2020年第一季度�����,醫(yī)療信息安全行業(yè)延續(xù)了2019年的火熱態(tài)勢(shì)。在資本端�,信息安全領(lǐng)域企業(yè)融資勢(shì)頭不減����,其中兩家企業(yè)完成B+輪融資���,融資金額均過(guò)億元;在政策端���,監(jiān)管方也頻頻發(fā)力�����。
2020年第一季度,醫(yī)療信息安全行業(yè)延續(xù)了2019年的火熱態(tài)勢(shì)�����。
在資本端,信息安全領(lǐng)域企業(yè)融資勢(shì)頭不減�����,其中兩家企業(yè)完成B+輪融資�,融資金額均過(guò)億元;在政策端,監(jiān)管方也頻頻發(fā)力���,如1月1日正式實(shí)施的《密碼法》、2月5日國(guó)家衛(wèi)健委辦公廳下發(fā)《關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》等法律法規(guī)���,為信息網(wǎng)絡(luò)安全“保駕護(hù)航”�;在市場(chǎng)端,也不乏后來(lái)者����。
醫(yī)療信息安全火爆的原因是什么�?發(fā)展中存在哪些問(wèn)題?未來(lái)的可能趨勢(shì)是很什么���?帶著這些問(wèn)題�����,動(dòng)脈網(wǎng)對(duì)我國(guó)醫(yī)療信息安全的發(fā)展現(xiàn)狀���、相應(yīng)對(duì)策�、市場(chǎng)容量和參與者進(jìn)行了梳理�����。
醫(yī)療行業(yè)的 “老大難問(wèn)題”
新冠肺炎疫情期間,一些黑客組織也以“新冠肺炎”話(huà)題為誘餌�����,對(duì)醫(yī)療機(jī)構(gòu)���、醫(yī)護(hù)人員的電腦發(fā)起網(wǎng)絡(luò)攻擊���,從而達(dá)到勒索��、竊取信息等目的。數(shù)據(jù)泄露問(wèn)題是信息化時(shí)代常見(jiàn)的安全問(wèn)題�,大部分行業(yè)都屢見(jiàn)不鮮,但數(shù)據(jù)竊取事件也屢禁不止�。
2019年5月初,美國(guó)最大的臨床前CRO公司查爾斯河(Charles River Laboratories)稱(chēng)����,其約1%的客戶(hù)數(shù)據(jù)被盜了����。無(wú)獨(dú)有偶,這個(gè)月的最后一天�����,全球臨床診斷巨頭Quest宣布,截止當(dāng)日����,該公司旗下有近1200萬(wàn)患者的財(cái)務(wù)��、醫(yī)療和個(gè)人信息數(shù)據(jù)等因黑客攻擊而泄露�。
2019年7月31日�����,中國(guó)信通院安全研究所與騰訊智慧安全聯(lián)合發(fā)布了《2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀(guān)測(cè)報(bào)告》����?��!秷?bào)告》稱(chēng),健康醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)類(lèi)型主要集中表現(xiàn)在三大方面:
其一�,以勒索病毒為代表的僵木蠕等惡意程序風(fēng)險(xiǎn)。在15339家健康醫(yī)療相關(guān)單位的觀(guān)測(cè)樣本中����,發(fā)現(xiàn)存在“僵木蠕”等惡意程序的單位共計(jì)1029家,其中受勒索病毒影響的單位共計(jì)136家�。這些惡意程序可導(dǎo)致大范圍的網(wǎng)絡(luò)欺詐����、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。
1989年出現(xiàn)的“艾滋病信息木馬”,被普遍認(rèn)為是最早期的勒索軟件�。該木馬隱藏磁盤(pán)的多個(gè)目錄,對(duì)C盤(pán)的全部文件名加密��,以至于系統(tǒng)無(wú)法啟動(dòng)���。屏幕顯示文字稱(chēng)���,用戶(hù)的軟件許可已過(guò)期���,需郵寄189美元才能解鎖系統(tǒng)。
我國(guó)首款勒索軟件是于2006年出現(xiàn)的Redplus勒索木馬��。該木馬隱藏用戶(hù)文檔,然后彈出窗口勒索贖金����,金額從70元至200元不等。
