摘要
- CommonSpirit Health 的 2022 年勒索软件事件属于风险与问责档案,因为确认的公开记录将勒索软件攻击与系统遏制、护理连续性工作、电子健康记录和门户影响、患者数据通知、执法和 HHS 通知以及因业务中断和补救措施导致的报告财务影响联系起来。
- 谁实际控制了医院系统遏制、临床停机程序、患者数据范围界定、预约和程序沟通、恢复顺序以及医疗保健提供者在恢复受损系统时保护护理连续性的证据?
- CommonSpirit 的事件更新位于https://www.commonspirit.org/news-articles/commonspirit-update表示,该组织正在应对一起影响部分设施的网络攻击,已动员保护系统、遏制事件、开始调查并保持护理连续性,并且受影响设施遵循了现有协议,包括将某些系统(包括电子健康记录和患者门户)下线。
- CommonSpirit 的 2023 年年度报告位于https://www.commonspirit.org/content/dam/shared/en/pdfs/investor-resources/2023-CommonSpirit-Health-Annual-Report-SECURED.pdf将 2022 年 10 月 2 日的事件描述为勒索软件攻击,称该组织已通知执法部门和美国卫生与公众服务部,向可能受影响的个人发出的通知已于 2023 年 4 月完成,并报告截至目前的预估不利财务影响约为 1.6 亿美元。
- 本文将 CommonSpirit 官方更新、CommonSpirit 审计及季度财务报告、州违约通知材料、HHS/OCR 违约通知材料、NIST 事件响应指南、CISA 医疗和勒索软件指南以及 AHRQ 患者安全材料视为最有力的公开记录。新闻报道仅用于同期年表以及公众影响背景,不作为私人取证证据。
为什么此案例属于风险与问责档案
CommonSpirit Health 属于风险与问责档案,因为医疗系统首先是护理提供机构,而非企业网络。此类组织内部的勒索软件事件不仅影响服务器、工作站、门户和计费工具。它可能影响临床医生是否能看到病历、护士能否确认用药史、调度员能否联系患者、实验室结果是否可用、患者门户能否显示记录、预约是否得到确认,以及患者是否了解个人信息发生了什么。因此,问责问题始于护理连续性,而非恶意软件术语。
CommonSpirit 官方更新位于https://www.commonspirit.org/news-articles/commonspirit-update提供了核心公开运营记录。其中表示,CommonSpirit 正在管理对影响部分设施的网络攻击的响应。它表示提供护理仍然是优先事项。该组织动员保护系统、遏制事件、开始调查并保持护理连续性。还表示受影响设施遵循了现有协议,包括将某些系统(如电子健康记录和患者门户)下线。这些事实足以使该案例成为护理连续性案例,因为公开记录本身将系统保护决策与临床停机程序联系起来。
CommonSpirit 2023 年年度报告位于https://www.commonspirit.org/content/dam/shared/en/pdfs/investor-resources/2023-CommonSpirit-Health-Annual-Report-SECURED.pdf提供了企业风险记录。它将 2022 年 10 月 2 日的事件确定为影响某些系统的勒索软件攻击。报告称,CommonSpirit 立即采取措施保护系统、遏制事件、开始调查并保持护理连续性。CommonSpirit 聘请了领先的网络安全专家,通知了执法部门和美国卫生与公众服务部,于 2023 年 4 月完成了向可能受影响的个人发出的通知,并预估截至目前的财务影响约为 1.6 亿美元,不包括可能的保险赔付。该文件将该事件从本地中断故事转变为正式治理记录。
