国际刑警组织提醒,全球针对应对疫情的关键组织和机构的网络攻击数量明显增加。网络犯罪分子利用勒索软件要挟医院,在勒索金被支付前阻止医院访问重要的文件和系统,这样的网络攻击可能直接导致病人死亡。
3月,一次网络攻击迫使捷克共和国布尔诺大学医院的医务人员推迟紧急外科手术,将新入院的病人重新安排到附近的其他医院,并停止了一些其他的工作。据报道,当时这家医院正负责管理当地的新冠肺炎核酸检测工作,这次网络攻击带来的混乱使检测工作延后了数天。
英国一个涉及新冠肺炎疫苗试验工作的医疗研究机构哈默史密斯医学研究所此前也遭到网络攻击。犯罪分子使用勒索软件攻破了该机构的网络系统,阻断员工对机构设备进行访问及调取系统记录。尽管该机构最终成功恢复了被攻击设备的运行,但黑客还是窃取了一批保密数据并将部分资料上传网络以勒索赎金,包括参与药物实验的病人名单、出生日期、社保账号和护照信息等隐私信息被泄露。
美国伊利诺伊州香槟-厄巴纳公共卫生区的网站同样遭到网络攻击,黑客将文件锁定,要求其支付35万美元的赎金以回收文件。此外,法国巴黎公立医院集团、美国人口与健康服务部、世界卫生组织也都遭到了网络攻击。
医疗机构一直以来都是网络攻击的重要目标。医院所掌握的病人资料在黑市上价值极高且极其抢手。犯罪分子通过网络攻击获得的信用卡信息在受害者注销后就失去了价值,而病人的病例资料则能长时间保持它的价值。病人的病例资料还可被用于盗取银行信息、骗取保险索赔、获取处方药物甚至盗用身份等,名人的病例信息更是可能起到影响市场的作用。医疗研究机构的知识产权数据也能够为犯罪分子提供极大的利益。
此外,医疗机构的网络安全能力通常较差。红十字国际委员会发布的一份题为《网络攻击可能带来的潜在生命损失》的报告指出,面对恶意的网络攻击,医疗系统会更加脆弱。医院的医疗设备一般都与该院的信息系统相连,以供自动归档患者的电子信息。包括心脏起搏器、胰岛素泵在内的医疗仪器联网后,可以让医院远程监控病人健康状态和仪器的运行状况。达斯卡尼奥说:“当前医疗机构对电子设备依赖加大,网络攻击的攻击面也有所增大,但相对应的网络安全建设并没有足够的进步。”据报道,大部分医用机构设备的操作系统版本还落后严重,不同时期医用设备的组合使得医院的网络在整体上没有足够的网络安全能力。疫情下医疗机构可用于网络安全建设的资金也相对紧张。
“如果医院无法正常运行,挽救病人生命的治疗将无法正常进行。”达斯卡尼奥说,“尽管目前为止这些网络攻击还没有造成严重的人道主义后果,红十字国际委员会对针对医疗机构等关键民用基础设施的网络攻击可能造成的生命损失非常关切。”达斯卡尼奥希望,当下的情况可以带动各国开始从更广的范围上提高警惕,进一步确立并逐渐强化现有的相关法律。
3.国际法框架 跨国网络攻击的定性依据
2001年欧盟在匈牙利布达佩斯制定的“网络犯罪公约”,是第一部针对网络犯罪的公约,欧盟成员国和美国、加拿大、澳大利亚、日本等国家签署了这一公约。达斯卡尼奥说,“网络犯罪公约”的缔约国,必须将特定的网络活动(如资料干扰、系统干扰)定为犯罪行为。这一规则在保障公共卫生和安全的计算机管理系统上也适用。
除了以获取钱财为目的发动网络攻击的黑客以外,国家也有可能参与到对他国医疗机构的网络攻击中,以获取其他国家的医疗科研资料、疫苗开发情报等。对此达斯卡尼奥表示,从国际层面上看,此类网络攻击适用什么法律取决于其发生的背景情况。在武装冲突的情况下,“国际人道法”为医疗服务和医疗设施提供了有力的保护。“国际人道法”要求武装冲突双方必须尊重与保护医疗单位、医疗运输以及医疗人员,这些规则在网络空间也应该适用。冲突双方不可通过网络活动破坏医疗基础设施,同时必须紧密提防网络活动带来的附带伤害。这项法律提供的保护范围同样也覆盖到医疗单位及其工作人员所有的数字资料。
