概述
2026年3月11日,多份独立报告证实,美国一家大型医疗设备公司遭到了重大网络攻击,该攻击被认为是由与伊朗有关联的威胁行为体发起的。尽管对此次事件的范围和影响的调查仍在进行中,但初步调查结果表明,此次攻击可能是由伊朗国家支持的网络犯罪集团发起的一场更大规模行动的一部分,该集团的任务是针对美国企业——尤其是医疗保健和生命科学领域的公司。
本警报概述了当前的威胁态势,包括语音钓鱼(vishing)作为攻击载体的使用日益增多,总结了关键的法律和监管考量,并提出了组织应立即采取的切实措施,以加强其网络安全态势和应对准备。尽管医疗保健和生命科学公司面临严峻风险,但与伊朗有关联的威胁行为者所构成的威胁并不局限于该领域。所有美国公司都应评估自身面临的风险,并采取主动措施。
为何医疗保健企业应保持高度警惕
尽管医疗保健行业长期以来一直被视为网络攻击的主要目标,但近期威胁形势的变化表明,来自国外威胁行为者的攻击已显著升级。多种因素使得医疗保健和生命科学企业尤其容易受到攻击。值得注意的例子包括以下几点:
- 地缘政治风险。 美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)及其他美国政府机构已多次警告称,伊朗国家支持的威胁行为者正积极针对美国关键基础设施(包括医疗保健系统)发起攻击。这些威胁行为者采用了一系列复杂的技术手段,包括鱼叉式网络钓鱼、语音钓鱼、利用已知漏洞、窃取凭证,以及部署勒索软件和数据擦除恶意软件。
- 敏感数据。医疗保健公司掌握着海量的受保护健康信息(PHI)、个人身份信息(PII)、财务和保险记录以及专有研究数据。对于从事间谍活动、敲诈勒索以及在非法市场上倒卖数据的威胁行为者而言,这些类别的敏感个人数据具有极高的价值。 众所周知,包括与伊朗有关联的威胁行为者在内的国家支持型威胁行为者,除了利用勒索软件和敲诈勒索外,还会将美国企业作为目标,开展经济和科学间谍活动。
- 知识产权与商业秘密。除了个人数据外,医疗保健和生命科学公司通常还拥有宝贵的知识产权,包括已获专利的医疗器械设计、药品配方、临床试验数据、制造工艺、专有算法以及研发管线。 商业秘密和专有研究成果的泄露可能造成无法弥补的竞争损害,削弱专利组合,并危及多年的研发投资。与受成熟通报机制约束的个人数据泄露不同,知识产权盗窃可能长期不被察觉。这些情况带来了独特的法律、商业和战略挑战,需要专门的关注。
- 受出口管制的数据。除敏感个人数据和知识产权外,部分医疗保健及生命科学公司可能还持有受美国出口管制法律约束的技术数据、技术及其他物品。 这可能包括受《出口管理条例》(EAR)管制的两用商业物品,或在更严重的情况下,受《国际武器贸易条例》(ITAR)管制的军用级物品。由于《出口管理条例》和《国际武器贸易条例》禁止向伊朗及伊朗个人转让技术,因此,即使企业是受害方,若其成为伊朗威胁行为者的攻击目标,仍可能受到联邦调查局(FBI)及其他美国政府执法机构的调查。
- 运营紧迫性。医疗机构往往面临着保持运营不中断的巨大压力。这种紧迫性可能导致它们更倾向于迅速支付赎金,从而使它们成为更具吸引力的攻击目标。
- 复杂的供应链。医疗保健生态系统涉及由供应商、业务合作伙伴和技术合作伙伴组成的庞大网络,其中任何一方都可能成为攻击者的潜在入侵点。
“语音钓鱼”威胁:语音钓鱼正成为一种日益猖獗的攻击手段
各组织应意识到,语音钓鱼(即通过电话进行的钓鱼攻击)已成为威胁行为者(包括国家支持的组织)武器库中日益重要的手段。与传统的电子邮件钓鱼不同,语音钓鱼利用了人们对语音通信的固有信任,以及在实时情况下难以核实来电者身份的特点。
