摘要
- 已确认事件:Ascension 于 2024 年 5 月 8 日检测到异常活动,随后将该事件描述为勒索软件攻击,并表示临床运营受到干扰,但医院和设施在停机程序下保持开放。其公开事件页面后来表示,所有受影响的系统、临床功能和电子病历访问均已恢复。(Ascension 网络安全事件页面)
- 护理连续性影响:Ascension 自己在 5 月 9 日的更新中表示,电子健康记录、MyChart、部分电话系统以及用于预约检查、手术和药物的系统不可用。一些非紧急的择期手术、检查和预约被暂时暂停,数家医院因停机程序而暂停接收急救医疗服务。(Ascension 网络中断更新)
- 数据记录:2024 年 12 月 19 日,Ascension 表示已完成数据审查,发现部分当前和前任患者、高级居住居民及员工个人信息可能涉及。其表示涉及的数据类型各不相同,可能包括医疗、支付、保险、政府识别号码及其他个人信息,同时称没有证据表明数据是从电子病历或其他临床系统中窃取的。HHS OCR 违规门户是大型 HIPAA 违规报告的联邦公开列表。(HHS OCR 违规门户)
- 问责地图:犯罪行为人制造了恶意事件。Ascension 控制了网络访问、临床系统隔离、停机培训、恢复顺序、合作伙伴重连、患者沟通、数据审查和支持。公共机构控制了执法、网络情报、HIPAA 违规监督和行业指南。患者和临床医生在系统中断影响到床边后,仅能采取有限且压力巨大的应急措施。
勒索软件通过工作流触及病床
如果仅将 Ascension 事件描述为一起医院勒索软件攻击,很容易低估其严重性。更准确的描述是,这是一次医疗网络中的系统性连续性考验。勒索软件不需要触及呼吸机或篡改医嘱就能影响护理。它只需移除临床医生用来将患者叙述转化为治疗的共享记录、医嘱通道、患者门户、电话、药房路径和行政系统的常规访问权。
Ascension 在 2024 年 5 月 9 日的首次公开声明中表示,于 5 月 8 日(周三)在特定技术网络系统上检测到异常活动,并认为这是由网络安全事件引起的。声明称部分系统访问已被中断,临床运营受到干扰,医护团队已启动经过培训的程序以确保患者护理安全且影响最小化。Ascension 还表示已聘请 Mandiant,通知了相关部门,并正在调查哪些信息(如有)受到了影响。(Ascension 5 月 9 日通知)
后来的事件页面表述更为直接。其中写道,5 月 8 日 Ascension 遭遇了勒索软件攻击,自那以后,已恢复了所有受影响的系统、临床功能和电子病历访问。这一后来的措辞十分重要,因为它将事件从疑似网络安全事件转变为已确认的勒索软件攻击,同时也明确了公司声称的恢复终点。(Ascension 网络安全事件页面)
连续性问题的起点就在于这两种状态之间的差距:在系统中断之后、全面恢复之前,信任尚未建立。在此期间,Ascension 的医院和设施仍在开放,但“开放”并不意味着运作如常。一家医院可以在病历无法访问、医嘱必须手动传递、处方需要额外核对、门户消息积压、工作人员携带纸质记录,同时部分站点因停机程序而暂停接收急救服务的情况下保持大门敞开。这并非通讯不便,而是切换到了完全不同的运行模式。
公开记录也应避免过度渲染。Ascension 并未声明所有护理均已停止。它表达了相反的意思:护理在停机协议下得以继续。因此,问责问题并不在于系统崩溃,而在于降级模式下的护理质量。医疗系统是否具备切实可行的停机程序?员工是否接受了充分的培训并拥有足够的物资?区域医院是否获得清晰的状态信息?救护车是否知道该去哪?药房能否配发慢性病药物?实验室和影像检查的医嘱能否在缺少常规系统的情况下被追踪?公司能否在不重新连接不安全基础设施的前提下恢复系统?这些问题属于运营层面,而非空谈。
“开放”远非正常护理
Ascension 在 5 月 9 日下午 5:30 的更新中列出了若干不可用的系统:电子健康记录、MyChart、部分电话系统,以及用于预约某些检查、手术和药物的各种系统。它告知患者携带预约记录、用药清单、处方号码或药瓶,以便医护团队向药房报送用药需求。它表示非紧急择期手术、检查和预约在部分情况下已被暂时暂停,并称若干医院因停机程序而暂停接收急救医疗服务。(Ascension 网络安全事件页面)