患者通知记录提供了隐私维度。Virginia Mason Franciscan Health 通知位于https://www.vmfh.org/notice-of-data-security-incident表示,2022 年 10 月 2 日检测到的活动后来被确定为勒索软件,CommonSpirit 主动将某些系统下线,调查发现未经授权的第三方在 2022 年 9 月 16 日至 10 月 3 日期间访问了网络的某些部分,并且文件可能包含个人信息。马萨诸塞州违约通知 PDF 位于https://www.mass.gov/doc/assigned-data-breach-number-29358-commonspirit-health/download为同一广泛事件提供了另一项公开通知记录。这些通知应被视为通知证据,而非完整的法庭报告。
因此,问责框架是明确的。CommonSpirit 控制了受影响的网络响应、法医调查、恢复顺序、患者通知的内容和时机,以及可供监管机构和受影响社区使用的证据。患者和当地临床医生在诊所和医院内控制了他们即时的选择,但他们没有控制系统架构、调查、受影响文件审查或企业恢复计划。问责遵循这一控制差距。
确认的记录始于勒索软件和护理连续性
确认的公开事实包括日期、事件类型和高级响应。CommonSpirit 的年度报告称,该组织于 2022 年 10 月 2 日遭受了影响某些系统的勒索软件攻击。CommonSpirit 的更新表示该组织正在应对影响部分设施的网络攻击。更新和年度报告都强调遏制、调查和护理连续性。这一反复出现的措辞很重要,因为它表明 CommonSpirit 并非仅将事件描述为隐私事件或业务中断。这是一个医疗运营事件。
官方更新还区分了组织中受影响和未受影响的部分。它表示 Dignity Health、Virginia Mason Medical Center、TriHealth 或 Centura Health 设施的诊所、患者护理和相关系统未受影响。这种区分很重要,因为 CommonSpirit 是一个大型系统,大型系统可能经历不均衡的影响。一些设施可能启动停机程序,而其他设施则保持正常工作流程。一些患者可能失去门户访问权限,而其他患者则没有。一些临床医生可能依靠纸张或替代程序工作,而其他临床医生则保留普通访问权限。公开问责记录必须保留这些差异,而不是将案件简化为单一的国家中断。
CommonSpirit 的更新表示,大多数市场的提供者再次可以访问整个系统的电子健康记录,包括医院和诊所,并且大多数患者可以再次通过患者门户查看医疗史。它还表示,该组织正在努力恢复门户中的预约安排功能(如果存在该功能),并且患者应直接联系提供者办公室以在此期间安排预约。这是一个特别重要的细节,因为它显示了患者边缘的恢复问题:即使许多用户恢复了访问,安排功能可能仍然是一个单独的恢复轨道。
官方记录没有公开每个设施的影响、每个停机程序、取消或推迟预约的确切数量、完整的应用程序清单、初始访问方法、勒索软件变体、完整的恢复时间表或所有患者通信。这些是公开记录中的未知数。它们不应通过未经证实的声明来填补。然而,公开记录确实确认了足够的信息来评估问责性:勒索软件攻击、系统下线、受影响设施的电子健康记录和门户影响、临床连续性协议、外部专家、执法和 HHS 通知、患者通知以及财务影响。
支持的推断是,损害面比 IT 可用性更广。当电子健康记录或患者门户作为遏制措施被下线时,运营后果可能包括手动记录、替代用药史程序、延迟的患者自助服务、直接电话安排、员工工作量增加以及关于哪些记录是最新的不确定性。AHRQ 患者安全视角位于https://psnet.ahrq.gov/perspective/cybersecurity-and-how-maintain-patient-safety解释了为什么高影响勒索软件是一个患者安全问题:网络技术的丧失可能干扰护理提供、电子记录和连接的诊断技术。该来源不是 CommonSpirit 特定的证据。它提供了解读 CommonSpirit 记录所需的医疗安全词汇。
