至少750家美国医院在去年CrowdStrike故障期间遭遇服务中断，研究发现

一项医疗网络安全研究团队的新研究首次尝试量化CrowdStrike灾难的成本，不是以美元计算，而是以对美国医院及其患者的潜在危害来衡量。研究显示，数百家医院的服务在中断期间受到影响，并引发了对患者健康和福祉可能产生严重影响的担忧。

加州大学圣地亚哥分校的研究人员今天通过在美国医学会网络杂志JAMA Network Open上发表论文，纪念CrowdStrike灾难一周年。该论文首次尝试粗略估计在2024年7月19日IT崩溃中网络受影响的医院数量，以及这些网络上的哪些服务似乎受到了干扰。

通过扫描危机前、期间和之后医院网络的互联网暴露部分，他们检测到美国至少有759家医院在当天似乎经历了某种类型的网络中断。他们发现，其中200多家医院似乎特别受到了直接影响患者的中断，从无法访问的健康记录和测试扫描到离线的胎儿监测系统。在他们能够扫描的2,232个医院网络中，研究人员检测到整整34%的网络似乎遭受了某种类型的中断。

所有这些表明CrowdStrike中断可能是一个"重大的公共卫生问题"，UCSD急诊医生和网络安全研究员、论文作者之一Christian Dameff认为。“如果一年前发生这件事时我们就有这篇论文的数据，“他补充说，“我认为我们会更加关注它真正对美国医疗保健产生了多大影响。”

CrowdStrike在给WIRED的一份声明中强烈批评了UCSD的研究和JAMA发表它的决定，称该论文为"垃圾科学”。他们指出，研究人员没有验证受干扰的网络是否运行Windows或CrowdStrike软件，并指出微软的云服务Azure在同一天经历了重大中断，这可能对部分医院网络中断负责。“在没有与任何提到的医院验证发现的情况下得出关于停机和患者影响的结论是完全不负责任和科学上站不住脚的，“声明中写道。

“虽然我们拒绝接受这份报告的方法和结论，但我们认识到一年前事件的影响，“声明补充说。“正如我们从一开始所说的，我们真诚地向我们的客户和受影响的人道歉，并继续专注于加强我们平台和行业的韧性。”

针对CrowdStrike的批评，UCSD研究人员表示他们坚持自己的发现。他们指出，CrowdStrike提到的Azure中断开始于前一天晚上，主要影响美国中部，而他们测量的中断开始于美国东部时间7月19日大约午夜——大约是CrowdStrike有缺陷的更新开始崩溃计算机的时间——并影响了整个国家。（微软没有立即回应评论请求。）“除了CrowdStrike的崩溃之外，我们不知道有任何其他假设可以解释我们在医院网络内部看到的这种同时地理分布的服务中断，“UCSD计算机科学教授、论文合著者Stefan Savage在给WIRED的电子邮件中写道。（JAMA拒绝就CrowdStrike的批评发表评论。）

事实上，研究人员将他们检测到的医院中断计数描述为仅是最低估计，而不是CrowdStrike崩溃的真实爆炸半径的衡量。这部分是因为研究人员只能扫描美国6,000多家医院的大约三分之一，这表明受影响的医疗设施的真实数量可能高出几倍。

UCSD研究人员的发现源于一个更大的互联网扫描项目，他们称之为Ransomwhere？，由健康高级研究计划局资助，于2024年初启动，旨在检测医院的勒索软件中断。由于该项目，当CrowdStrike的2024年7月灾难发生时，他们已经在使用扫描工具ZMap和Censys探测美国医院。

对于研究人员检测到服务在7月19日离线的759家医院，他们的扫描还允许他们分析哪些特定服务似乎宕机，使用公开可用的工具如Censys和Lantern Project来识别不同的医疗服务，以及手动检查一些他们可以访问的基于网络的服务。他们发现202家医院经历了直接与患者相关的服务中断。这些服务包括用于查看患者健康记录的工作人员门户、胎儿监测系统、患者护理远程监控工具、允许患者转移到另一家医院的安全文件传输系统、“院前"信息系统，如可以将初始测试结果从救护车共享到急诊室以进行时间关键治疗的工具，以及用于使扫描结果可供医生和患者使用的图像存储和检索系统。

“如果患者正在中风，放射科医生需要快速查看扫描图像，从CT扫描仪到放射科医生读取会困难得多，“Dameff提供了一个假设例子。

研究人员还发现212家医院有"操作相关"系统的中断，如员工调度平台、账单支付系统和管理患者等待时间的工具。在另一类"研究相关"服务中，研究发现62家医院面临中断。研究人员发现中最大比例的中断是一个"其他"类别，包括研究人员在扫描中无法完全识别的离线服务，涉及287家医院，表明其中一些也可能是未计数的患者相关服务。

“这篇论文中没有说某人的中风被误诊或某人获得救生抗生素的护理被延迟，例如。但可能有，“Dameff说。“我认为有很多这类中断的证据。很难争辩人们没有在潜在相当重大的水平上受到影响。”

研究的发现给过去一年已经出现的关于CrowdStrike中断如何影响医疗设施的轶事报告提供了广泛的新范围感。WIRED当时报道，主要非营利医疗系统Baylor医院网络和Quest Diagnostics都无法处理常规血液工作。据报道，波士顿地区的医院系统Mass General Brigham不得不将其45,000台PC重新上线，每台都需要手动修复，耗时15到20分钟。

在他们的研究中，研究人员还尝试粗略测量受CrowdStrike中断影响的医院服务的停机时间长度，并发现大多数恢复相对较快：约58%的医院服务在六小时内恢复上线，只有约8%需要超过48小时恢复。

研究人员指出，这比实际网络攻击导致的中断要短得多：2017年的大规模传播恶意软件攻击如NotPetya和WannaCry，以及2024年初袭击United Healthcare支付提供商子公司的Change Healthcare勒索软件攻击，都关闭了美国各地——或在WannaCry的情况下，英国——的数十家医院，在某些情况下持续数天或数周。但研究人员认为，CrowdStrike崩溃的影响仍然值得与那些故意造成的数字灾难对医院进行比较。

“停机的持续时间不同，但广度、全国受影响医院的数量、规模、中断的潜在强度是相似的，“儿科医生、麻醉师和网络安全研究员、研究合著者Jeffrey Tully说。

数小时甚至数分钟的延迟可以增加心脏病发作和中风患者的死亡率，专注于医疗网络安全的网络安全研究员、前CISA工作人员、审查了UCSD研究的Josh Corman说。这意味着即使是在数百家医院中患者相关服务的较短持续时间中断也可能产生具体且严重有害——如果难以衡量——的后果。

除了对这一单一事件对患者健康的可能损失进行首次估计外，UCSD团队强调他们研究的真正工作是表明，使用正确的工具，可以监控并从这些大规模医疗网络中断中学习。结果可能是更好地理解如何预防——或在更多故意停机来自网络攻击和勒索软件的情况下——保护医院未来不再经历它们。