这一列表是事件的核心。电子病历停机改变了临床医生获取病史、过敏史、用药、既往实验室结果、影像、问题列表、出院小结和专科意见的方式。门户停机改变了患者与医疗提供方沟通及查看结果的方式。电话系统中断改变了预约安排、问诊分诊、续药请求和随访。医嘱系统中断改变了实验室、影像、药物和手术从临床医生意图到完成操作的流转。救护车分流改变了区域应急能力的分配。
美联社报道称,攻击导致一家运营约 140 家医院、横跨 19 个州的医疗系统出现救护车被迫改道、检查推迟、患者记录离线的情况。美联社还报道说电子记录和 MyChart 均受到影响,员工转而使用纸质记录。(美联社关于 Ascension 护理中断的报道)这些报道与 Ascension 自己的声明相符,但官方消息源仍应以公司页面中 Ascension 自行确认的内容为准。
“开放”与“正常”之间的距离给患者带来了后果。一个正在忍受疼痛的患者不会将停机程序体验为一个技术事件。他/她感受到的是更长的等待时间、重复的询问、不确定旧记录是否可见、不确定检查医嘱是否已流转,以及担忧医护团队在缺少常规背景信息的情况下工作。尽管临床医生可以通过培训与判断力确保护理安全,但由于记录系统不再发挥其常规协调作用,安全边际已显著收窄。
这就是为什么“连续性”这个词必须包含连续性的质量。一家医院可以维持开放,但仍需审视:药物核对是否变慢?实验室周转时间是否改变?手术安排是否被打乱?入院和转院是否更难?出院患者能否拿到处方?缺乏交通工具或英语能力有限的患者在应对重新安排的就诊时是否更困难?公开记录并未回答所有这些问题,但它证明了这些正是恰当的问题。
停机程序是隐藏的安全控制
Ascension 表示其员工已接受过既定的停机协议和程序培训。这一声明非常重要,因为停机程序并非放在柜子里的备用手册。它是一种安全控制措施,必须在临床医生疲惫不堪、患者焦虑不安、电话繁忙、管理人员还在等待不完整技术事实的情况下发挥作用。
在电子病历中断期间,停机程序必须明确临床医生如何记录、医嘱如何书写、药物如何核对、过敏史如何查询、实验室标本如何标记、影像请求如何追踪、手写记录事后如何整合,以及医护团队如何避免重复或丢失信息。中断期间产生的记录最终必须成为永久医疗记录的一部分。一份从未被录入病历的纸质记录不仅是一个档案问题,更可能影响未来的护理。
Ascension 在 6 月 7 日和 6 月 11 日的更新显示了整合工作的重要性。随着电子病历访问分波恢复,Ascension 警告称,在 5 月 8 日至本地电子病历恢复日期之间,医疗记录和其他资讯可能无法获取,因为中断期间收集的信息正在上传。它建议患者在此期间联系其临床医生办公室获取记录可用性,并警告门户消息可能略有延迟。(Ascension 网络安全事件页面)
这句话揭示了异常多的细节。它表明恢复不仅是要让临床医生重新进入电子病历,还要用电子病历不可用期间提供的护理数据来填充电子病历。停机记录需要被收集、验证、输入或上传,并变得可搜索。在此之前,患者在该中断期间的病史有部分处于常规数字视图之外。
良好的停机准备因此包含两个半场。上半场是在中断期间进行安全的手动护理。下半场是后续的干净整合。下半场往往不太显眼,因为公众看到登录恢复就认为恢复工作已完成。在医疗领域,这种假设是危险的。只有当记录系统准确反映了降级模式下发生的情况,且临床医生能够相信恢复后的记录足够完整,可以支持未来的决策时,恢复才算完成。
电子病历恢复是一项临床优先,而非仅仅是一个 IT 里程碑
Ascension 反复将电子病历恢复列为首要恢复目标。5 月 29 日,它称电子病历访问已在第一个市场恢复,并启动滚动恢复计划。6 月 4 日,它称佛罗里达州、阿拉巴马州和奥斯汀市场已恢复电子病历访问。6 月 5 日,新增田纳西州、马里兰州和德克萨斯州中部。6 月 7 日,新增俄克拉荷马州,并称目标是 6 月 14 日前实现全体系电子病历恢复。6 月 11 日,它列出了佛罗里达州、阿拉巴马州、田纳西州、马里兰州、德克萨斯州中部、俄克拉荷马州、威斯康星州、伊利诺伊州、堪萨斯州、密歇根州和印第安纳州的部分地区,同时仍在努力于 6 月 14 日完成。(Ascension 网络安全事件页面)
这一恢复顺序应被解读为临床治理的体现。电子病历访问不仅是一项数字便利,它是护理系统的共享记忆。优先恢复它,表明了该组织认为何者对于安全护理最为必要。但分阶段恢复也带来了问责问题。哪些市场首先恢复,为什么?恢复顺序是基于技术就绪度、临床紧急程度、患者数量、区域替代能力、系统依赖性还是取证可信度?患者和救护车服务机构如何被告知各本地站点处于何种状态?