护理连续性是最初的问责面
护理连续性是最初的问责面,因为患者不能在护理过程中简单地替换医院网络。一个有安排手术、正在进行的治疗计划、待定的检查结果、用药问题、怀孕预约、影像随访或肿瘤就诊的患者不能被告知技术原因与临床后果是分开的。技术可能是企业基础设施,但受影响的人将其体验为护理路径。这就是为什么 CommonSpirit 自己的“护理连续性”措辞是核心证据。
停机程序不是次要细节。它们是当普通数字路径不可用时保持护理运转的控制层。在勒索软件事件中,它们应定义临床医生如何记录护理、如何下订单、如何检查用药安全、如何验证过敏、如何请求或交付实验室和影像结果、如何管理入院和出院、如何跟踪转诊、如何安排紧急程序,以及如何在系统恢复后协调记录。公开记录表示受影响设施遵循了现有协议。它没有公布这些协议,并且期望操作敏感性程序完全公开是不合适的。但问责要求它们存在、被激活、配备人员并随后接受审查。
患者还需要在护理边缘进行沟通。CommonSpirit 的更新指示患者在门户安排功能恢复期间直接联系其提供者办公室以安排预约。这是一个实用的指导,但也揭示了负担转移。当患者门户发生故障时,医疗系统可以将患者引导到基于电话的工作流程。这保持了一些访问途径,但也可能增加通话量、延长等待时间、产生不一致的消息,并使依赖数字安排、代理访问、语言支持或护理人员协调的患者处于不利地位。一个完整的问责档案将记录当地诊所如何处理增加的需求,以及如何告知患者仍可用的服务。
护理连续性还包括对恢复系统的临床信心。恢复不仅仅是重新登录电子健康记录。它是了解停机期间输入的记录是否已协调、扫描或纸质记录是否正确附加、停机期间下的订单是否输入到正确的患者病历中、预约变更是否已捕获、推迟护理的患者是否已联系,以及计费记录是否与实际提供的服务匹配。CommonSpirit 的公开年度报告通过财务影响提到计费和收款影响,但它没有提供患者级别的协调细节。
支持的推断并非 CommonSpirit 在所有这些任务上失败。支持的推断是这些任务是由 CommonSpirit 确认的那种事件产生的问责任务。医疗保健提供者遭受勒索软件会产生双重义务:恢复安全系统和保持安全护理。一个组织可以做出合理的遏制决策,但仍然有义务向患者提供明确的证据,证明在中断期间护理是如何受到保护的。
遏制决策可以保护系统,同时增加临床摩擦
遏制在勒索软件响应中是必要的。将系统下线可以阻止传播、保护证据并保护数据。但在医疗保健领域,遏制也可能立即增加临床摩擦。当电子健康记录、门户或其他连接系统不可用时,临床医生可能依赖纸张、本地缓存、口头交接、应急程序和手动协调。这是一种合理的紧急姿态,但存在风险。
CommonSpirit 的公开更新表示,某些系统被下线,包括受影响设施的电子健康记录和患者门户。VMFH 通知位于https://www.vmfh.org/notice-of-data-security-incident表示,CommonSpirit 采取措施保护网络,包括主动将某些系统下线。这些陈述应被视为遏制行动的证据。它们本身并不能证明每个系统不可用了多长时间,或者哪些设施受到了哪些工作流程影响。但它们确实指出了中央问责权衡:系统保护决策变成了患者服务决策。
医疗保健勒索软件案例中的良好遏制证据应回答几个问题。哪些系统因安全原因被下线?哪些因被加密、降级或依赖受影响的基础设施而不可用?哪些临床系统仍然可用?哪些停机程序被激活?哪些面向患者的功能被暂停?哪些地方领导被授权推迟非紧急程序?哪些服务需要患者转移?向临床医生、患者和官员发送了哪些通信?恢复后需要协调哪些记录?公开记录在高层回答了其中一些问题,但并非全部。
