01 醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢仍然嚴(yán)峻
2020年����,新冠疫情改變了我們的生活�,全國乃至全球的醫(yī)療機構(gòu)都在與其奮力抗衡。作為“抗疫”一線的醫(yī)療行業(yè)���,同時也在面臨著嚴(yán)峻的網(wǎng)絡(luò)安全挑戰(zhàn)�����。疫情期間����,一些黑客組織也以“新冠肺炎”話題為誘餌,對醫(yī)療機構(gòu)�、醫(yī)護人員的電腦發(fā)起網(wǎng)絡(luò)攻擊,從而達到勒索����、竊取信息等目的。這樣的網(wǎng)絡(luò)攻擊�����,早已屢見不鮮���。
以疫情話題為誘餌的電腦病毒(圖源網(wǎng)絡(luò))
在2019年���,中國信通院聯(lián)合騰訊等機構(gòu)對 15339 家醫(yī)療行業(yè)單位進行觀測,結(jié)果顯示行業(yè)總體處于“較大風(fēng)險”級別���,存在僵尸���、木馬、蠕蟲等多種網(wǎng)絡(luò)安全風(fēng)險及大量可被利用的安全隱患����。從中國軟件測評中心發(fā)布的《醫(yī)療行業(yè)網(wǎng)絡(luò)安全白皮書(2020年)》中也可以看出現(xiàn)目前醫(yī)療行業(yè)網(wǎng)絡(luò)安全的幾大點問題:
1.等級保護工作落實情況不佳
國醫(yī)院協(xié)會信息管理專業(yè)委員會(下簡稱為:CHIMA)發(fā)布的《2018-2019 年度中國醫(yī)院信息化調(diào)查報告》中����,參與調(diào)查的839家醫(yī)院中僅有43.95%通過了等級保護測評 ����,明顯低于金融、電信����、能源等領(lǐng)域。
2.醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險較高
據(jù)調(diào)查����,醫(yī)療行業(yè)的網(wǎng)絡(luò)安全隱患普遍存在����,同時醫(yī)療行業(yè)是勒索病毒的高發(fā)行業(yè),兩者結(jié)合起來讓醫(yī)療行業(yè)網(wǎng)絡(luò)安全風(fēng)險大大增加����。2019 年初,某省幾十家互聯(lián)互通醫(yī)院同時感染.0變種勒索病毒而被加密�����, 勒索病毒十分偏愛醫(yī)療行業(yè),在眾多感染勒索病毒的行業(yè)中����,醫(yī)療行業(yè)占比約50%。
勒索病毒(圖源網(wǎng)絡(luò))
3.醫(yī)療行業(yè)安全防護水平相對落后
缺乏必備網(wǎng)絡(luò)安全防護設(shè)備和數(shù)據(jù)保護措施也是現(xiàn)目前醫(yī)療行業(yè)的普遍問題���。根據(jù)CHIMA《2018-2019 年度中國醫(yī)院信息化狀況調(diào)查報告》 顯示��,現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全�,醫(yī)院對網(wǎng)閘�����、防入侵����、防毒墻等設(shè)備的采用率均小于 50%。大部分醫(yī)院都缺乏必要的網(wǎng)絡(luò)防護設(shè)備�。
中國評測網(wǎng)安中心分析了35家開展網(wǎng)絡(luò)安全等級保護測評的醫(yī)療信息系統(tǒng)案例后發(fā)現(xiàn),部署網(wǎng)絡(luò)準(zhǔn)入系統(tǒng)的有0家����,而在數(shù)據(jù)保護方面38%的系統(tǒng)沒有數(shù)據(jù)庫審計,只有2%的單位具有災(zāi)備服務(wù)器���,大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護機制���。
4.醫(yī)療信息泄露事件高發(fā)
2019年����,德國一家漏洞分析和管理公司發(fā)現(xiàn)�,含有大量醫(yī)療放射圖像的服務(wù)器暴露在公共互聯(lián)網(wǎng)中,其中涉及中國14個服務(wù)器系統(tǒng)��,包含近28萬條醫(yī)療數(shù)據(jù)��,詳細(xì)記錄了患者個人信息及醫(yī)療情況��,攻擊者利用這些數(shù)據(jù)在暗網(wǎng)中交易獲取巨額利潤�。惡意攻擊事件頻繁發(fā)生,數(shù)據(jù)泄露成為家常便飯醫(yī)療健康互聯(lián)網(wǎng)?公司架構(gòu)�,醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢日益嚴(yán)峻����。
02 國家高度重視醫(yī)療行業(yè)網(wǎng)絡(luò)安全
在醫(yī)療行業(yè)網(wǎng)絡(luò)安全形勢嚴(yán)峻的大前提下,國家持續(xù)積極推動其安全發(fā)展��。醫(yī)療行業(yè)網(wǎng)絡(luò)安全作為我國網(wǎng)絡(luò)安全的重要組成部分��,一直以來受到國家的高度重視。近幾年來�,國家陸續(xù)出臺一系列政策法規(guī),逐步完善醫(yī)療行業(yè)網(wǎng)絡(luò)安全體系���。
2018年4月��,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》��,對二級及以上醫(yī)院的數(shù) 據(jù)中心安全�����、終端安全�、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求�����。
2018年9月�����,國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)�、安全和服務(wù)管理辦法(試行)》,明確責(zé)任單位應(yīng)當(dāng)落實網(wǎng)絡(luò)安全等級保護制度要求,對健康醫(yī)療大數(shù)據(jù)中心����、相關(guān)信息系統(tǒng)開展定級、備案�����、測評等工作�����。
2018年9月���,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個文件的通知》醫(yī)療健康互聯(lián)網(wǎng)?公司架構(gòu)�,管理辦法要求醫(yī)療機構(gòu)開展互聯(lián)網(wǎng)診療活動�����,應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)施���、 信息系統(tǒng)、技術(shù)人員以及信息安全系統(tǒng)���,并實施第三級信息安全等級保護�。
