英國 NHS 遭受wannacry病毒攻擊，引發公眾對醫療信息安全的擔憂

「一位80多歲的老人說，他剛換好病號服，躺上MRI床準備接受檢查時，卻被醫院工作人員叫了下來，告知他醫院的信息系統出了問題」。

就在本月初，Wannacry病毒對全世界範圍運行Windows 系統的電腦進行了攻擊，英國國民醫療保健體系NHS也未能倖免。據BBC的消息，英國國內有超過60家醫院和全科診所因受到病毒攻擊而導致信息系統無法正常運轉，醫生無法查看患者的病歷，救護車服務頻次減少，而許多患者也被迫面臨就診的延誤甚至取消。

一直以來以醫療系統的中央數據採集和信息化為傲的NHS，在本次病毒襲擊面前卻顯得不堪一擊。儘管英國政府相關部門及時跟進了事件，並聲明儲存在NHS的病人數據並未因病毒感染事件遭到泄露，但英國媒體和民眾對英國醫療信息系統的可靠性紛紛提出了質疑。尤其是這一網路攻擊事件所暴露出的，本該作為NHS優勢的醫療數據互聯互通和中央集成，卻成為其致命弱點所在。

曾經為英國政府部門提供諮詢服務的網路安全專家表示，本次惡意程序很有可能就是通過英國醫療保健體系共享的文檔和信息散播的。

（圖為NHS Digital官方網站上對本次網路攻擊事件進行的更新和指引）

（圖為英國遭受惡意程序攻擊的NHS醫院網站通知）

A digital NHS? 數字化英國醫療體系？

NHS一直以來都大力提倡醫療數據的信息化和共享。早在2013年，當時剛剛上任的英國衛生大臣Jeremy Hunt就高調地宣布了「Paperless NHS 2018」計劃，希望在5年之後實現NHS的全面無紙化辦公。但醫療系統的改變速度之慢顯然給了自信滿滿的Hunt先生無情的打擊。隨著英國首相的改朝換代，雖然Hunt先生保住了衛生大臣的職位，但是他似乎非常不想讓人們記得他曾經誇下的海口。NHS 實現無紙化辦公的計劃隨後被延至2020年，而這一目標也被數字醫療智庫公司認為是「不現實的」。根據對NHS IT系統的研究和預期，該智庫表示數字化辦公的目標最早也要到2027年才能變為現實。

（就在去年底，Hunt這樣告訴NHS可持續委員會：「我曾經做出狂妄自大的許諾。在宣稱2018年NHS無紙化辦公的時候，我才當上衛生部長不久，而現在似乎大多數人都忘記了我做出的承諾，我反而覺得輕鬆了」。）

（去年12月份，英國衛生部長JeremyHunt訪華期間，筆者受邀參加的中英醫療交流活動）

儘管NHS全面施行數字化的目標似乎沒有英國政府所期望的那麼快達成，但是有關部門一直在推動數字化的進程。

早在2005年，英國就在國家層面成立了醫療照護信息儲存服務，稱為「NHS脊柱」 （Spine）。NHS脊柱系統是全世界最大的公共衛生信息平台之一，作為英國醫療衛生系統至關重要的基礎設施，該系統把英格蘭地區的23,000個醫療信息系統的數據進行收集和儲存，每天有約22萬名的用戶使用，每個月交互多達4億條的電子信息；系統為英格蘭地區的130萬名醫務人員提供了服務，並覆蓋了整個英國5000多萬名居民的醫療信息。

在2013年，英國衛生部牽頭成立了健康和社會保障信息中心The Health and Social Care InformationCentre (HSCIC)，之後改名為數字NHS（NHS Digital）。英國衛生部對數字NHS投入了巨額財力和物力，其中包括10億英鎊的保證金，兩億五千萬英鎊的運維資金和兩千五百名員工，用以持續地改善NHS為患者、醫生和醫療機構提供的數字化服務和醫療數據共享。