在典型的语音钓鱼攻击中,攻击者会致电员工,并冒充值得信赖的人物,例如 IT 服务台技术人员、高级管理人员、政府官员或供应商代表。来电者可能会提及具体的内部信息(员工姓名、系统名称、近期事件)来建立可信度。其目的是诱使目标采取危及安全的行动,例如:
- 泄露凭据,包括用户名、密码或多因素身份验证(MFA)验证码;
- 根据来电者的指示,通过安装远程桌面软件或禁用安全控制措施来授予远程访问权限;
- 授权进行金融交易,例如欺诈性电汇或更改付款路由信息;或
- 在通话期间或通话结束后立即点击通过短信或电子邮件发送的恶意链接。
在医疗保健和专业服务领域,语音钓鱼(Vishing)尤为危险。这些领域的员工经常需要与各类外部人员打交道,且工作节奏快,往往面临必须迅速回应看似紧急请求的压力。此外,语音钓鱼也越来越多地被用作多阶段攻击的第一步:通过电话绕过技术防御,为后续通过电子邮件、恶意软件或凭证滥用进行的攻击铺平道路。
各组织应像对待电子邮件钓鱼一样严肃对待语音钓鱼,并确保其安全意识培训计划、报告流程和事件响应计划明确涵盖这一攻击途径。
建议立即采取的措施
鉴于当前的威胁形势,我们建议所有客户,尤其是医疗保健行业的客户,立即采取以下措施:
- 审查并压力测试事件响应计划。每个组织都应制定书面事件响应计划,明确关键的内部和外部利益相关方,建立清晰的沟通渠道,并界定关键行动(如系统隔离、取证调查、监管机构通报及公众沟通)的决策权限。如果您的计划在过去12个月内未通过桌面演练进行过测试,现在正是安排一次演练的时候。 演练应涵盖语音钓鱼及其他社会工程学攻击等场景,而不仅仅是技术入侵,以确保员工和管理层能够应对可能面临的各种威胁。
- 确保所有员工了解报告流程。在整个组织内建立并强化“发现可疑情况,立即报告”的文化。各级员工都应知道如何报告可疑电子邮件、可疑电话、异常系统行为、意外的多因素身份验证提示,或任何其他异常情况。 具体而言,应培训员工识别语音钓鱼攻击的典型特征,包括制造紧迫感、冒用职权、索要凭证或访问权限,以及拒绝允许回拨验证等,并指导员工在采取任何行动前立即挂断电话并独立核实来电者身份。快速发现和报告是限制网络安全事件损害的最重要因素之一。
- 审查访问控制和多因素身份验证(MFA)。对所有关键系统的用户访问权限进行审计,确保其仅限于各角色所需的最低限度。确认所有远程访问、特权账户及云端应用程序均已启用 MFA。删除或停用不再需要的账户,包括前员工、承包商和供应商的账户。至关重要的是,要提醒所有人员,切勿通过电话、短信或电子邮件向任何人提供 MFA 验证码。正规的 IT 或安全团队绝不会索要这些信息。 医疗保健机构应注意,拟议的《HIPAA安全规则》更新(下文将讨论)将把多因素身份验证(MFA)作为访问电子受保护健康信息(ePHI)的强制性要求。尚未全面实施多因素身份验证的机构应将此视为当务之急,既要应对当前的威胁,也要为预期的监管要求做好准备。
- 识别并保护关键知识产权。组织应对其最敏感的知识产权资产(包括商业秘密、专有研究数据、正在申请的专利、临床试验数据、生产规范和源代码)进行盘点或更新,并确保这些资产受到加强的技术控制和访问控制。关键步骤包括:
- 根据敏感程度对知识产权资产进行分类,并利用基于角色的访问控制和最小权限原则,确保仅允许经证实具有业务需求的人员访问。
- 确认已建立商业秘密保护机制,包括与员工和承包商签订的保密及发明权转让协议、与商业伙伴及合作方签订的保密协议,以及规范机密和专有信息处理与标识的明确内部政策。 根据联邦《商业秘密保护法》(DTSA)及各州类似法律,商业秘密的认定部分取决于权利人是否已采取“合理措施”来保密;组织应确保其安全措施足以满足这一标准。
- 开展出口分类审查,以确定某组织的科技、技术数据、软件及其他物品是否受《出口管理条例》(EAR)和《国际武器贸易条例》(ITAR)的管制。
