01 醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)仍然嚴(yán)峻
2020年��,新冠疫情改變了我們的生活�,全國(guó)乃至全球的醫(yī)療機(jī)構(gòu)都在與其奮力抗衡。作為“抗疫”一線的醫(yī)療行業(yè)����,同時(shí)也在面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)�。疫情期間�,一些黑客組織也以“新冠肺炎”話題為誘餌,對(duì)醫(yī)療機(jī)構(gòu)���、醫(yī)護(hù)人員的電腦發(fā)起網(wǎng)絡(luò)攻擊��,從而達(dá)到勒索�����、竊取信息等目的����。這樣的網(wǎng)絡(luò)攻擊�,早已屢見(jiàn)不鮮。
以疫情話題為誘餌的電腦病毒(圖源網(wǎng)絡(luò))
在2019年�����,中國(guó)信通院聯(lián)合騰訊等機(jī)構(gòu)對(duì) 15339 家醫(yī)療行業(yè)單位進(jìn)行觀測(cè)��,結(jié)果顯示行業(yè)總體處于“較大風(fēng)險(xiǎn)”級(jí)別�����,存在僵尸、木馬���、蠕蟲(chóng)等多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患�。從中國(guó)軟件測(cè)評(píng)中心發(fā)布的《醫(yī)療行業(yè)網(wǎng)絡(luò)安全白皮書(shū)(2020年)》中也可以看出現(xiàn)目前醫(yī)療行業(yè)網(wǎng)絡(luò)安全的幾大點(diǎn)問(wèn)題:
1.等級(jí)保護(hù)工作落實(shí)情況不佳
國(guó)醫(yī)院協(xié)會(huì)信息管理專業(yè)委員會(huì)(下簡(jiǎn)稱為:CHIMA)發(fā)布的《2018-2019 年度中國(guó)醫(yī)院信息化調(diào)查報(bào)告》中�,參與調(diào)查的839家醫(yī)院中僅有43.95%通過(guò)了等級(jí)保護(hù)測(cè)評(píng) ,明顯低于金融��、電信��、能源等領(lǐng)域���。
2.醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)較高
據(jù)調(diào)查,醫(yī)療行業(yè)的網(wǎng)絡(luò)安全隱患普遍存在���,同時(shí)醫(yī)療行業(yè)是勒索病毒的高發(fā)行業(yè)��,兩者結(jié)合起來(lái)讓醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)大大增加���。2019 年初,某省幾十家互聯(lián)互通醫(yī)院同時(shí)感染.0變種勒索病毒而被加密����, 勒索病毒十分偏愛(ài)醫(yī)療行業(yè)����,在眾多感染勒索病毒的行業(yè)中�����,醫(yī)療行業(yè)占比約50%���。
勒索病毒(圖源網(wǎng)絡(luò))
3.醫(yī)療行業(yè)安全防護(hù)水平相對(duì)落后
缺乏必備網(wǎng)絡(luò)安全防護(hù)設(shè)備和數(shù)據(jù)保護(hù)措施也是現(xiàn)目前醫(yī)療行業(yè)的普遍問(wèn)題����。根據(jù)CHIMA《2018-2019 年度中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告》 顯示�����,現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全�,醫(yī)院對(duì)網(wǎng)閘、防入侵���、防毒墻等設(shè)備的采用率均小于 50%����。大部分醫(yī)院都缺乏必要的網(wǎng)絡(luò)防護(hù)設(shè)備��。
中國(guó)評(píng)測(cè)網(wǎng)安中心分析了35家開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)的醫(yī)療信息系統(tǒng)案例后發(fā)現(xiàn),部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的有0家����,而在數(shù)據(jù)保護(hù)方面38%的系統(tǒng)沒(méi)有數(shù)據(jù)庫(kù)審計(jì),只有2%的單位具有災(zāi)備服務(wù)器����,大部分醫(yī)療信息系統(tǒng)沒(méi)有完善的數(shù)據(jù)保護(hù)機(jī)制。
4.醫(yī)療信息泄露事件高發(fā)
2019年��,德國(guó)一家漏洞分析和管理公司發(fā)現(xiàn)����,含有大量醫(yī)療放射圖像的服務(wù)器暴露在公共互聯(lián)網(wǎng)中,其中涉及中國(guó)14個(gè)服務(wù)器系統(tǒng)����,包含近28萬(wàn)條醫(yī)療數(shù)據(jù)�����,詳細(xì)記錄了患者個(gè)人信息及醫(yī)療情況��,攻擊者利用這些數(shù)據(jù)在暗網(wǎng)中交易獲取巨額利潤(rùn)��。惡意攻擊事件頻繁發(fā)生,數(shù)據(jù)泄露成為家常便飯醫(yī)療健康互聯(lián)網(wǎng)?公司架構(gòu)���,醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)日益嚴(yán)峻�����。
02 國(guó)家高度重視醫(yī)療行業(yè)網(wǎng)絡(luò)安全
在醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢(shì)嚴(yán)峻的大前提下���,國(guó)家持續(xù)積極推動(dòng)其安全發(fā)展。醫(yī)療行業(yè)網(wǎng)絡(luò)安全作為我國(guó)網(wǎng)絡(luò)安全的重要組成部分�����,一直以來(lái)受到國(guó)家的高度重視���。近幾年來(lái)��,國(guó)家陸續(xù)出臺(tái)一系列政策法規(guī)����,逐步完善醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系����。
2018年4月�,國(guó)家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國(guó)醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》��,對(duì)二級(jí)及以上醫(yī)院的數(shù) 據(jù)中心安全��、終端安全��、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求��。
2018年9月�����,國(guó)家衛(wèi)生健康委發(fā)布《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)��、安全和服務(wù)管理辦法(試行)》���,明確責(zé)任單位應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度要求����,對(duì)健康醫(yī)療大數(shù)據(jù)中心�、相關(guān)信息系統(tǒng)開(kāi)展定級(jí)��、備案���、測(cè)評(píng)等工作�。
2018年9月,國(guó)家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個(gè)文件的通知》醫(yī)療健康互聯(lián)網(wǎng)?公司架構(gòu)�,管理辦法要求醫(yī)療機(jī)構(gòu)開(kāi)展互聯(lián)網(wǎng)診療活動(dòng),應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)施�����、 信息系統(tǒng)����、技術(shù)人員以及信息安全系統(tǒng),并實(shí)施第三級(jí)信息安全等級(jí)保護(hù)�。