不僅如此, 近年來NHS還非常迎合AI這一趨勢，與數字醫療保健領域內的英國企業達成了多項合作，其中最為出名的莫過於英國皇家自由醫院與ALPHAGO的發明者Google Deepmind公司進行的醫療數據共享項目。Deepmind宣稱，通過他們的Streams App，醫務人員可以及時得知患者的病情變化，並作出相應處理，而護理人員也說「這一軟體可以讓他們每天節約兩小時時間。」

（圖中黑衣女性為英國皇家自由醫院的因產後併發症導致急性腎衰竭的患者 Afia Ahmed。根據其血液檢查結果，Deepmind開發的Streams App探測到了腎病相關的指標，並將其發送給了腎病專科醫生。腎病科醫生根據檢驗結果，建議產科醫生及時調整了Afia的用藥，並通過StreamsApp持續跟蹤Afia的診治及腎功能恢復情況。）

此外，NHS 111非急診諮詢熱線也與英國Babylon Health公司進行合作，讓Babylon的AI醫生即時回復病人的諮詢簡訊，並對病人做出指導。

（圖為Babylon Health的人工智慧醫生問診界面）

看上去很美

英國對醫療系統信息化如此龐大的投入，以及NHS積極和數字醫療頂尖公司的合作探索，似乎並沒有抵擋住來勢洶洶的惡意程序攻擊和民眾對醫療信息安全保護的質疑。

而事實上，英國衛生部信息安全部門在病毒襲擊的不到一年前的2016年7月份才剛剛發布了NHS 醫療數據的信息安全、許可和退出報告。這份長達60頁的報告著重向英國衛生大臣強調了加強醫療健康數據安全的重要性，以及民眾應該有權知道他們的醫療數據是被如何使用的。但從60間NHS醫療機構遭受病毒攻擊一事看來，恐怕這些建議並沒有被很好地採納和執行。

（圖為英國某NHS醫院遭受網路攻擊後，由於急診科IT系統癱瘓，在大門上貼出的告示：急診科沒有IT設施）

同時，Deepmind與英國皇家自由醫院合作的合法性就一直飽受爭議。據英國多家媒體報道稱，Deepmind Streams App收集了160萬名患者的醫療檔案信息，這包括了患者既往的病歷，患者位置信息，甚至患者的訪客細節。英國衛生部信息安全部門主管Dame Fiona Caldicott批評說：「從我看來，Deepmind收集了160萬名患者的信息的目的並不是為患者提供服務，而是為了測試Streams App」。對此，Deepmind方面表示稱：「提供給App的數據是在醫院的嚴格監管下的，也永遠不會用作商業用途，或和谷歌的產品或廣告結合」。

（圖為Google Deepmind位於倫敦國王十字的辦公室）

做為數字醫療技術水平世界領先，醫療資源高度信息化的國家，英國NHS IT系統的大規模癱瘓事件讓人們對極為隱私的患者信息安全儲存表現了極大的擔憂。人們關注的問題是，獲取醫療信息以改善臨床診療水平和保護患者隱私的邊界在哪裡呢？

對於如何更好地提高醫療信息系統網路安全，英國醫療健康智庫國王基金作出了如下幾點建議：

1.網路安全是每個人的責任

2.政府和醫療機構必須重視對IT系統的投入

3.在國家和機構層面，必須有對直接影響醫療照護的網路攻擊之應急預案

4.政府必須保證所有相關部門都達到網路安全的最低標準

5.政府必須清除NHS完善網路安全的障礙

本次Wannacry病毒襲擊NHS事件雖然已經暫告一段落，但卻仍然讓人心有餘悸。也許只有下一次安全威脅來臨時，才能知道英國的醫療系統是否已經做好了準備吧。

References:

HomeNHS hospitals won』t be paperless before 2027 | Digital Health

Google DeepMind patient app legality questioned - BBC News

New app helping to improve patient care

Googles controversial deal for 1.6 million NHS patients data called legally inappropriate

Review of data security, consent and opt-outshttps://deepmind.com/applied/deepmind-health/Patching up NHS cybersecurity: five lessons to be learned
推薦閱讀：