- 在包含高价值知识产权的存储库中部署数据防泄漏(DLP)工具并加强监控,以检测未经授权的访问、批量下载或数据外泄企图,尤其是在当前威胁加剧的环境下。
- 审查协作和文件共享的做法,以确保专有研发材料不会通过不安全的渠道进行存储或传输。
- 根据敏感程度对知识产权资产进行分类,并利用基于角色的访问控制和最小权限原则,确保仅允许经证实具有业务需求的人员访问。
- 评估供应商和第三方风险。评估关键供应商及业务合作伙伴的网络安全措施,特别是那些能够接触敏感数据或关键系统的对象。确认供应商合同中包含适当的数据安全要求、数据泄露通知义务以及审计权。在当前的威胁环境下,应考虑是否应对某些第三方连接进行限制或实施额外监控。 请注意,语音钓鱼攻击通常涉及冒充已知供应商。员工应通过已建立且经过独立验证的联系渠道,核实任何意外的供应商请求。根据拟议的“HIPAA 2.0”框架,业务合作伙伴将被要求验证其是否符合适用的技术保障措施。组织应立即开始将此类验证机制纳入其供应商管理流程。 组织还应确认供应商及合作协议中包含强有力的知识产权所有权、保密性和使用限制条款;供应链遭到破坏导致共享的研发数据或联合开发的知识产权泄露,可能会引发关于所有权、责任及损失分摊的复杂纠纷。
- 优先处理补丁管理和系统监控。已知与伊朗有关联的威胁行为者会利用已公开披露的软件漏洞,且往往在漏洞披露后的数日内便发起攻击。各组织应确保所有系统、应用程序和固件都能及时打补丁并更新。应加强对网络流量、终端活动及访问日志的监控,以发现入侵迹象,并确保安全信息和事件管理(SIEM)系统已配置为能够检测与伊朗网络攻击团体相关的已知威胁特征码。 医疗保健机构还应注意,拟议的《健康保险流通与责任法案》(HIPAA)安全规则更新将要求至少每六个月进行一次漏洞扫描,并至少每年进行一次渗透测试。现在就建立这些实践,既能增强对当前威胁的防御能力,也有助于机构在合规方面占据有利地位。
- 投资于员工培训和钓鱼攻击防范意识。针对性钓鱼攻击仍然是最常见且最有效的攻击途径之一,但语音钓鱼攻击正迅速缩小这一差距。应针对全体员工开展有针对性的培训,重点在于识别钓鱼攻击企图、核实凭证或财务信息请求,以及避免点击可疑链接或打开可疑附件。 培训应包含真实的语音钓鱼模拟演练,而不仅仅是基于电子邮件的钓鱼测试,以便员工亲身体验实际社会工程学电话中施加的压力和说服技巧。可考虑部署模拟钓鱼活动来测试并强化员工的防范意识。
- 了解您的监管通知义务。若发生涉及个人数据或受保护健康信息(PHI)泄露的网络安全事件,组织可能需同时履行联邦法律和州法律规定的通知义务。主要法律框架包括:
- 《健康保险流通与责任法案》(HIPAA)要求受管辖实体和业务合作伙伴在发现涉及未受保护的个人健康信息(PHI)的违规事件后,通常应在60天内通知受影响的个人、卫生与公众服务部部长,以及在某些情况下通知媒体。重要的是,医疗机构应为拟议的《HIPAA安全规则》更新做好准备,该更新通常被称为 HIPAA 2.0, 该提案由美国卫生与公众服务部(HHS)于2024年底作为《拟议规则制定通知》(NPRM)发布。该拟议规则将是《健康保险流通与责任法案》(HIPAA)安全规则自最初颁布以来最重大的现代化改革,并将大幅提高受规管实体和业务合作伙伴的网络安全义务。拟议的主要变更包括:
- 根据拟议规则,取消实施规范中“可选”与“必选”的区分,将使所有安全措施均成为强制性要求,从而取消了目前允许组织采取替代措施或说明某项规范为何不合理且不恰当的裁量权。
- 除极少数例外情况外,必须对静止状态和传输中的电子受保护健康信息(ePHI)进行加密。
- 所有访问电子受保护健康信息(ePHI)的行为均须采用强制性多因素身份验证(MFA)。