公开记录仅提供部分答案。它展示了一个滚动顺序和一个目标日期。它并未公开顺序背后的决策规则。这在事件进行中是可以理解的,但在事后也是一个证据缺口。一家全国性医疗系统应能够向监管机构和内部治理机构说明恢复顺序如何与临床风险相匹配。
恢复的措辞也显示出速度与安全之间的张力。Ascension 反复表示,系统将在经过验证和筛选后安全可靠地恢复。这是正确的标准。因为医院需要而重新连接一个未经验证的系统,可能会加重攻击。等待过久又可能延长临床中断。负责任的决策正是在这两股压力间权衡。
针对未来事件,更佳的公共实践是提供一个临床恢复矩阵。它无需披露网络拓扑图。它可以标明服务状态:电子病历不可用、电子病历只读、电子病历已恢复可新增记录、停机记录等待上传、门户可用、药房传输已恢复、检查医嘱已恢复、电话系统已恢复、合作伙伴连接已验证。患者和临床医生需要的是服务状态,而不是防火墙规则。
药房连续性是实际的护理试金石
用药通道是勒索软件如何从数据中心侵入日常生活的最清晰例证之一。Ascension 指示患者携带药瓶、处方号或用药清单,以便医护团队将用药需求电话通知药房。后来,Ascension 表示 Ascension Rx 零售、送药上门和专科药房均已开放并能满足处方需求,且医疗服务提供方可向 Ascension Rx 药房电子传输处方。(Ascension 网络安全事件页面)
这一过程之所以重要,是因为药房连续性没有退路。对于慢性病用药,任何延迟都可能导致健康后果。对于抗生素、抗凝剂、胰岛素、癫痫药物、移植药物、精神科药物或术后止痛药,工作流摩擦就可能转化为临床风险。医护团队可以手动致电药房,但这条手动路径需要具备当前用药知识、正确的患者身份、清晰的剂量说明、保险或支付处理、药师核对以及记录所做操作的途径。
Spectrum News 从威斯康星州报道了当地药房应对 Ascension 网络攻击并维持患者慢性病用药的情况。(Spectrum News 药房报道)这一本地视角很有用,因为药房中断往往是分散的。它并不总表现为戏剧性的医院崩溃,而是表现为患者、药剂师和开方医生竭力拼凑信息以保证治疗继续。
因此,用药停机规划应被视作一项患者安全控制。该计划应明确哪些用药清单可以离线获取、过敏史如何核对、管控物质工作流如何处理、续药如何授权、紧急用药需求如何优先排序,以及手动开方如何在电子病历恢复后与之整合。它还应明确告知患者什么信息。要求患者携带药瓶是合理的,但也将责任转移给了那些可能是病重、年迈、恐惧、低收入、无交通工具或未妥善整理处方的人群。
公开记录显示 Ascension 意识到了药房问题。剩下的问责问题是,那些变通措施在各州和各个护理点的执行有多少一致性。
合作伙伴重连是其自身的风险面
Ascension 5 月 21 日和 5 月 24 日的更新指出了另一个未得到充分认识的恢复问题:合作伙伴和供应商必须重新连接到网络。Ascension 表示已启动与关键合作伙伴及供应商的定期联系,以提供信息协助其恢复与 Ascension 网络的连接。5 月 24 日,它称许多供应商和合作伙伴已开始重连并恢复服务,这应当能加速恢复。(Ascension 网络安全事件页面)
合作伙伴重连是一个安全与连续性的决策,而非简单的时间安排。医院依赖于实验室、影像供应商、药房、收入周期合作伙伴、设备供应商、云系统、专科服务提供商、救护车合作伙伴、人员编制系统、供应商和支持组织。勒索软件响应可能需要断开或限制这些连接。随后的恢复则需要决定哪些连接可以安全恢复,顺序如何,在何种监控下,以及双方各自提供何种证据。