勒索病毒是一種流行的木馬�,通過(guò)騷擾、恐嚇甚至采用綁架用戶(hù)文件等方式��,使用戶(hù)數(shù)據(jù)資產(chǎn)或計(jì)算資源無(wú)法正常使用���,并以此為條件向用戶(hù)勒索錢(qián)財(cái)�。主要傳播形式包括利用軟件漏洞���、RDP弱口令暴力破解���、釣魚(yú)郵件���、網(wǎng)頁(yè)掛馬等。
這種病毒利用各種加密算法對(duì)文件進(jìn)行加密后�����,向文件所有者索要贖金�����。如果感染者拒付贖金��,就無(wú)法獲得加密的私鑰�,無(wú)法恢復(fù)文件�����。
現(xiàn)今��,勒索軟件仍然是一項(xiàng)流行性安全威脅��。為了攻擊大型企業(yè)和組織��,勒索軟件不斷研究新型變體����,企業(yè)機(jī)密文件和數(shù)據(jù)的安全風(fēng)險(xiǎn)與日俱增�。
其二,安全隱患帶來(lái)的大數(shù)據(jù)泄露風(fēng)險(xiǎn)�����。觀(guān)測(cè)樣本中��,有6446家單位的應(yīng)用服務(wù)(如數(shù)據(jù)庫(kù)服務(wù)����、FTP服務(wù)��、打印機(jī)服務(wù)等)端口暴露在公共互聯(lián)網(wǎng)�,其中375家單位的應(yīng)用服務(wù)使用了極簡(jiǎn)易密碼��,攻擊者可通過(guò)公共互聯(lián)網(wǎng)輕易獲取這些服務(wù)的控制權(quán)��,這可能引發(fā)批量應(yīng)用服務(wù)被惡意控制����、大量健康醫(yī)療數(shù)據(jù)泄露的安全事件。
其三,網(wǎng)站篡改風(fēng)險(xiǎn)��。對(duì)樣本觀(guān)測(cè)后發(fā)現(xiàn),有4546家單位網(wǎng)站存在安全隱患,其中261家單位網(wǎng)站已有被惡意篡改的記錄���。醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站���、教育機(jī)構(gòu)網(wǎng)站等都是境外機(jī)構(gòu)的重點(diǎn)攻擊對(duì)象����,且網(wǎng)站篡改手法多變���。
醫(yī)療系統(tǒng)攻擊也是較為常見(jiàn)的醫(yī)療信息安全事故類(lèi)型����?!斗ㄖ迫?qǐng)?bào)》曾報(bào)道,2017年��,我國(guó)某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵���,超過(guò)7億條公民信息遭泄露�����,超8000萬(wàn)條公民信息被販賣(mài)。幾乎是同一時(shí)間���,太平洋彼岸也發(fā)生了一起大規(guī)模的涉及公眾隱私信息的泄露事件���。
美國(guó)醫(yī)療設(shè)備公司Patient Home Monitoring的醫(yī)療數(shù)據(jù)存儲(chǔ)紀(jì)錄遭破解泄露��,導(dǎo)致47.5GB的數(shù)據(jù)泄露��,包含多達(dá)31.5萬(wàn)份PDF檔案����,涉及近15萬(wàn)患者的個(gè)人基礎(chǔ)信息����、醫(yī)生和病例記錄以及血液檢查結(jié)果等隱私信息。
2018年7月26日��,美國(guó)國(guó)家反情報(bào)與安全中心發(fā)布報(bào)告稱(chēng)��,黑客對(duì)“生物材料、生物制藥以及新**和藥物”特別“感興趣”����,對(duì)獲取先進(jìn)醫(yī)療設(shè)備�����、傳染病治療和轉(zhuǎn)基因生物的信息非常“有意向”�����。同時(shí),生物技術(shù)也被列為黑客攻擊的重大目標(biāo)之一��。
深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴從數(shù)據(jù)的全生命周期角度分析了數(shù)據(jù)存在哪些安全隱患:
雖然我國(guó)醫(yī)療數(shù)據(jù)信息泄露事件在公眾視野下暴露的較少���,但平靜的海面下暗潮在涌動(dòng)����。
疫情是醫(yī)療網(wǎng)絡(luò)系統(tǒng)的一次大考