NIST SP 800-61 Rev. 3 位于https://csrc.nist.gov/pubs/sp/800/61/r3/final将事件响应框架作为更广泛的网络安全风险管理的一部分,将准备、检测、响应、恢复和改进连接到 NIST 网络安全框架。NIST 网络安全框架位于https://www.nist.gov/cyberframework提供了识别、保护、检测、响应、恢复和治理的更广泛的词汇。这些来源不是关于 CommonSpirit 的发现。它们有助于定义负责任响应文件的形状:不仅是隔离系统的决策,而且是隔离、调查、恢复和治理修复得到协调的证据。
安全自动化在本案例中很重要,因为大型医疗系统依赖检测、身份控制、端点遥测、分段、日志记录、备份验证以及跨多个设施的恢复编排。公开记录没有披露 CommonSpirit 使用的确切检测工具、备份架构、分段模型或身份控制更改。发明这些细节是不合适的。问责标准更窄且更强:组织应该能够向适当的利益相关者展示它如何检测事件、限制传播、保存证据、安全恢复以及随后更改控制。
患者数据范围界定与系统恢复不同
患者数据范围界定是独立于运营恢复的问责面。医院可以在完成文件审查之前恢复电子系统。患者可以在仍然不知道个人信息是否在未经授权的第三方访问的文件中时重新获得门户访问权限。计费系统可以在隐私团队继续映射受影响的数据字段时恢复。CommonSpirit 的公开记录反映了这种分裂。
VMFH 通知表示,未经授权的第三方在 2022 年 9 月 16 日至 10 月 3 日期间访问了 CommonSpirit 网络的某些部分。它表示未经授权的第三方可能访问了某些文件,包括包含个人信息的文件。它表示 CommonSpirit 没有证据表明个人信息因该事件被滥用。这些是谨慎的通知陈述。它们并没有说每个患者的记录都被暴露。它们并没有说发生了滥用。它们并没有提供完整的文件清单。但它们确实表示访问某些文件是可能的,并且受影响个人已收到通知。
CommonSpirit 的 2023 年年度报告表示,该组织通知了执法部门和 HHS,并于 2023 年 4 月完成了向数据可能受影响的个人发出的通知。HHS 违约通知规则页面位于https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html解释了受保实体和业务伙伴的一般规则:在未受保护的健康信息发生泄露后,需要通知受影响个人、HHS 以及有时通知媒体,对于涉及 500 人以上的泄露有特定的时间要求。HHS OCR 违约门户位于https://ocrportal.hhs.gov/ocr/breach/breach_report.jsf是相关的,因为它是大型健康信息泄露报告的公开机制。本文并不声称公开记录中有最终的 OCR 执法结果;它使用 HHS 材料来框架通知义务。
马萨诸塞州通知 URL 位于https://www.mass.gov/doc/assigned-data-breach-number-29358-commonspirit-health/download很有用,因为州违约门户在公司网站之外保存了消费者通知痕迹。州通知记录在大型医疗保健事件中很重要,因为患者可能搬迁、在多个设施接受护理或与当地品牌而非母系统互动。以当地医院名称识别医院的患者可能不会立即识别 CommonSpirit。因此,通知质量取决于母组织如何将事件与当地服务关系联系起来。
数据范围界定还应区分类别。患者数据可以包括姓名、联系信息、出生日期、医疗记录编号、健康保险信息、诊断和治疗信息、计费信息、预约信息以及其他标识符。公开通知应是受影响类别的主要来源。如果没有具体通知,声称特定患者的完整医疗记录、社会安全号码、支付卡数据或处方史被暴露是不受支持的。将数据问题视为抽象的隐私问题也过于狭窄。在医疗保健中,数据暴露可能影响信任、未来寻求护理的意愿、身份风险、保险焦虑以及护理人员协调。
多州医疗系统在一个国家内产生地域性和主权问题
