全球器械巨头遭攻击，公司回应：销售代表可联系！

这几天有个挺特别的事儿，全球器械巨头史赛克（Stryker）遭遇网络攻击，内部网络仿佛一夜之间“消失”，在近期美以伊局势紧张的背景下，这起事件也迅速引发业界关注和热议。

最新的进展已经公布了，大咪给 MRCLUB 的小伙伴们分享一下。

3 月 15 日，史赛克就公司网络中断及系统恢复发布更新公告，表示史赛克全球产品组合中的所有产品，包括互联设备、数字化技术以及救命设备，均可安全使用。

“本次事件仅限于史赛克内部的微软系统环境，因此并未影响我们的任何产品——无论是否联网。”史赛克这样描述。

同时，史赛克希望客户与其销售代表进行联系和沟通，表示史赛克销售代表到医院或医疗机构现场开展工作是完全安全的，客户也可以通过电话或电子邮件与史赛克员工进行沟通。

史赛克强调，本次事件仅影响史赛克内部的微软企业系统环境。“这不是一次勒索软件攻击，目前也没有证据表明我们的系统中存在恶意软件。该事件已经得到控制，目前我们正在推进系统恢复工作，并且恢复进展正在稳步推进。”

据公告，史赛克公司正在积极恢复电子订货系统，在此期间，史赛克的销售代表将与客户及经销商直接合作，在具备条件的情况下通过人工订货的方式为客户和经销商补货。

一夜之间“公司系统消失”

﹀

3 月 11 日这天，对很多史赛克（Stryker）员工来说，是一个异常混乱的早晨。多家英文媒体和安全媒体报道称，不少员工是在周三早上准备开始工作时，才发现情况不对——公司配发的笔记本电脑和工作手机突然无法正常使用，一些设备甚至被远程重置或禁用，无法登录企业系统。内部邮箱、VPN、办公系统等多个应用同时失效，公司内部网络几乎一夜之间“消失”。

据《华尔街日报》等媒体援引员工说法，当天不少运行 Windows 系统的设备出现异常，有的电脑被恢复到初始状态，有的手机无法再连接公司账户，数千名员工几乎无法访问任何内部系统，全球多个办公室 IT 系统中断。一些安全媒体称，这种情况更像是一种破坏性网络攻击，而不是常见的勒索软件事件。部分员工还在论坛和社交平台上透露，很多人直到尝试登录系统或打开电脑时，才意识到公司 IT 环境已经大范围瘫痪。

很快，史赛克公司迅速向员工发出内部通知，要求大家立即断开所有网络连接，并暂时不要开启公司配发的设备，以避免潜在攻击继续扩散。部分员工还被提醒不要通过公司设备访问任何系统，等待 IT 部门进一步指引。媒体报道称，在一些办公室中，当天几乎所有内部系统都无法使用，员工只能通过个人手机或其他渠道与同事保持联系。

在系统中断的同时，史赛克公司当天也迅速启动了应急响应措施，在官网建立了专门的“网络中断进展”专题页面，向员工和客户表示，事件主要影响的是公司内部的微软企业环境，医疗设备和客户系统并未受到影响。

与此同时，史赛克开始与外部网络安全专家合作展开调查，并尝试逐步恢复订单处理、生产和发货等关键业务系统。

向 SEC 及客户披露事件进展

﹀

3 月 12 日，史赛克向美国证券交易委员会（SEC）提交了与此次网络攻击相关的披露文件，这也属于美国上市公司网络安全事件的标准披露流程。

在向 SEC 提交的 8-K 披露文件中，史赛克表示，公司正全力以赴恢复受影响的功能和系统访问，但全面恢复的具体时间尚无法确定。根据目前的初步调查，公司认为该事件已被控制。目前没有迹象表明此次事件涉及勒索软件或恶意软件。史赛克正在持续调查该事件的性质和范围，并评估其对公司运营的潜在影响。

公司已实施业务连续性措施，以尽量减少该事件对业务运营的影响。目前公司尚无法确定该事件是否会对公司的运营或财务状况产生重大影响。

3 月 14 日，史赛克又提交了补充 8-K 文件，披露公司在发现全球范围内的微软环境中断后，公司首席信息安全官戴夫·纳森斯（Dave Nathans）已于 3 月 12 日向公司部分客户和网络安全社区的其他成员通报了此次持续发生的网络安全事件的最新情况。

此后，史赛克于事件专题页面连续多日更新，向客户及公众介绍网络中断及系统恢复进展。

3 月 13 日，史赛克发布多次更新，在公告中表示，公司正在应对因网络攻击导致的微软系统环境全球中断，目前没有迹象表明存在勒索软件或恶意软件，公司认为该事件已经得到控制。

可以确认史赛克的 Surgical Visualization Platforms（手术可视化平台）和 Connected OR Hub，以及史赛克内窥镜业务的服务器和云产品，包括 Studio3、Datamediator、Hospital Status 和 Cisco Codecs，均未受到影响。

史赛克表示，公司的网络安全团队和产品安全团队在日常运营中持续监测异常情况，已确认客户数据流运行正常，并将继续监控系统性能。除其他预防措施外，公司还提高了所有云环境安全扫描的频率，并对访问控制进行全面审查，以确保客户数据的持续完整性。

攻击原因仍在调查

﹀

截至目前，史赛克并未披露此次网络攻击的具体来源或攻击方式。不过，多家网络安全机构和安全媒体对事件背景进行了分析。

一些安全研究机构指出，此次攻击的表现形式更接近“破坏性攻击”，即攻击者直接清空或禁用设备，而不是通过勒索软件获取赎金。一些媒体报道称，攻击可能通过企业 IT 环境中的设备管理系统或身份认证系统扩散，从而导致大量员工设备被远程重置。

与此同时，有安全机构表示，一个被称为 Handala 的黑客组织曾宣称对攻击负责。该组织长期活跃于网络攻击行动中，被部分研究机构认为与伊朗相关的网络行动有关。也有分析人士指出，此类攻击近年来在地缘政治紧张背景下有所增加。

不过，目前上述说法仍停留在安全机构和媒体的分析阶段，史赛克方面尚未确认攻击来源。公司表示，对此次事件性质和范围的调查仍在继续，并将在获得更多信息后进一步对外更新。