在疫情期間��,醫(yī)療機(jī)構(gòu)作為“抗疫”的最前線(xiàn),在網(wǎng)絡(luò)空間的戰(zhàn)場(chǎng)上同樣面臨著嚴(yán)峻的安全威脅與考驗(yàn)��。數(shù)據(jù)顯示��,疫情期間的醫(yī)院攻擊事件����,其中有多起事件是利用冠狀病毒熱點(diǎn)事件��,通過(guò)釣魚(yú)軟件�����、惡意鏈接等方式誘導(dǎo)攻擊目標(biāo)打開(kāi)�����、下載并啟用攻擊文件。一旦電腦被感染���,病毒會(huì)進(jìn)行橫向移動(dòng)�����,感染更多網(wǎng)絡(luò)中的機(jī)器��。
據(jù)盛邦安全監(jiān)測(cè)數(shù)據(jù)顯示,2020年初以來(lái)����,部分疫情災(zāi)區(qū)的webshell日攻擊流量達(dá)到104萬(wàn)條,其中有效攻擊量近6000條����,相比較2019年的平均日攻擊流量上升5個(gè)百分點(diǎn),有效攻擊數(shù)量上升15個(gè)百分點(diǎn)�����;與此同時(shí)��,多家醫(yī)療機(jī)構(gòu)接連中招勒索病毒的消息不絕于耳。
為什么黑客“鐘愛(ài)”醫(yī)療數(shù)據(jù)���?
第一�����,醫(yī)療數(shù)據(jù)“太值錢(qián)”�����。隨著科技的進(jìn)步���,人工智能、大數(shù)據(jù)在醫(yī)療領(lǐng)域的應(yīng)用范圍也越來(lái)越廣�����。醫(yī)療大數(shù)據(jù)的數(shù)據(jù)質(zhì)量和安全問(wèn)題����,也對(duì)醫(yī)學(xué)的發(fā)展起著重要的作用。醫(yī)療行為本身就決定了醫(yī)療數(shù)據(jù)的真實(shí)性����。醫(yī)療數(shù)據(jù)因?yàn)榘颊叩男彰?�、年齡�、居住地址����、電話(huà)、病史�、銀行賬戶(hù)等信息,蘊(yùn)含著重要的財(cái)富價(jià)值���,成為了不良黑客的香餑餑����。
第二����,醫(yī)療數(shù)據(jù)覆蓋面廣�。上海申康醫(yī)院發(fā)展中心醫(yī)聯(lián)中心主任何萍曾接受采訪(fǎng)時(shí)說(shuō),從微觀(guān)上看����,醫(yī)療信息包含了患者個(gè)體患病情況、生物組學(xué)等數(shù)據(jù)�����;從宏觀(guān)上看,則包含了疾病傳播���、地區(qū)流行病發(fā)病發(fā)展�����、區(qū)域人口健康狀況等數(shù)據(jù)��。所以�����,醫(yī)療數(shù)據(jù)能否安全使用����,關(guān)乎社會(huì)穩(wěn)定�、國(guó)家安全��。
第三,操作系統(tǒng)過(guò)時(shí)的醫(yī)療設(shè)備也是網(wǎng)絡(luò)攻擊者的重要途徑��。很多醫(yī)療設(shè)備質(zhì)量?jī)?yōu)質(zhì)�,運(yùn)行時(shí)間長(zhǎng)�,有些能夠保證運(yùn)行十年以上。但是���,這也有可能使醫(yī)院“遺忘”了它們的存在�。醫(yī)療設(shè)備操作系統(tǒng)過(guò)時(shí),便會(huì)產(chǎn)生安全漏洞�����,網(wǎng)絡(luò)攻擊者便有了可乘之機(jī)��。透過(guò)那些“漏洞”看向醫(yī)療設(shè)備內(nèi)部�,網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)的不是零件、電路板�����,而是一座座裝滿(mǎn)了錢(qián)財(cái)?shù)膸?kù)房���。
除了上述的內(nèi)部原因之外���,一些恐怖組織、黑客組織��、黑產(chǎn)等經(jīng)濟(jì)犯罪團(tuán)伙����、極端個(gè)人,出于一些個(gè)人或利益原因也可能會(huì)實(shí)施網(wǎng)絡(luò)攻擊。
中國(guó)信息通信研究院安全研究發(fā)布的《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》顯示����,疫情期間,醫(yī)療服務(wù)認(rèn)證暴力破解攻擊態(tài)勢(shì)持續(xù)嚴(yán)峻�����,黑客曾對(duì)醫(yī)療行業(yè)的暴力破解攻擊達(dá)到了單日 80 萬(wàn)次的高峰����。