数据主权和地域性的主题在这里以实际的国内意义适用。CommonSpirit 是一个多州医疗系统,拥有许多当地品牌、设施、诊所和患者社区。当前官方背景位于https://www.commonspirit.org/about-us描述了一个在 24 个州拥有超过 2,200 个护理点的系统,而旧的事件时代报告和年度材料描述了一个非常大的跨多个市场的全国性医疗提供者。就问责而言,确切当前足迹不如结构性事实重要:患者在本地体验护理,而网络响应和法医范围界定可能在企业层面协调。
地域性影响沟通。患者可能知道当地医院、诊所、医生集团或门户品牌。州监管机构可能根据州违约法收到通知。联邦机构可能收到与 HIPAA 相关的报告。公司年度报告可能总结财务影响。当地新闻媒体可能报告延迟或中断。这些记录通常使用不同的词汇:护理访问、消费者通知、联邦健康隐私、企业财务和网络韧性。问责要求将它们拼接起来,而不混淆它们。
地域性也影响连续性。乡村医院可能比城市诊所拥有更少的替代选择。专业部门可能比常规就诊更难重新安排。拥有许多老年患者的诊所可能经历门户中断与数字优先的专科诊所不同。在一个州推迟的手术可能不会作为单独项目出现在全国性披露中。然而,每个局部影响对患者都很重要。这就是为什么系统级声明的应与受影响设施的当地运营证据相结合。
医疗数据还具有上下文地域性。实验室结果、影像报告或临床记录如果没有设施、医生、服务日期和患者背景则可能几乎没有意义。如果数据范围界定只告诉患者“个人信息”可能涉及,患者可能仍然需要知道信息是否与特定就诊、提供者或服务线相关。违约通知通常不能公开每个细节,但受影响个人需要足够的信息来评估风险并采取合理步骤。
支持的推断是,CommonSpirit 的规模使响应更加困难。大型医疗系统可以带来企业资源、网络安全专家、法律团队、通信支持和保险覆盖。它还可能面临许多当地品牌、应用环境、历史收购、计费路径和患者门户带来的复杂性。年度报告估计的 1.6 亿美元不利影响显示该事件具有企业重要性。它并不能证明每个局部影响,但它表明该事件不是一个小的帮助台问题。
财务影响是问责证据,而不仅仅是投资者背景
CommonSpirit 是一个非营利医疗系统,但其财务报告仍然对问责很重要。2023 年年度报告表示,勒索软件事件截至目前的预估不利财务影响约为 1.6 亿美元,包括相关业务中断导致的服务收入损失、纠正问题的成本以及其他相关业务费用,不包括可能的保险赔付。这个数字不是患者影响证据的替代品。它是事件具有可衡量的运营和财务后果的证据。
财务记录还将恢复与计费和收款联系起来。CommonSpirit 的 2023 年年度报告表示,截至报告日期,与该网络安全事件相关的大部分应收账款已开票并收回。这是一个重要的企业细节。它表明该事件影响了收入循环运营,并且计费恢复是响应中的一个跟踪组成部分。然而,对于患者来说,计费恢复提出了一个单独的问责问题:停机后患者是否被准确计费,保险索赔是否提交正确,是否避免了重复或延迟的账单,以及如果记录混乱,患者是否得到了支持。
2025 年年度报告位于https://www.commonspirit.org/content/dam/shared/en/pdfs/investor-resources/2025-commonspirit-health-annual-report.SECURED.pdf以及后续季度材料,如https://www.commonspirit.org/content/dam/shared/en/pdfs/investor-resources/03-31-2026-commonspirit-quarterly-report-final-secured.pdf,继续将该事件作为持续的企业记录。后续重复并不会使公开记录更详细,但有助于表明该事件仍然是治理和披露事项。投资者资源页面位于https://www.commonspirit.org/investor-resources提供了这些财务文件的公开位置。
财务影响不应被解读为过失的证据,并且本文不提出这种主张。即使组织负责任地响应,勒索软件事件也可能代价高昂。问责问题不同:如果一个事件产生了重大的业务中断、补救成本、通知成本、计费影响、法律暴露和保险不确定性,那么董事会和高管应该能够展示如何将经验转化为运营修复。成本而没有修复证据不是问责。成本加上记录在案的韧性改善开始看起来像机构学习。