- 必须至少每年编制并更新技术资产清单和网络拓扑图,以便组织能够清楚了解电子受保护健康信息(ePHI)的存储位置及其在系统中的流动路径。
- 更具体、更具指导性的风险分析要求,包括具体的方法论和文档标准。
- 每六个月进行一次漏洞扫描,每年至少进行一次渗透测试。
- 受监管实体在核实业务合作伙伴合规性时,必须获取书面证明,确认其业务合作伙伴已实施必要的技术保障措施,而不能仅依赖合同中的声明。
- 事件响应计划的测试要求,强调了定期开展桌面演练和更新计划的必要性。
- 尽管截至本警报发布之日,最终规则尚未颁布,但各组织不应等待规则最终确定后再开始评估其准备情况。拟议的要求反映了联邦医疗保健网络安全监管的发展方向,其中许多拟议措施——包括加密、多因素认证(MFA)、资产清点、定期漏洞扫描以及事件响应测试——已被公认为最佳实践,这些措施将显著增强组织抵御当前针对该行业实施的各类国家支持型攻击的能力。 我们强烈建议各组织预先明确其适用的监管义务,并将通知程序纳入事件响应计划,而非在事件发生期间才试图应对这些要求。
- 根据拟议规则,取消实施规范中“可选”与“必选”的区分,将使所有安全措施均成为强制性要求,从而取消了目前允许组织采取替代措施或说明某项规范为何不合理且不恰当的裁量权。
- 《关键基础设施网络安全法案》(CIRCIA)要求受监管的关键基础设施实体在72小时内向美国网络安全与基础设施安全局(CISA)报告重大网络安全事件,并在24小时内报告勒索软件支付情况。(注:CISA计划于2026年5月前最终敲定《关键基础设施网络安全法案》下的强制报告规定。在最终规定出台前,CISA目前鼓励自愿报告。)
- 各州的违规通知法律规定了五花八门的要求,这些要求因管辖区域而异,包括对个人信息的定义、通知时限以及向州监管机构或总检察长通报的义务等方面均存在差异。
- 在支付任何赎金之前,必须考虑经济制裁合规问题。根据美国财政部外国资产控制办公室(OFAC)管理的经济制裁计划,严禁向伊朗、伊朗政府或其他伊朗方支付任何款项。向由伊朗实体拥有(或代表其行事)的各方,或列入OFAC“特别指定国民名单”的其他各方支付款项,同样受到禁止。 根据美国法律,明知故犯地向受制裁国家及实体付款属于犯罪行为,在某些情况下甚至可能构成对恐怖主义的实质性支持。即使是不慎向受制裁国家及实体付款,也可能引发严重后果,包括美国政府的调查、巨额民事罚款以及丧失银行往来关系。
- 即使没有明显的经济制裁风险,也可能违反《出口管理条例》( EAR)和《国际武器贸易条例》( ITAR)。 此外,鉴于伊朗是《国际武器贸易条例》(ITAR)下的“受禁运国家”,军事级技术及技术数据的转让或盗窃行为将触发向美国国务院国防贸易管制局(DDTC)的强制性报告义务。这些强制性报告必然导致DDTC通知美国财政部外国资产控制办公室(OFAC)、联邦调查局(FBI)及其他合作机构——这往往会引发多重政府调查,必须谨慎且同步地进行处理。
- 美国政府合同可能要求总承包商、分包商和联邦拨款接受方及时披露重大的网络安全事件和风险。对于涉及受控非机密信息(CUI)的航空航天和国防领域项目合同而言,这一点尤为重要,此类合同通常包含条款,要求在发现后72小时内进行披露。强烈建议将此类披露与其他涉及经济制裁和出口管制风险的披露进行协调。
- 根据美国证券交易委员会(SEC)的披露义务,上市公司可能需要及时披露重大的网络安全事件和风险。