此次疫情中,醫(yī)療領(lǐng)域面臨的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)包括:
外聯(lián)第三方機(jī)構(gòu)的安全威脅����。為了便于訪(fǎng)問(wèn)醫(yī)院網(wǎng)絡(luò)的其他分支,醫(yī)療設(shè)備接入的操作系統(tǒng)都保留了許多不同類(lèi)型的敏感信息����。鐘一鳴表示,外聯(lián)機(jī)構(gòu)在單位的設(shè)置上都是可信的機(jī)構(gòu)���,例如上級(jí)主管單位���、兄弟醫(yī)院、下級(jí)單位等��。但從網(wǎng)絡(luò)攻擊的角度來(lái)說(shuō)�����,這些外聯(lián)機(jī)構(gòu)的網(wǎng)絡(luò)都不在醫(yī)院自身可以管理的安全范圍內(nèi)�����,因此也屬于非可信網(wǎng)絡(luò)��,醫(yī)院也應(yīng)加強(qiáng)防護(hù)�。
據(jù)騰訊智慧安全御見(jiàn)威脅情報(bào)中心分析發(fā)現(xiàn),國(guó)內(nèi)多家三家醫(yī)院接入的第三方醫(yī)療服務(wù)平臺(tái)存在嚴(yán)重邏輯漏洞�����。而這些平臺(tái)都匯集了全國(guó)多個(gè)省市的數(shù)百家大型三家醫(yī)院在內(nèi)的醫(yī)療資源���,一旦被不法黑客攻擊���,平臺(tái)上所有醫(yī)院都將受到影響。
移動(dòng)醫(yī)療產(chǎn)品也有隱患��。根據(jù)前瞻研究產(chǎn)業(yè)院數(shù)據(jù),預(yù)計(jì)2020年行業(yè)整體規(guī)模將有望突破500億元�����。用戶(hù)使用移動(dòng)醫(yī)療APP的目的主要為搜索相關(guān)信息�����、咨詢(xún)問(wèn)診�����、預(yù)約掛號(hào)��、學(xué)習(xí)保健知識(shí)以及管理慢性疾病等���。
移動(dòng)醫(yī)療APP主要面臨的安全風(fēng)險(xiǎn)包括APP反編譯破解����,如系統(tǒng)鍵盤(pán)和輸入法攻擊�����、本地?cái)?shù)據(jù)破解�、WIFI釣魚(yú)��、網(wǎng)絡(luò)監(jiān)聽(tīng)��、調(diào)試攻擊、內(nèi)存攻擊等�����,這些會(huì)導(dǎo)致用戶(hù)個(gè)人隱私信息被竊取和泄露�����。而這些患者的基本信息��、社保號(hào)���、交易信息�、電子病歷�、診療數(shù)據(jù)等都成為犯罪分子非法獲利的重要途徑。此外���,還面臨著APP監(jiān)管難的問(wèn)題�。
近日����,國(guó)家計(jì)算機(jī)病毒應(yīng)急處理中心在“凈網(wǎng)2020”專(zhuān)項(xiàng)行動(dòng)中對(duì)互聯(lián)網(wǎng)監(jiān)測(cè)發(fā)現(xiàn)���,共20余款移動(dòng)應(yīng)用存在涉嫌隱私不合規(guī)行為,其中包括未向用戶(hù)明示申請(qǐng)的全部隱私權(quán)限��,未說(shuō)明收集使用個(gè)人信息規(guī)則���,以及為提供有效的更正����、刪除個(gè)人信息及注銷(xiāo)用戶(hù)賬號(hào)功能�����。
新技術(shù)��,新風(fēng)險(xiǎn)�。云計(jì)算在醫(yī)療數(shù)據(jù)的儲(chǔ)存管理等領(lǐng)域的應(yīng)用,讓醫(yī)療數(shù)據(jù)和信息系統(tǒng)逐步實(shí)現(xiàn)數(shù)字化和中心化轉(zhuǎn)型��,但也加劇了信息安全問(wèn)題導(dǎo)致平臺(tái)故障�、業(yè)務(wù)中斷和數(shù)據(jù)丟失的風(fēng)險(xiǎn);大數(shù)據(jù)技術(shù)的應(yīng)用有助于對(duì)醫(yī)療數(shù)據(jù)更加高效合理的分析利用和前瞻預(yù)警��,但數(shù)據(jù)的集中也極易成為黑客的攻擊目標(biāo),隱私和數(shù)據(jù)泄露等問(wèn)題正日漸凸顯�;物聯(lián)網(wǎng)在醫(yī)療行業(yè)應(yīng)用廣泛,而一旦IoT設(shè)備中的安全漏洞被利用���,可能會(huì)導(dǎo)致信息被監(jiān)聽(tīng)或截獲���,造成難以估量的嚴(yán)重后果���。