公开财务报告也有助于防止对事件的狭隘隐私解释。CommonSpirit 案例涉及数据通知,但也涉及系统可用性、护理连续性、患者访问、计费和恢复。因此,医疗保健勒索软件问责档案应包括隐私证据和运营证据。通知信件告诉患者可能涉及哪些数据。连续性记录告诉患者护理是否受到保护。财务报告告诉利益相关者组织从企业层面衡量了影响。没有哪个单独是足够的。
沟通必须同时服务于患者、临床医生和社区
医疗保健勒索软件事件中的沟通是一种控制,而不是礼貌。患者需要知道预约是否受影响、门户是否可用、是否应该致电提供者、程序是否继续进行、处方或实验室工作流程是否改变,以及他们的数据是否可能涉及。临床医生需要知道哪些系统可用、哪些停机程序适用、如何记录护理、将订单发送到哪里、如何检索结果以及如何协调记录。监管机构需要通知和证据。社区需要确保紧急和基本服务仍然安全。
CommonSpirit 的公开更新试图同时向多个受众讲话。它面向患者、员工和护理人员。它解释说,受影响设施遵循了协议,并且某些系统被下线。它表示大多数市场的提供者再次可以访问电子健康记录,大多数患者可以通过患者门户查看医疗史,并且门户中的安排功能在有些情况下仍在恢复中。它告诉患者直接联系提供者办公室以安排预约。这是有用的面向公众的运营沟通。
但是,公开记录也显示了沟通为何困难。全国性医疗系统可能需要避免发布可能帮助攻击者或损害调查的信息。它可能还不知道哪些文件包含哪些人的信息。它可能必须与当地设施、州监管机构、HHS、执法部门、保险公司和外部法医专家协调。谨慎的需求是真实的。尽管如此,谨慎不应转化为对需要做出护理决策的患者的模糊性。
本案例中的良好沟通应至少分离五个轨道。第一,临床可用性:哪些服务继续,哪些预约受影响,以及给谁打电话。第二,数字访问:哪些门户、安排功能、记录和消息功能可用。第三,数据风险:哪些个人正在收到通知,哪些类别的信息可能涉及,以及提供了哪些保护措施。第四,恢复状态:哪些已恢复以及哪些仍在验证中。第五,问责:组织正在做什么来调查、减轻伤害和防止再次发生。
来自 Healthcare Dive 的新闻报道位于https://www.healthcaredive.com/news/commonspirit-health-security-incident-cybersecurity-tennessee/633228/、Axios 位于https://www.axios.com/2022/10/18/health-ransomware-attack-vulnerability以及 HIPAA Journal 位于https://www.hipaajournal.com/more-than-623000-patients-affected-by-commonspirit-health-ransomware-attack/很有用,因为它们显示了当事实仍在浮现时事件如何被公众体验和理解。在这里,它们不被视为 CommonSpirit 自身更新、财务报告或通知文件的替代品。它们的价值在于年表和公众影响背景。
监管机构和标准定义了响应词汇
医疗保健勒索软件响应处于安全实践、医疗隐私法、患者安全和连续性规划的交汇处。HHS 违约通知材料位于https://www.hhs.gov/hipaa/for-professionals/breach-notification/index.html定义了未受保护的健康信息的通知期望。HHS 405(d) 医疗行业网络安全实践文档位于https://405d.hhs.gov/Documents/HICP-Main-508.pdf将医疗保健网络安全框架为管理威胁和保护患者。CISA 的医疗保健网络安全页面位于https://www.cisa.gov/topics/cybersecurity-best-practices/healthcare以及 CISA 的 Stop Ransomware 资源位于https://www.cisa.gov/stopransomware提供了行业和勒索软件指南。NIST SP 800-61 Rev. 3 和 NIST 网络安全框架提供了事件响应和风险管理词汇。
