后疫情时代 医疗机构安全风险直线上升
如今,医疗行业数字化建设正持续推进,疫情蔓延之后,各类医疗卫生机构的在线问诊、送药到家等服务也更加普及。在机构内部,不仅是各类信息系统、物联网设备越来越多,承载其中的医疗健康数据也呈几何增长。
作为关系到国计民生的重要行业,医疗系统出现安全问题,将对医院业务的连续运行造成极大威胁;医疗数据遭遇篡改、破坏和泄露,将对医患双方的隐私、健康安全及医疗机构的声誉构成严重威胁,严重时可能影响社会的稳定和谐。
令人印象深刻的是,近一年来,国际上屡屡发生疫苗研发机构等医疗单位遭黑客入侵与数据泄露的恶性事件,世界卫生组织在2020年4月发表声明,称疫情期间遭受网络攻击数量同比增长5倍。
在国内,形势同样不容乐观。
全国多省市曾曝出新冠确诊患者个人信息被泄露并遭到大规模转发;慧影医疗技术公司AI检测新冠病毒技术代码也遭到黑客窃取。奇安信发布相关报告指出,2020年疫情暴发后,医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域,成为全球APT活动关注的首要目标。中国首次超过美国、韩国、中东等国家和地区,成为全球APT活动的首要地区性目标。
网络犯罪分子除了利用系统漏洞等窃取医疗数据外, 还会使用更暴力的进攻方式——勒索攻击。医疗行业受勒索病毒感染的情况十分严重,根据腾讯智慧安全发布的《医疗行业勒索病毒专题报告》,在全国三甲医院中,有 247 家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。
医疗机构存在哪些网络安全问题?
诸多医疗机构面临着棘手的安全风险,本质上还是在于医疗网络、系统、流程、人员、管理等诸多环节之中存在安全薄弱点,让缺陷能够被利用,进而就可能酿成数据泄露等安全事故。
根据中国评测网安中心在2020年对73家医疗机构的信息系统进行网络安全测评的结果来看:
医疗行业信息系统安全问题占比
58.9%的医疗信息系统存在弱口令问题;
59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题;
60%的医疗信息系统数据备份机制不健全,包括无异地备份机制、备份策略不合理等问题;
72%的医疗信息系统在数据存储和传输过程中未采取加密措施;
绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。
我国高度重视医疗行业网络安全
而除了不久将会出台的全国医疗机构网络信息安全管理办法,近几年,医疗监管部门陆续出台了一系列安全建设与管理的政策法规,逐步完善医疗机构网络安全体系。
2018 年 4 月,国家卫健委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》,对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2018 年 9 月 13 日,国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
2018 年 9 月 14 日,国家卫健委发布《关于印发互联网诊疗管理办法(试行)等 3 个文件的通知》,要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
2019年 4 月,国家卫健委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等 10 个方面。
2019 年 12 月,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
2020 年 2 月 28 日,国家医疗保障局、国家卫健委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
从陆续出台的政策法规可以看出,国家对医疗行业网络安全高度重视,无论从医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”、“医疗大数据”,到一些基本惠民便民的传统医疗信息系统建设,无不强调落实做好网络安全工作。
医疗行业网络安全建设实践
政策监管之下,怎么做好网络安全建设就是摆在每个医疗机构面前最实际的问题了。
结合网络安全等级保护基本要求,中国评测网安中心提出了医疗行业网络安全实现架构,从安全物理环境、安全网络架构、安全计算环境、安全制度管理和医疗数据安全方面搭建医疗行业网络安全重点实现内容,其中安全物理环境和安全网络架构是网络安全防护基础,安全计算环境是网络安全防护的重要组成部分,安全制度管理和医疗数据安全工作需覆盖到物理环境、网络架构和计算环境三个层面。
医疗行业网络安全实现架构
根据医疗行业网络安全现状和保障需求,专业安全厂商基于行业实践经验推出的针对性解决方案也为医疗机构提供有益参考和选择。
数据安全厂商美创科技围绕医疗数据安全保障提出,以数据为中心,从数据全生命周期出发,进行体系化的数据安全建设,应做好:数据安全战略保障、数据安全管理保障、数据安全基础支撑保障、数据安全技术保障、数据安全建设运营保障。对应五大实践:
找准医院数据安全场景的痛点,消除担忧——数据在哪里,安全就在哪里,医疗机构应以数据为保护对象,根据自身现状进行体系化的安全建设,满足各场景下安全需求。
找到医院数据安全治理的抓手,解决堵点——基于现状,分析组织内数据相关活动或数据资产所存在的安全风险,对数据资产进行全面的风险预估。
落地医院数据分类分级,解决难点——实现分级管控和精细化的安全防护,通过调研访谈、文件分析、工具探查,多维度了解数据资产,明确数据资产构成、特征、范围及流转情况,对数据分类定级。
安全建设系统性规划与选型,解决复杂问题——基于前期风险评估结果,针对不同的阶段提供技术加固方案,包括数据安全防护可用的产品或技术手段、建设周期、先后顺序,以及建设完成后差距评估。
安全建设系统性规划与选型,解决复杂问题——建立数据安全态势感知和应急指挥机制,利用大数据安全态势感知、异常流量监测等技术对重要的应用进行全天候、全方位安全监测。
启明星辰就医疗数据安全热点问题对症开出“医院数据安全加固方案”药方,按照数据安全建设要求,结合数据生命周期,主要建设目标包括敏感数据梳理及管理体系建设、传输加密与密码安全、敏感数据权限控制、人员访问控制、邮件泄露防护系统和互联网敏感信息识别与告警系统建设、数据库监控与审计系统(包含数据脱敏)、终端防泄密管理等。
不仅对个人信息、业务数据做到针对性的监控与保护,满足相关法律法规要求。还可实现对医疗数据流通各个环节的监控,掌握医疗数据的动态及流向,提前对可能发生的数据泄露风险进行预警,保障数据在安全可控的范围内使用,流传及存储。
对于医疗机构来说,除了加强网络安全体系建设,亦需要提高行业人员的网络安全意识。加强对医护相关人员的网络安全培训工作,通过线下集中、线上定期培训的模式开展网络安全培训,提高医护相关人员的安全意识,同时把责任落实到人,尽可能减少因人员安全意识薄弱导致的医疗数据安全事件的发生。
京公网安备 11010802033237号