美創(chuàng)科技解決方案總監(jiān)蔡毅介紹�,疫情期間����,全國(guó)使用“健康碼”通行,里面包含了大量的個(gè)人敏感信息����,而且這些信息的單體價(jià)值非常高。這類(lèi)數(shù)據(jù)會(huì)保存在何處��?“是由技術(shù)公司還是國(guó)家數(shù)據(jù)管理中心統(tǒng)一保管�����?”這一過(guò)程中是否會(huì)出現(xiàn)數(shù)據(jù)的泄露、濫用等違規(guī)行為���,監(jiān)管部門(mén)也需要重點(diǎn)關(guān)注�。
以江蘇省為例��,在全省范圍內(nèi)互認(rèn)的“蘇康碼”上線(xiàn)之前�,江蘇省13市采用各自的健康碼,并只在所屬市內(nèi)通用����。蘇州市采用“蘇城碼”���,南京市為“寧歸來(lái)”�,南通市為“易來(lái)通”,宿遷市采用“宿康碼”等��。“蘇康碼”上線(xiàn)前�����,市民每到一市需要新申請(qǐng)一張“健康碼”����,不僅徒增市民麻煩����,而且數(shù)據(jù)散落在各市�����,使用價(jià)值低的同時(shí)�����,還不易保存���,且存在被泄露的危險(xiǎn)。
網(wǎng)絡(luò)安全保護(hù)�����,國(guó)家一直在行動(dòng)
信息安全等級(jí)保護(hù)是對(duì)信息及信息載體按照重要性等級(jí)分別進(jìn)行保護(hù)的一種工作�����,國(guó)際應(yīng)用廣泛����。為了對(duì)不同領(lǐng)域的信息安全工作進(jìn)行指導(dǎo)�����,我國(guó)相關(guān)部門(mén)和專(zhuān)家結(jié)合我國(guó)信息領(lǐng)域的實(shí)際情況�,開(kāi)始了研究����。
我國(guó)信息安全等級(jí)保護(hù)具體實(shí)施過(guò)程(資料來(lái)源網(wǎng)絡(luò),動(dòng)脈網(wǎng)制圖)
1994年�����,國(guó)務(wù)院正式下發(fā)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》�,首次提出信息安全等級(jí)保護(hù)的概念。隨后的十余年內(nèi)�,我國(guó)陸續(xù)出臺(tái)了一系列的政策法規(guī)。
信息安全等級(jí)保護(hù)的政策發(fā)展歷程(資料來(lái)源網(wǎng)絡(luò)����,動(dòng)脈網(wǎng)制圖)
2000年11月10日,國(guó)家發(fā)改委產(chǎn)業(yè)化項(xiàng)目《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)評(píng)估認(rèn)證體系及互聯(lián)網(wǎng)網(wǎng)絡(luò)電子身份認(rèn)證管理與安全保護(hù)平臺(tái)建設(shè)》工程(“1110工程”)實(shí)施���。該工程于2008年7月18日成功驗(yàn)收���,制定了20余項(xiàng)信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)�,為進(jìn)一步完善我國(guó)信息安全標(biāo)準(zhǔn)體系奠定了基礎(chǔ)�����。
2004年至2006年�,公安部聯(lián)合四部委開(kāi)展涉及65117家單位,共115319個(gè)信息系統(tǒng)的等級(jí)保護(hù)基礎(chǔ)調(diào)查和等級(jí)保護(hù)試點(diǎn)工作�����,為全面開(kāi)展等級(jí)保護(hù)工作奠定基礎(chǔ)����。
2007年,四部門(mén)相繼出臺(tái)兩項(xiàng)政策后����,于 7月20日���,召開(kāi)全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作部署專(zhuān)題電視電話(huà)會(huì)議����。這一會(huì)議也標(biāo)志著信息安全等級(jí)保護(hù)制度正式開(kāi)始實(shí)施。