这些来源并不能证明 CommonSpirit 内部发生了什么。它们用于评估负责任记录应包含的内容。对于医疗保健提供者,一个强有力的记录应显示准备、检测、遏制、沟通、恢复和改进。它还应显示隐私通知未被视为唯一的义务,并且患者安全未被视为事后考虑。核心问题是组织在保护系统和数据的同时能否保持护理运转。
监管证据也有局限性。HHS/OCR 报告可以显示违约通知已进入公共违约生态系统,但它不会自动提供完整的法医叙述。州违约通知可以显示向受影响居民说明了什么,但它们可能不会揭示所有运营影响。年度报告可以显示成本和风险治理,但它们通常总结而非解释临床程序。NIST 和 CISA 提供框架,但它们不检查事件。问责要求将所有这些信息结合起来阅读。
还存在时间问题。运营恢复立即开始。法医范围界定可能需要数周或数月。患者通知可能在文件审查后发生。财务影响可能稍后衡量。诉讼或保险赔付可能仍在更晚之时未解决。这种时间差可能使受影响患者感到事件不完整。一个强有力的公开记录应解释目前已知的内容、仍在审查的内容、下次更新的时间以及患者在等待期间应该做什么。
CommonSpirit 的公开记录在一定程度上做到了这一点,特别是通过更新页面和后续财务报告。未知数仍然很重要:初始访问向量、如果 CommonSpirit 未公开确认的确切勒索软件团伙、逐个设施的完全中断列表、准确的预约和程序影响、完整的应用程序恢复顺序、完整的受影响文件清单、所有补救步骤以及所有监管机构的结论是不完全公开的。命名这些未知数本身不是批评。这是公共安全问责档案所需的纪律。
安全自动化和持久修复是长期考验
勒索软件恢复在系统重新上线后并未完成。长期考验是组织是否降低了再次发生的可能性和影响。对于医疗系统,这意味着身份加固、端点遏制、网络分段、特权访问控制、日志记录、备份恢复测试、第三方访问治理、钓鱼抵抗、漏洞管理、停机演练和高管监督。其中一些细节可能是机密的,但治理证据应该存在。
安全自动化是相关的,因为人类无法手动监视大型医疗系统中的每个端点、身份事件、异常文件访问、横向移动路径和备份依赖项。自动检测和响应不会移除责任。它们有助于将责任转化为及时的证据。问责问题不是 CommonSpirit 是否使用了特定产品。而是事件后计划是否可以证明更快的检测、更好的遏制、更干净的恢复和更有韧性的护理工作流程。
CommonSpirit 的年度报告表示该组织聘请了领先的网络安全专家。这是一个有意义的响应步骤。外部专家可以帮助调查范围、保存法医证据、遏制活动、建议恢复以及支持监管机构沟通。但外部帮助不会将责任从医疗系统转移。提供者仍然负责患者沟通、临床连续性和治理决策。专家可以支持调查;机构必须承担护理后果。
持久修复还应包括停机学习。在勒索软件事件后,医院应审查停机包是否是最新的、员工是否知道程序、纸质文档是否清晰可读且已协调、药房和实验室工作流程是否保持、是否需要患者转移或分流、沟通渠道在正常系统不可用时是否有效,以及是否联系了脆弱患者。医疗保健中的网络韧性不仅是防火墙改进。它是技术退化条件下护理的运营准备。
AHRQ PSNet 讨论位于https://psnet.ahrq.gov/perspective/cybersecurity-and-how-maintain-patient-safety捕捉了更广阔的视角:网络风险是患者安全风险,因为医疗保健依赖于网络连接技术。HHS 405(d) 材料位于https://405d.hhs.gov/Documents/HICP-Main-508.pdf类似地将网络安全框架为保护患者。在 CommonSpirit 案例中,这意味着恢复文件应根据患者服务结果以及系统恢复里程碑来判断。
