NHS供应商结束对导致患者死亡的网络攻击的18个月调查

Synnovis最终完成了对2024年勒索软件攻击的调查。该攻击曾使伦敦的病理服务陷入瘫痪，结束了这家NHS供应商所描述的其面临过的最复杂的数据重建工作之一，历时18个月。

此次攻击由Qilin勒索软件团伙声称负责。在2024年6月病理服务提供商的系统宕机后，导致数千次预约和手术被取消。Synnovis现已确认其取证审查已完成，但该公司仍未说明受影响的具体人数。

根据Recorded Future的报道，安全公司CaseMatrix此前估计有超过90万名NHS患者的数据被泄露，尽管Synnovis既未证实也未质疑这一数字。

值得注意的是，在2025年6月，国王学院医院NHS信托基金确认，Synnovis供应商遭破坏造成的服务中断导致了一名患者的死亡——这一发现标志着勒索软件事件罕见地与死亡事件相关联。

Synnovis在本周发布的一份声明中表示，调查"花费了一年多时间才完成，因为被破坏的数据是非结构化、不完整和碎片化的，通常非常难以理解。“声明补充说，专业的事件响应团队不得不使用"高度专业化的平台和定制流程"来处理数TB的混乱信息，并确定哪些医疗服务提供者的患者受到影响。

Synnovis首席执行官Mark Dollar表示：“为了破译和拼凑在这起砸抢式网络攻击中被盗的数据，我们进行了超过一年的艰苦调查。我亲眼目睹了挑战的规模——即使对于顶尖的网络专家而言——应对从我们系统中抓取的数据的随机性和碎片化性质。”

Synnovis表示，将在11月21日之前完成对所有依赖其病理服务的NHS组织的通知，告知它们委托给该公司的患者数据是否卷入了此次泄露事件。根据英国数据保护法，随后将由这些医院、全科医生诊所和诊所来通知个别患者。

该公司警告说，患者可能还需要等待一段时间。“医疗服务提供者通知受影响的患者可能需要一些时间，“声明说。“我们建议查看您的医疗服务提供者网站，了解任何相关更新。”

尽管Qilin团伙在去年夏天将窃取的文件在线泄露，但Synnovis强调，这些数据是"匆忙从工作驱动器上获取的，方式随机且无针对性。“该公司表示，攻击者并未访问其主要实验室数据库，而是在入侵期间拿走了他们能抓取到的任何文件。

根据Synnovis专门的网络攻击网站，一些文件包含了个人数据的碎片，如NHS号码、姓名或出生日期，而"极少量"文件包含了调查人员能够与特定个人匹配的测试结果。“大多数测试结果需要临床知识或进一步的丰富信息才能解读，“Synnovis表示，并补充说这些结果缺乏容易被滥用的明确阳性/阴性标志。

Synnovis还表示，被盗数据"从未以容易被任何怀有恶意意图的人轻松使用的形式存在”，尽管即使是部分的个人或医疗信息，当与其他泄露事件的数据结合时，对欺诈者或外国情报机构也可能有价值。

该公司重申，没有向Qilin支付赎金，并表示这一决定是与它服务的NHS信托基金共同做出的。“这一决定……反映了我们对道德原则的承诺，以及拒绝资助威胁关键基础设施、患者隐私和国家安全的未来网络犯罪活动，“Synnovis表示，但拒绝透露所要求的赎金金额。

Qilin团伙使用双重勒索策略，攻击了医疗服务提供商、学校、制造商和地方政府。该组织通常在加密系统前窃取大量数据，然后威胁如果受害者拒绝付款就公布窃取的材料。

据信该团伙源自俄罗斯，他们告诉《The Register》，他们对Synnovis的攻击是有意的，称"我们所有的攻击都不是偶然的”，并且"我们只选择那些管理层直接或间接与特定国家政治精英有关联的公司。”

Synnovis表示，其取证调查无法确定攻击者最初是如何获得入口的。所有受影响的基础设施此后均已更换，该公司坚称没有任何受破坏的系统仍在继续使用。这种对初始访问途径缺乏明确性的情况，可能会为NHS英格兰带来更多疑问，后者因其嵌入一线护理的供应商的安全性而面临日益严格的审查。

然而，对于患者来说，等待答案的过程仍在继续。随着Synnovis将通知责任转交给它所支持的数百家NHS组织，个别信息披露的时间表现在将因各提供商处理该公司调查结果的速度而异。至少，这为NHS近代史上最长、最具破坏性的事件调查之一画上了句号——尽管仍未解决近百万人的数据如何落入犯罪分子手中的问题。