- 《商业秘密保护法》(DTSA)及各州商业秘密法。虽然这些法规并未规定传统意义上的违规通知义务,但在网络攻击导致商业秘密被窃取或泄露的情况下,它们具有至关重要的法律意义。 《商业秘密保护法》规定了联邦民事诉讼理由;对于涉及为外国政府谋取利益的经济间谍活动,若存在盗用商业秘密的行为,还将依据《1996年经济间谍法》(《美国法典》第18编第1831–1839条)处以刑事处罚。 发现或怀疑在网络安全事件中发生商业秘密盗窃的组织,应迅速采取行动保全取证证据,并评估是否需要申请紧急禁令救济(包括 单方面 扣押令)是否必要,并评估是否应将案件移交联邦调查局(FBI)或司法部国家安全司,特别是在盗窃行为似乎与外国国家行为体有关的情况下。 关键在于,组织能否就商业秘密主张提起诉讼,取决于其能否证明已采取“合理措施”来维护秘密性,这使得上述预防措施(访问控制、分类管理、数据防泄漏工具、合同保护)不仅是良好的安全规范,更是必不可少的法律先决条件。
- 《健康保险流通与责任法案》(HIPAA)要求受管辖实体和业务合作伙伴在发现涉及未受保护的个人健康信息(PHI)的违规事件后,通常应在60天内通知受影响的个人、卫生与公众服务部部长,以及在某些情况下通知媒体。重要的是,医疗机构应为拟议的《HIPAA安全规则》更新做好准备,该更新通常被称为 HIPAA 2.0, 该提案由美国卫生与公众服务部(HHS)于2024年底作为《拟议规则制定通知》(NPRM)发布。该拟议规则将是《健康保险流通与责任法案》(HIPAA)安全规则自最初颁布以来最重大的现代化改革,并将大幅提高受规管实体和业务合作伙伴的网络安全义务。拟议的主要变更包括:
我们如何提供帮助
福里·拉德纳律师事务所的 网络安全与数据隐私业务组 正密切关注此次事件及更广泛的威胁态势。本团队在医疗保健行业及其他领域拥有丰富的经验,致力于为客户提供网络安全防范、事件响应、合规管理以及数据泄露相关诉讼方面的专业建议。
我们可以为您提供以下方面的协助:
- 审查并更新事件响应和业务连续性计划,包括将语音钓鱼和社交工程情景纳入桌面演练
- 开展桌面演练和战备评估
- 制定并审查针对网络钓鱼、语音钓鱼及其他社会工程学威胁的员工安全意识培训计划
- 就《健康保险流通与责任法案》(HIPAA)、州法律、《加州信息隐私与责任法案》(CIRCIA)及其他法规框架下的监管申报义务提供咨询
- 开展 HIPAA 2.0 差距分析,以评估组织在拟议《安全规则》要求方面的准备情况
- 评估与勒索软件赎金要求相关的OFAC制裁风险
- 管理法证调查并配合执法部门
- 评估供应商和第三方网络安全风险
- 应对监管调查及数据泄露诉讼
- 就商业秘密保护策略提供咨询,包括知识产权资产分类、“合理措施”评估,以及审查保密协议、保密协议(NDA)和发明转让协议,以确保商业秘密地位得以维持
- 在确认或怀疑发生知识产权外泄的情况下,寻求紧急禁令救济并提起《数字千年版权法》(DTSA)及州商业秘密法相关诉讼
- 评估涉及受管制技术或技术数据的网络安全事件对出口管制的潜在影响,并就《出口管理条例》(EAR)和《国际武器贸易条例》(ITAR)下的报告义务提供建议
- 针对供应商、合作及供应链协议开展知识产权风险评估,以识别并降低因第三方安全漏洞导致的知识产权损失风险
如果您对当前的威胁态势、贵组织的应对准备情况,或贵组织的网络安全与数据隐私计划的任何方面有疑问,请随时联系 网络安全与数据隐私小组的任何成员。
_____________________________________________________________________________________________________
本简报由福里·拉德纳律师事务所(Foley & Lardner LLP)发布,仅供参考,不构成法律建议。本文所载信息基于截至2026年3月11日的公开报道,并可能随新事实的披露而发生变化。收到本简报并不构成律师与客户之间的委托关系。读者应就其具体情况和义务咨询合格的法律顾问。