这正是公共部门连续性与数据本地化交汇之处。医疗数据并不存放在一个整洁的地方,而是流经临床系统、文件服务器、患者门户、计费工作流、实验室接口、药房路径、保险公司渠道和供应商环境。Ascension 后来表示,攻击者从约 25,000 台服务器中的七台复制了文件,这些服务器主要由员工用于日常和常规任务,且其中一些文件可能包含受保护的健康信息和个人身份信息。它还表示没有证据表明数据是从电子病历和其他临床系统中窃取的。(Ascension 网络安全事件页面)
这些声明划定了一个有用的边界,但也突显了为什么访问本地性比物理本地性更重要。一份记录在法律上可由一家美国非营利医疗系统持有,但如果通过被侵入的工作流、常规文件服务器或合作伙伴路径可及,它仍可能暴露。医疗保健中的数据主权不仅关乎数据存放何处,还在于谁能接触、复制、传输、导出、查看数据,或在泄露后重新连接到它。
因此,事后重要的证据不仅仅是“系统已恢复”,而是“连接已恢复并经过验证”。一家医疗系统应能证明,合作伙伴重连并未重新引入被盗凭据、过期的信任关系、未审查的远程访问或未监控的数据路径。
数据泄露并不等同于临床中断
Ascension 12 月 19 日的更新完成了记录的另一部分。在联合第三方专家审查了可能涉及的数据后,Ascension 表示将开始通知个人信息可能涉及的个人,并提供免费信用监测和身份保护服务。它称这些信息可能包括医疗信息,如病历号、就诊日期、实验室检查类型或手术代码;支付信息;保险信息;政府识别信息;以及其他个人信息,如出生日期或地址。(Ascension 网络安全事件页面)
这份数据记录不应与护理连续性记录混为一谈。中断发生在 5 月和 6 月,而数据通知则在数月后文件审查完成后才逐渐完善。两者是同一攻击的后果,却产生了不同的义务。临床中断要求立即采取降级护理、分流决策、安全检查、患者沟通和恢复。数据泄露则要求进行群体分析、字段映射、法律通知、身份支持、监管报告和长期的诈骗警惕。
HHS 违规通知规则页面解释了涉及未受保护的健康信息时联邦通知的统一框架,包括影响 500 人及以上违规事件的时间义务。(HHS 违规通知规则)HHS 也发布了关于向部长提交通知的指南。(HHS 违规报告页面)OCR 的公开违规门户列出了正在调查的大型违规报告。(HHS OCR 违规门户)
Ascension 声明中的界限很重要:患者数据已被涉及,但 Ascension 表示仍没有证据表明数据是从电子病历及其他储存完整患者记录的临床系统中窃取的。这是一项有意义的保证,但并非对损害的完全消除。就诊日期、实验室检查类型、手术代码、保险号或政府识别符号仍可能是敏感的。根据 Ascension 的公开记录,虽未显示完整电子病历记录被窃,但这并未使常规文件服务器数据无害。
这也并不证明每个受影响的人面临同等风险。Ascension 称数据因个人而异,无法在通用公开声明中为每个人确认。一份好的通知记录应向每个人提供最具体的可用字段类别和支持步骤。大型医疗系统不应在个人风险因数据类型而异时,依赖一份宽泛的清单。