至于武装冲突以外的情况,三个领域的国际法有可能涉及某一国家或其代理人实施的网络攻击。
第一,《联合国宪章》中包含禁止使用武力的原则。有一种共识是这一禁令也适用于由国家支持的、直接导致境外人员伤亡的网络活动,如远程关停医院的生命维持系统而导致住院人员死亡的网络活动。
第二,国际法也禁止国家干涉他国内政。这一禁令也覆盖“针对必要医疗服务”的行为,前提是该行为的目的是迫使某一国家改变其在某一特定事项上实施的举措。
第三,干扰某一国家医疗系统的网络活动也涉嫌构成对该国主权的侵犯。此外,“国际人权法”在这一方面也有所涉及。一般来说各国受到保障“健康权”义务的约束,这在《经济、社会及文化权利国际公约》中有规定,在一定程度上这种约束也适用于网络活动的情况。
4.避免网络攻击 国际社会的应对举措
在可以预见的未来,政府、企业和学校等都仍会因为员工继续居家办公而越来越依赖虚拟工具进行交流沟通,从而进一步给网络犯罪分子留下可乘之机。国际刑警组织预计,未来随着经济的下滑,网络欺诈、网络钓鱼、商务电子邮件泄密等网络犯罪手段都将继续增加,商业环境的变化还会滋生新的网络犯罪活动。疫情下各种网络犯罪的增加可能带来的严重后果引起了国际社会的广泛关注。各国政府、国际组织以及私人企业等都各自采取了相应的应对措施。
国际刑警组织对国际网络犯罪密切关注,特别是针对新冠肺炎疫情相关的网络威胁。此前,国际刑警组织向全部194个成员国执法机关发布了“紫色通报”,提醒注意新型的高风险网络威胁;向受害机构的系统恢复提供技术指导;组织了一次全球网络犯罪调查,以更好地了解迅速变化的全球形势。此外,国际刑警组织还积极与线上的网络安全团体合作,举办多次紧急在线会议,为成员国预防、发现、调查和问责网络犯罪提供针对性的服务。国家和区域性的网络犯罪应对单位、国际刑警组织国际网络犯罪专家组和其他私人合作伙伴等在内的各利益相关方都参与了会议。此外,国际刑警组织还在收集可疑的和疫情相关的网络域名名单,以进行进一步的分析和评估,与有关国家一道采取行动。
互联网名称与数字地址分配机构(ICANN)是一个非盈利性公益机构,负责协调互联网的全球域名系统。ICANN也把应对利用疫情的域名滥用行为的工作作为重中之重。利用知识和专有技术,ICANN筛查利用域文件创建的清单,审核了所有现有的通用顶级域域文件,建立了一套系统,查找采用如“冠状病毒”“新冠”“大流行”等字眼的各种域名,并按照多种高置信的威胁情报来源来评估这类域名,以确定它们是否参与了网络钓鱼或恶意软件分发等行为。若查询结果属实,则将编成报告,把搜集到的域名和数据与有权采取措施的相关方进行分享,如注册服务机构和注册管理机构,在某些情况下还包括国家和国际执法机构,并附上ICANN认为这些域名被恶意使用的证据和其他背景信息,从而帮助负责任的相关方决定采取哪些正确措施。
5月26日,红十字国际委员会发布了由多位政商界知名人士共同签名的联名信,呼吁各国政府采取“立即、果断”的行为制止针对医疗机构的网络攻击。达斯卡尼奥介绍说,红十字国际委员会日前提出了一项网络空间的国家行为新规范,供联合国有关工作组审议。该新规范要求“各国不应从事或蓄意支持会损害医疗服务或医疗设施的网络活动,并应采取措施保护医疗服务免受损害”。这一新规范将进一步确立和强化在武装冲突和和平时期都适用的国际法现有禁令。