负责任证据会是什么样子
公开记录足够强大以确立问责问题,但完整的问责文件将比公开材料更具操作性。它不需要发布敏感的安全图或患者级别记录。它需要保存组织将网络决策与护理后果相匹配的证据。这意味着受影响设施何时转向停机程序的记录、哪些面向患者的功能被暂停、哪些临床服务受到限制、哪些沟通渠道保持可用,以及在要求临床医生和患者再次依赖它们之前哪些系统已通过验证。
同样的证据文件将区分危机运营和后续协调。在事件期间,关键问题是护理是否可以继续以及患者是否知道如何联系医疗系统。在初步恢复后,问题发生变化:纸质记录是否已协调、延迟的预约是否已重新安排、待处理的订单和结果是否已检查、计费记录是否已更正、患者是否已收到数据风险通知,以及员工是否清楚安全控制措施发生了哪些变化?当门户恢复时,网络事件可能看起来对公众已经结束,而实际上协调记录、索赔和患者通知的实际工作仍在继续。
完整的文件还应显示治理如何处理地区差异。CommonSpirit 的公开更新区分了一些设施和市场与其他的,这正是正确的区分类型。下一层证据将显示每个受影响市场如何收到指示、当地领导如何升级护理连续性风险、紧急和非紧急服务如何优先,以及患者沟通如何根据当地品牌和服务线进行调整。大型医疗系统不能仅在母公司层面可信地管理勒索软件问责,因为患者关系通常是本地的。
最后,负责任证据将显示学习。组织应该能够向适当的利益相关者展示事件后改进了哪些方面:检测和升级速度、身份和访问控制、端点覆盖、备份验证、分段、供应商访问、停机培训、门户应急计划、沟通模板和高管监督。公开文档不必披露敏感配置。它们仍然可以显示响应产生了持久修复,而不仅仅是昂贵事件的恢复。
确认事实、支持性推断和未知因素
确认的公开事实包括 CommonSpirit 关于其在 2022 年 10 月 2 日遭受影响某些系统的勒索软件攻击的声明。确认的公开事实包括该组织关于采取措施保护系统、遏制事件、开始调查并保持护理连续性的声明。确认的事实包括受影响设施遵循现有协议,并且某些系统(包括电子健康记录和患者门户)被下线。确认的事实包括聘请网络安全专家、通知执法部门和 HHS,以及于 2023 年 4 月完成向数据可能受影响的个人发出的通知。
确认的公开通知事实包括 VMFH 关于未经授权的第三方在 2022 年 9 月 16 日至 10 月 3 日期间访问了 CommonSpirit 网络某些部分的声明,以及某些文件可能包含个人信息。确认的财务记录事实包括 CommonSpirit 在其 2023 年年度报告中报告截至当时预估不利财务影响约为 1.6 亿美元,包括相关业务中断导致的服务收入损失、补救成本以及其他相关业务费用,不包括可能的保险赔付。
支持性推断是,该事件的影响超出了抽象的 IT 可用性,因为 CommonSpirit 自己的更新确定了电子健康记录、患者门户、预约安排功能、提供者访问和护理连续性协议。支持性推断是,当地患者和临床医生根据设施、市场、系统依赖性和服务线经历了不同的影响。支持性推断是,完整的响应文件应包括停机程序证据、患者沟通证据、受影响文件审查证据、恢复顺序、计费和收款协调以及持久的网络韧性修复。
未知因素依然存在。公开记录没有提供初始访问向量、来自 CommonSpirit 的完整勒索软件行为者归属、逐个设施的完全影响、推迟预约或程序的确切数量、受影响应用程序的完整列表、每个站点的确切停机时间、每个受影响个人的完整数据字段清单、完整的监管机构发现、完整的保险赔付、完整的诉讼解决或所有技术补救行动。本文不会用推测来填补这些空白。
问责结论是实际的:CommonSpirit 控制系统、调查、恢复顺序、患者通知和企业修复。患者控制这些方面中的任何一个。因此,公共安全记录应根据证据来判断事件,即护理连续性在遏制期间受到保护、患者数据风险得到界定和沟通、恢复围绕临床需求进行排序,以及医疗系统将代价高昂的勒索软件事件转化为持久的韧性改进。