州和行业报道显示了隐私记录如何转变为消费者保护记录。密歇根州总检察长 Dana Nessel 鼓励 Ascension 患者和员工考虑使用免费信用监测,此前 Ascension 提醒可能涉及部分个人信息。(密歇根州总检察长通知)Healthcare Dive 随后在公开违规通知背景下报道联邦违规规模涉及 560 万人。(Healthcare Dive 违规报道)这些来源不能替代 Ascension 的通知或 HHS 门户,但它们显示,在临床恢复之后,该事件的隐私后果仍在持续。
恶意文件解释并非问责的终点
6 月 12 日,Ascension 表示已确定攻击者获取访问权限的方式:一名在其设施工作的个人意外下载了一个被误认为合法的恶意文件。Ascension 表示没有理由相信这不是一次无心之失。(Ascension 网络安全事件页面)
这是一个有用的事实,但不应成为一个方便的结局。现代安全应假定部分员工会点击。可问责的控制措施存在于点击之前和之后:邮件安全、浏览器隔离、附件引爆、端点检测、最小权限、应用控制、网络分段、横向移动检测、文件服务器访问控制、备份隔离、事件响应和临床停机准备。
HHS 的安全规则页面概括了该规则的标准:为保护电子健康信息的保密性、完整性和可用性,要求落实行政、物理和技术保护措施。(HHS 安全规则)HHS 还为 HIPAA 覆盖实体和商业伙伴维护网络安全指导材料。(HHS 网络安全指导材料)CISA 的 StopRansomware 指南同样强调准备、预防、响应计划、备份和通信。(CISA 勒索软件防范指南)
这些通用来源均非对 Ascension 违反规则的认定。它们定义了重要的控制类别。核心问责原则是,一次意外的下载不应被允许演变成系统性的临床中断,前提是有合理的层级可以限制破坏半径。如果它确实演变成了系统性事件,组织必须能够解释缘由、何者失败、何者成功以及何者已改变。
“无心之失”的措辞充满人文关怀,避免了对个别员工的责难。但人道语言应与组织学习相辅相成。责怪个体员工是弱问责,将员工行为视为更大控制系统中的一个信号才是更强的问责。
财务恢复并未衡量患者负担
Ascension 的财务披露显示,该事件带来了超出事件页面的运营后果。2024 年 9 月,Ascension 指出 5 月和 6 月的运营受到网络安全事件的冲击,导致因业务中断造成的收入减少,以及为修复问题和其它业务支出增加。同时表示资产负债表和流动性水平依然稳健,拥有充足的流动资金以继续提供护理。(Ascension 2024 财年第四季度财务结果)
2025 年 2 月,Ascension 表示 2024 财年第四季度运营受到 5 月网络攻击的影响,但 2025 财年业务量恢复持续,同设施患者量自网络事件以来已改善约 5% 至 6%,关键运营 KPI 正在恢复至正常运营状态。(Ascension 2025 财年第二季度财务结果)
这些声明对组织韧性是有用的,但它们并非完整的患者损害账目。收入恢复和业务量恢复可能与延迟接诊、患者沮丧、药房压力、临床医生加班、本地分流、重复病史采集、手动记录和信任丧失并存。一个系统可以在财务上复苏,但有些患者仍清晰记得他们的病历不可用的那一天。
如果事后报告能至少区分以下四种恢复衡量标准,问责记录将更为有力。第一,技术恢复:哪些系统是干净的且可用的。第二,临床恢复:哪些护理功能恢复了常规工作流。第三,记录恢复:停机期间的文档如何被整合。第四,患者支持:哪些延迟、分流、重新安排和数据通知需要后续跟进。