在我國(guó)信息網(wǎng)絡(luò)安全發(fā)展史上�,2016年是一個(gè)極為重要的時(shí)間節(jié)點(diǎn)。這一年�����,《網(wǎng)絡(luò)安全法》出臺(tái)�����,讓等級(jí)保護(hù)已上升至法律層面��,也標(biāo)志著等級(jí)保護(hù)進(jìn)入了2.0階段��。
相比“等保1.0”����,等保2.0不僅僅是一個(gè)標(biāo)準(zhǔn)版本更新的概念。
亞信安全認(rèn)為�,在等保1.0時(shí)代,數(shù)據(jù)就是等級(jí)保護(hù)安全建設(shè)的核心內(nèi)容��,其主要?jiǎng)潥w在“技術(shù)要求-數(shù)據(jù)安全及備份恢復(fù)”條款����、“技術(shù)要求-應(yīng)用安全”和“技術(shù)要求-主機(jī)安全”的要求中���。
2019年5月,國(guó)家發(fā)布了《網(wǎng)絡(luò)安全等級(jí)保護(hù)制度2.0標(biāo)準(zhǔn)》�����,并于2019年12月1日實(shí)施����。該標(biāo)準(zhǔn)針對(duì)云計(jì)算、物聯(lián)網(wǎng)�����、移動(dòng)互聯(lián)網(wǎng)���、工業(yè)控制��、大數(shù)據(jù)新技術(shù)等新興技術(shù)對(duì)安全標(biāo)準(zhǔn)提出了新的要求����,并將遵循的法律條文從原本1.0標(biāo)準(zhǔn)的國(guó)務(wù)院147號(hào)令提高到《網(wǎng)絡(luò)安全法》��。
在等保2.0時(shí)代���,國(guó)家加強(qiáng)了對(duì)個(gè)人信息的保護(hù)��,提出了未授權(quán)概念��,不允許在未授權(quán)的賬戶(hù)運(yùn)營(yíng)的情況下去訪(fǎng)問(wèn)和使用個(gè)人的用戶(hù)數(shù)據(jù)�����。“等保2.0對(duì)個(gè)人信息的保護(hù)更加明確����。”亞信安全認(rèn)為�,這是等保2.0給醫(yī)療數(shù)據(jù)安全帶來(lái)的另一變革。
“進(jìn)入等保2.0時(shí)代���,監(jiān)管機(jī)構(gòu)對(duì)云�、大�����、物�、移提出了更高的安全合規(guī)要求。同樣���,醫(yī)療行業(yè)的信息安全也增加了許多新的防護(hù)重點(diǎn)和方向����。”盛邦安全常務(wù)副總裁韓衛(wèi)東舉例說(shuō)到,在等保2.0背景下����,醫(yī)療行業(yè)的信息安全工作更加關(guān)注數(shù)據(jù)的完整性和私密性,具體可涉及個(gè)人信息保護(hù)�、數(shù)據(jù)傳輸與儲(chǔ)存的安全、移動(dòng)應(yīng)用和物聯(lián)網(wǎng)設(shè)備的管控等領(lǐng)域的問(wèn)題與挑戰(zhàn)�����。整體來(lái)說(shuō)�����,等保2.0對(duì)醫(yī)療行業(yè)的信息網(wǎng)絡(luò)安全工作提出了更高�、更細(xì)化的要求以及更廣泛的新技術(shù)應(yīng)用空間。
除等級(jí)保護(hù)2.0對(duì)數(shù)據(jù)安全的要求外��,2018年�����,國(guó)家衛(wèi)健委《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)���、安全和服務(wù)管理辦法(試行)》也規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺(tái)必須通過(guò)等級(jí)保護(hù)(未規(guī)定級(jí)別)���,一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級(jí)甲等醫(yī)院,基本以三級(jí)等保為主�。因此醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全越發(fā)重要。
這一《辦法》也被普遍認(rèn)為是《網(wǎng)絡(luò)安全法》在醫(yī)療行業(yè)內(nèi)的細(xì)化�。