“为了减少网络攻击带来的生命损失,除了适用的国际法给予的保护以外,增强医疗系统网络安全方面的韧性也非常重要。”达斯卡尼奥说。为了增强自身网络安全能力,预防网络攻击,专家建议医疗机构应设立专门负责网络安全的部门,加密病人资料,投入资金购买网络攻击保险,就网络安全问题培训员工,明确数据储存位置并且确保所采取的网络安全措施可以保护远程工作的员工不受网络钓鱼的侵害。
国际刑警组织提醒医疗机构定时更新硬件和软件,同时采取有效的网络安全措施,如经常在多个系统外的设备备份重要文件,安装最新的防病毒软件,使用高强度的系统密码并定期更新等。
此外,由于许多医疗机构是联网的,网络犯罪分子可能通过攻击一家小型医院的系统来控制相连的大型医院成千上万的病人资料。因此,医疗机构间互相通报信息,加强网络安全建设方面的合作也十分重要。
目前来看,勒索软件主要是由电子邮件传播的,因此医疗机构工作人员在处理邮件时也应更加注意其来源,采用多重认证方式核实发件人身份以预防网络攻击。
达斯卡尼奥还提出,“在医疗系统中,医疗设备的设计和使用环节应该将网络安全因素考虑进去并进行定期更新。另外还有一种保障网络空间安全的途径,就是将医疗系统的漏洞披露给合适的软件开发者以供其修复”。
5.“白帽子”与“黑帽子” 网络黑客的较量
在与网络犯罪分子的斗争中,不仅有政府或国际组织这样的“官方”机构在战斗,新冠肺炎疫情下,私营网络安全公司以及来自不同领域的“白帽子”黑客展开合作,组成了另一道保护墙,担负起了保护医疗机构不受网络攻击侵害的责任。
新西兰一家网络安全公司Emsisoft就和美国Coveware公司展开合作,承诺对在疫情一线的医疗机构提供免费的勒索软件应对服务,包括勒索软件的技术分析、在可能的情况下开发解锁工具以及在最糟糕的情况下协助开展赎金谈判、付款处理和加速系统恢复。微软公司也公布了一些措施,以防止黑客通过Office程序对企业展开网络钓鱼攻击。
“白帽子”黑客也叫“道德黑客”,是指各界网络安全从业人员,他们是网络世界的卫士。与利用漏洞、制作木马病毒去牟利的不法分子“黑帽子”黑客不同,“白帽子”黑客是在有授权的情况下寻找网络系统中的漏洞,让网络系统更加安全以预防“黑帽子”黑客的恶意网络攻击。
“新冠肺炎网络威胁情报队” (CTI League)就是其中一个“白帽子”黑客组织。CTI League是今年3月成立的全球第一个保护与疫情相关医疗机构、处理其安全漏洞的志愿者应急响应团体。CTI League成员包括网络威胁情报专家、事故响应队员、行业专家与执法机构代表。CTI League对医疗机构的服务是无偿的,主要包括4项内容:进行中网络攻击的处理(合法方式破坏犯罪分子发动网络攻击的能力或引入执法机构参与)、网络攻击的预防(发现漏洞、建立网络威胁数据库和提供警告)、对医疗相关部门网络的支持(提高网络安全能力、提供技术指导等)以及对潜在网络危险的监控。民间志愿者组织与执法机构携手合作的模式大大提高了CTI League的效率,根据该组织发布的报告,CTI League仅成立一个月就协助执法机构处理了近3000个网络犯罪案件,发现了2000多个医疗机构的系统漏洞并向其发出提醒。至今已有来自超过80个国家、跨越21个时区的1500多名志愿者加入,这意味着每有情况发生,都有成员在线准备好随时采取行动。
病毒不分国界,网络犯罪同样是全球所有人所共同面对的敌人。正如红十字国际委员会主席彼得·毛雷尔所说:“我们正面临着现代史上最为紧迫的卫生危机,而网络攻击危及全人类。我们必须齐心协力,确保这一威胁得到应对,并确保本就脆弱的医疗系统,尤其是受战争及暴力影响国家的医疗系统,不会因网络行动而进一步承受风险。”
(本报记者 杨逸夫)