Ascension 的财务页面展示了一个大型组织如何消化此次事件,却没有展示不便与风险在患者、临床医生、药房、救护车服务和本地社区间的完整分布。这并非 Ascension 独有的缺陷,而是网络事件报告中普遍存在的难题:资产负债表比护理摩擦更容易概述。
行业将医院勒索软件视为公共职能
Ascension 表示已通知执法机构和政府合作伙伴,包括 FBI、CISA、HHS 和美国医院协会,并与 H-ISAC 共享了相关威胁情报,以便行业伙伴和同行能够自我保护。(Ascension 网络安全事件页面)这一多机构框架之所以重要,是因为医院勒索软件事件并非仅是受害者与攻击者之间的私人事务。
医院是区域应急能力的一部分。当数家医院进入停机程序或分流状态时,周边医院、紧急医疗服务机构、公共卫生部门和患者都会感受到变化。这正是公共部门连续性的实践。政府并不运行 Ascension 的电子病历,但当一家大型医疗系统中断时,政府很关心紧急护理、公共预警、执法、威胁情报和 HIPAA 监督是否仍能发挥作用。
美国医院协会的网络安全工作多次将针对医院的勒索软件视为患者安全问题。其网络安全页面重点介绍医院和医疗系统的网络韧性准备。(AHA 网络安全资源中心)AHA 还概述了一场联合国安理会讨论,其中 Ascension 总裁分享了 5 月攻击导致 Ascension 旗下医院运营中断,数千台计算机系统被加密,电子健康记录无法访问。(AHA 联合国安理会勒索软件摘要)
这些行业来源应谨慎使用,它们不能替代 Ascension 自己的事件时间表。但它们确实表明,医院网络韧性现已进入国家安全、公共卫生和应急管理对话。医疗保健数字化程度越高,就越难将勒索软件仅视为后台 IT 的麻烦。
患者控制有限而暴露严重
Ascension 给患者的指示是实用性的:带上症状描述、用药清单、处方号或药瓶;关注更新;如有担心可考虑信用监测;在停机期间联系临床医生办公室了解记录可用性;遇紧急情况拨打 911。这些步骤帮助人们应对了困境,但也凸显了失衡所在。
患者可以携带药瓶,但无法恢复电子病历。他们可以复述病史,却无从知晓既往记录是否可见。他们可以接受重新安排,却不能选择恢复顺序。他们可以注册信用监测服务,却无法取消暴露的一次手术编码、保险号或就诊日期。他们可以警惕诈骗,却无从得知自己数据的所有被拷贝之处。
这种失衡就是为何警惕性语言永远不应取代组织问责。告知患者该做什么是恰当的,但暗示患者行动可以弥补控制缺失则是不充分的。在医疗保健中,承受下游伤害最多的人,往往是拥有最少运营权的人。
脆弱性维度尤为关键,因为 Ascension 的使命强调关怀贫困和脆弱人群,其媒体资料描述了一个包含急诊来访、分娩、手术、出院和社区福利计划的大型系统。(Ascension 媒体资源)勒索软件中断并不会平等地施加影响。缺乏交通工具、无带薪假期、患有慢性病、居无定所、有语言障碍、有心理健康需求或用药方案复杂的患者,对摩擦的承受能力更小。
因此,一份负责任的连续性计划应衡量加诸患者的负担。多少预约被暂停或改期?多少患者需要用药变通支持?通知使用了哪些语言?如何触达无可靠互联网或电话的患者?紧急分流如何与本地 EMS 协调?对于需要继续护理的患者,停机期间的记录如何整合?这些问题远比一个单一的恢复日期更能定义床边问责。
数据主权在于可及性
清单主题“数据主权与本地性”并非关于服务器物理位置的狭窄问题。Ascension 的案例显示,对医疗保健来说更关键的问题是:在日常工作期间,哪些数据通过哪些访问路径是可及的?