2019年5月,國(guó)家市場(chǎng)監(jiān)督管理總局���、國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)正式發(fā)布了網(wǎng)絡(luò)安全等級(jí)保護(hù)系列國(guó)家標(biāo)準(zhǔn)���。系列標(biāo)準(zhǔn)的發(fā)布對(duì)保障和促進(jìn)醫(yī)療行業(yè)信息化發(fā)展,提升各醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全保護(hù)能力具有重要的指導(dǎo)意義����。
2020年1月1日,我國(guó)密碼領(lǐng)域的首部法律《密碼法》正式實(shí)施����,患者、醫(yī)院�、醫(yī)療企業(yè)等可以依法使用商業(yè)密碼保護(hù)網(wǎng)絡(luò)與信息安全�����。
2020年2月5日�����,國(guó)家衛(wèi)健委下發(fā)《關(guān)于加強(qiáng)信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》����。其中特別指出“加強(qiáng)網(wǎng)絡(luò)信息安全工作�,以防攻擊、防病毒��、防篡改�、防癱瘓、防泄密為重點(diǎn)����,暢通信息收集發(fā)布渠道,保障數(shù)據(jù)規(guī)范使用����,切實(shí)保護(hù)個(gè)人隱私安全,防范網(wǎng)絡(luò)安全突發(fā)事件,為疫情防控工作提供可靠支撐����。”
“信息安全是醫(yī)療數(shù)字化平臺(tái)轉(zhuǎn)型成功的基礎(chǔ)。” 盛邦安全常務(wù)副總裁韓衛(wèi)東認(rèn)為���,疫情這一突發(fā)事件,倒逼著行業(yè)加速完成醫(yī)療數(shù)字化的業(yè)務(wù)升級(jí)和實(shí)質(zhì)性轉(zhuǎn)變���,比如結(jié)合新技術(shù)應(yīng)用的自上而下的整體疾控體系的重構(gòu)���、醫(yī)療數(shù)字化統(tǒng)一平臺(tái)建設(shè)的加速、互聯(lián)網(wǎng)技術(shù)加持的智慧醫(yī)療的建成以及整個(gè)社會(huì)公共衛(wèi)生管理和應(yīng)急管理系統(tǒng)的進(jìn)一步完善等���。
信息安全從業(yè)者與不法黑客的對(duì)決
國(guó)內(nèi)外健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全保護(hù)的缺失導(dǎo)致相關(guān)市場(chǎng)規(guī)模高速增長(zhǎng)����。據(jù)Global Market Insights的調(diào)查���,2018年醫(yī)療保健網(wǎng)絡(luò)安全市場(chǎng)規(guī)模為82億美元�,預(yù)計(jì)到2025年的復(fù)合年增長(zhǎng)率為19.1%�����。
據(jù)相關(guān)機(jī)構(gòu)數(shù)據(jù)統(tǒng)計(jì),2019年中國(guó)醫(yī)療行業(yè)ICT市場(chǎng)規(guī)模超400億元�,安全占比約10%;今年即使在發(fā)生疫情導(dǎo)致各方預(yù)算緊縮的情況下���,盛邦安全常務(wù)副總裁韓衛(wèi)東預(yù)計(jì)�����,2020年的醫(yī)療行業(yè)市場(chǎng)規(guī)模和安全建設(shè)投入仍將有一定程度的提升�����。
動(dòng)脈網(wǎng)此前文章《2019醫(yī)療信息化中標(biāo)數(shù)據(jù)分析���,最高中標(biāo)金額近1.2億元,三級(jí)醫(yī)院需求占六成》介紹�����,2019年公立醫(yī)療機(jī)構(gòu)全年采購(gòu)情況中�����,信息安全項(xiàng)目占信息化采購(gòu)項(xiàng)目數(shù)量中的第二位,共計(jì)459個(gè)���,占比11.4%���,僅次于院端信息化。
2016年����,衛(wèi)健委發(fā)布的《2016三級(jí)綜合醫(yī)院評(píng)審標(biāo)準(zhǔn)考評(píng)辦法(完整版)》再次強(qiáng)調(diào),三級(jí)醫(yī)院重要的業(yè)務(wù)系統(tǒng)必須達(dá)到等級(jí)保護(hù)測(cè)評(píng)三級(jí)測(cè)評(píng)才能滿(mǎn)足三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)中對(duì)網(wǎng)絡(luò)安全的要求�����,首次對(duì)三級(jí)醫(yī)院的信息安全提出了強(qiáng)制要求��。
