来源：器械之家，未经授权不得转载，且24小时后方可转载。

近期，先后有两家医疗巨头被网络犯罪分子敲诈。

近期，拥有内镜子公司宾得医疗的日本光学仪器巨头豪雅株式会社（Hoya Corporation）遭到“国际猎手”（Hunters International）团伙的勒索软件攻击，该团伙要求豪雅支付1000万美元赎金（约合人民币7240万元）获取解密工具，否则将公开窃取的文件。

4月22日，有消息显示，在被黑客攻击了近两个月后，美国医疗IT巨头Change Healthcare承认已经向一个被称为AlphV或BlackCat的黑客团伙，支付了一笔350个比特币或大约2200万美元（约合人民币1.6亿）的赎金。受网络攻击影响，Change Healthcare表示公司已经损失了8.72亿美元（63 亿元人民币），并预计从长远来看，这一数字将超过10亿美元。

据加密货币追踪公司 Chainalysis 统计，2023 年勒索软件受害者共向黑客支付了整整 11 亿美元的赎金，创下了历史纪录。此次事件也再次提醒了企业在网络安全方面的重要性，以及应对潜在威胁的紧迫性。

尤其对于医疗企业而言，产生数据安全问题不仅会面临财务和名誉的严重损失，还将威胁到公众的健康。因此，有关数据安全及隐私保护等议题管理将是医疗企业ESG管理的重点。

01

信息窃取或涉半导体机密

日本HOYA株式会社成立于1941年，是一家致力于在“生命护理”和“信息通讯”两个业务领域提供先进尖端技术的全球性企业，是世界第二大眼镜镜片生产商、日本第一大隐形眼镜生产商、世界第二大医用内窥镜生产商和日本第一大白内障用眼内镜片/陶瓷人造骨骼生产商，同时在半导体制造的关键材料供应方面也占据重要地位，特别是EUV掩模坯料和光掩模的生产。

4月4日，公司表示其多个业务部门的IT系统遭到了中断，并正在调查黑客是否访问或窃取了敏感信息。

4月13日，法国媒体LeMagIT披露，攻击者“Hunters International”（国际猎人）窃取了约2TB内部数据，要求豪雅支付高达1000万美元的赎金。国际猎人将采取“不谈判/不打折”的策略，表示这是唯一能接受的报价。

“国际猎手”是一个在2023年中期出现的勒索软件即服务（RaaS）团伙，攻击目标非常广泛，甚至包括医院，并向患者提出勒索要求。目前豪雅未对事态最新进展作出评论。

02

1.6亿打水漂

第二家黑客找上门

支付赎金在此类网络攻击中未必能保障信息的安全，相反还可能助长这类勒索。

近日，Change Healthcare在网络崩溃两个多月后，首次证实已在2月向黑客支付了赎金，然而公司仍然面临着丢失大量客户敏感医疗数据的风险，并发出声明警告这些数据将“覆盖美国很大一部分人”。

有网络安全和加密货币研究人员在3月1日发现，有一笔350个比特币或大约2200万美元的交易被发送到与AlphV黑客相关的加密钱包中，该交易在比特币的区块链上公开可见。

Change Healthcare对勒索付款的行为招致了许多批评和担忧，网络安全公司Analyst1的研究员Jon DiMaggio发表评论称：“这种行为100%鼓励了其他黑客把医疗机构作为攻击目标，这是我们最不希望勒索软件瞄准的行业之一，尤其是当它会影响到医院时。”

Change Healthcare 为美国医保系统提供病人账单支付服务，每年处理数十亿美元的交易，涉及大约三分之一的美国人医疗信息记录，覆盖约一亿人口。公司的系统瘫痪，使全美数百家医疗机构的处方和医疗保险审批陷入困境，是美国史上最大的医疗网络攻击事件。

3 月 26 日至 4 月 3 日期间对美国医学协会成员进行的一项调查发现，五分之四的临床医生因这一危机而损失了收入。与此同时，Change Healthcare表示，公司已经损失了8.72亿美元（63 亿元人民币），并预计从长远来看，这一数字将超过10亿美元。

或许正是因为面临巨大的财政压力，Change Healthcare最终选择支付赎金以免遭受更多损失。然而雪上加霜的是，这种行为可能助长了黑客的勒索。近日，第二个勒索软件组织RansomHub声称拥有 Change Healthcare 的被盗数据，并威胁要将其出售给暗网上出价最高的人。

RansomHub已向媒体发送了据称来自Change Healthcare网络的被盗数据样本，包括患者记录和与另一家医疗保健公司的合同。

这一令人遗憾的结果告诉我们，支付赎金既奖励了极具破坏性的网络攻击，又向其他黑客组织表明，医疗公司是特别有利可图的目标，因为这些公司对网络攻击的高昂成本特别敏感，以及对患者健康可能构成极大的风险。

03

信息安全

备受关注的ESG议题

伴随着医院数据中心所存储的医疗数据快速增长，同时医联体的建设也促使医疗数据种类不断丰富，医疗企业和机构面领着极高的数据安全管理压力。

据《2020年全球高级持续威胁(APT)年度报告》，2020年医疗卫生行业以23.7%的占比，历史上首次超过政府、金融、国防、能源、电信等领域，成为全球APT活动关注的首要目标。

数字化转型的到来将迫使公司更好地了解数据和数据法规如何长期影响其业务战略，特别是随着消费者越来越意识到个人数据的使用和共享，采取积极措施的企业会扩大对符合法规的数据隐私计划的新的投资，以确保正确地处理客户数据。

将数据隐私和数据合规性作为ESG目标的一个可衡量的组成部分，将有助于使企业承担责任，并使该问题在整个组织中保持领先。面对这一发展趋势，未来器械之家将积极关注ESG领域的前沿信息，协同中国医疗器械行业协会ESG特别工作组共同建构具有中国特色的医疗器械行业ESG健全体系，发挥榜样力量，引导提升ESG建设水平，提升中国医疗器械行业的全球影响力。