Ascension 称攻击者从约 25,000 台服务器中的七台复制了文件,这些服务器主要由员工用于日常与常规任务。它还表示这些文件可能包含受保护的健康信息和个人身份信息。这一组合颇具揭示性。敏感数据可以存在于常规工作区、导出文件、附件、共享文件夹、工作队列、报告文件、扫描文档和临时运营存储中。电子病历也许是完整的患者记录,但它并非患者信息出现的唯一场所。
当前的 Ascension One 页面描述了一种患者数字化体验,用于支付账单、查看检测和实验室结果、与医生保持联系以及安排管理家庭预约。(Ascension One)这一公开的产品语言并非事件源,而是帮助读者理解日常期望:如今的患者和临床医生通过关联账户、门户、记录和工作流体验护理。当勒索软件响应导致该生态系统的部分功能瘫痪时,本地性就变成了功能性的。数据和护理只对当下能够访问它们的系统具有本地性。
数据最小化和访问治理问题随之而来。为什么常规文件服务器持有它们所持有的字段?敏感导出数据是否有时间限制?文件是否被分级和监控?常规员工服务器是否与临床系统分隔?下载文件是否受端点控制限制?较旧的常规文件是否已存档或删除?合作伙伴访问路径是否足够狭窄?公开记录并未回答这些问题;它使得这些问题变得必不可少。
正确的教训并非电子病历系统永远不应连接其他系统,医疗保健无法那样运作。教训在于,每一份患者数据的二次拷贝都构成了临床和隐私危害范围的一部分。
更佳的实证会是什么样
对于一家医疗系统而言,一份成熟的公开事后记录应在不披露敏感安全细节的前提下回答若干问题。
第一,应提供一份服务状态时间线。应标明电子病历访问、门户访问、电话系统、用药医嘱、实验室医嘱、手术预约、药房传输、计费系统、合作伙伴连接以及区域分流状态何时发生变化。Ascension 的事件页面提供了许多更新,但若有一份合并的时间线,将令记录更便于审计。
第二,应提供一份临床停机报告。该报告应解释激活了哪些停机程序,员工如何得到支持,手动记录如何被整合,用药和实验室安全检查如何得以维持,以及是否进行了任何事件特定的安全审查。它不应披露患者个体事件,但应呈现控制系统。
第三,应提供按类别划分的数据图谱。Ascension 12 月的通知列出了可能的类别,但更强的标准是在可行时提供字段级别的通知:病历号、就诊日期、手术编码、实验室检查类型、保险识别号、支付字段、政府识别号、地址、出生日期和员工数据不应被混为一谈,如果能更具体地告知每个人。
第四,应从高层级解释访问路径和遏制措施。恶意文件的解释是有用的,但一份完整的记录应补充事后变更的组织控制措施,如邮件过滤、端点策略、文件服务器访问审查、网络分段、日志记录、备份隔离和特权访问控制,同时避免向攻击者透露攻击手册。
第五,应公布聚合的患者影响衡量指标:预约暂停数、重新安排数、各区域分流持续时间、药房变通处理量、门户积压量以及支持热线活动量。公开披露可在保护隐私的同时仍有意义。
最后,应澄清悬而未决的问题。如果诉讼、监管审查或安全风险限制了详细程度,应当予以说明。当边界被明确命名时,患者可以更好地应对不确定性。
教训在于床边韧性
Ascension 是一起犯罪行为的受害者,这一事实应被坦率陈述。犯罪行为人制造了勒索软件攻击。执法机构和网络部门承担着调查、情报和威慑的公共角色。不应期望任何一家医院能在没有事故的情况下挫败每一次恶意企图。
但医疗保健中的问责不应止步于受害者身份。一家医疗系统控制着架构、培训、停机程序、合作伙伴依赖、数据存储、恢复顺序和患者沟通,这些决定了勒索软件是成为一次可管理的阻断,还是一次床边混乱。Ascension 的公开记录既展现了韧性,也展现了压力:医院保持开放,临床医生持续护理,电子病历恢复被优先安排,药房重新上线,系统最终恢复,通知得以发出。它也显示了急诊分流、护理暂停、常规记录访问缺失、门户完整性延迟、数月的数据分析以及重大的财务影响。
持久的教训在于,医疗保健中的勒索软件恢复是一门临床学科。它属于董事会监督、护理运营、药房领导层、应急管理、收入周期规划、隐私合规、供应商治理和患者沟通的范畴,而不仅限于安全运营。病历是护理的一部分,医嘱系统是护理的一部分,门户是护理的一部分,停机手册是护理的一部分。当这些系统失效时,问责由组织在继续治疗患者的同时,能否安全地证明数字基础可以再次被信任来决定。
排版
排版是安排字体的艺术与技法,旨在使书面语言清晰易读、可读性强且视觉上吸引人。它涉及选择字体、字号、行长、行距及字距。
- 排版起源于 15 世纪约翰内斯·古腾堡发明的活字印刷。
- 关键元素包括字体选择、字偶距调整、字距和行距。
- 优秀的排版能提升可读性,并在设计中传达情绪或基调。