到了2018年�,衛(wèi)健委《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺(tái)必須通過(guò)等級(jí)保護(hù)�。由于一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級(jí)甲等醫(yī)院,因此其等級(jí)保護(hù)測(cè)評(píng)主要以三級(jí)測(cè)評(píng)為主�。與此同時(shí),《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》也規(guī)定承載互聯(lián)網(wǎng)醫(yī)院的平臺(tái)必須通過(guò)等級(jí)保護(hù)測(cè)評(píng)三級(jí)測(cè)評(píng)。
《網(wǎng)絡(luò)安全法》也強(qiáng)制性規(guī)定未通過(guò)等保2.0測(cè)試將違反法律。正因?yàn)榇耍芏嗌形赐ㄟ^(guò)測(cè)評(píng)的二級(jí)醫(yī)院紛紛在年內(nèi)采購(gòu)了信息安全項(xiàng)目以期滿(mǎn)足新版等保測(cè)評(píng)的要求�。在政策的強(qiáng)力推動(dòng)下���,還未滿(mǎn)足新標(biāo)準(zhǔn)的醫(yī)療機(jī)構(gòu)對(duì)信息安全項(xiàng)目的需求自然水漲船高����。
動(dòng)脈網(wǎng)分析,隨著2020年全國(guó)啟動(dòng)二級(jí)醫(yī)院績(jī)效考核�,以及新冠肺炎疫情中表現(xiàn)出對(duì)醫(yī)療資源的擠兌���,二級(jí)醫(yī)院的信息化進(jìn)程可能在2020年有一個(gè)加速��。
抗疫還未結(jié)束���,全國(guó)經(jīng)營(yíng)生產(chǎn)活動(dòng)效率的下降是必然趨勢(shì),項(xiàng)目招投標(biāo)及后續(xù)交付都會(huì)受到影響��。深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴認(rèn)為��,從短期經(jīng)營(yíng)業(yè)績(jī)的方面來(lái)看���,網(wǎng)絡(luò)安全行業(yè)必然會(huì)產(chǎn)生較大影響�。但數(shù)字化時(shí)代,智慧城市建設(shè)是大勢(shì)所趨�����,智慧城市的建設(shè)會(huì)加大對(duì)IT基礎(chǔ)設(shè)施的需求�����。因此,也會(huì)帶動(dòng)整體網(wǎng)絡(luò)安全需求的提升�。從中遠(yuǎn)期來(lái)說(shuō),整個(gè)行業(yè)還是會(huì)處于上升階段����。
美創(chuàng)科技解決方案總監(jiān)蔡毅表示,醫(yī)院信息網(wǎng)絡(luò)安全市場(chǎng)規(guī)模只會(huì)越來(lái)越大��。受到疫情影響����,個(gè)人隱私信息和數(shù)據(jù)的保護(hù)意識(shí)會(huì)逐漸增強(qiáng)。疫情也加速了醫(yī)療行業(yè)的數(shù)字化轉(zhuǎn)型�,如互聯(lián)網(wǎng)醫(yī)院建設(shè)、醫(yī)共體建設(shè)��、醫(yī)院的數(shù)字化轉(zhuǎn)型會(huì)加快。加速了數(shù)據(jù)的互聯(lián)互通和數(shù)據(jù)共享��,也就是說(shuō)數(shù)據(jù)流動(dòng)的場(chǎng)景會(huì)急劇增加��。隨著醫(yī)療行業(yè)數(shù)字化轉(zhuǎn)型提速��,醫(yī)院信息化投入也會(huì)加大��,信息安全建設(shè)比重也會(huì)水漲船高���。此外�����,新技術(shù)的應(yīng)用��,也會(huì)帶來(lái)新的安全市場(chǎng)��。
2020年3月��,企業(yè)級(jí)信息安全市場(chǎng)專(zhuān)業(yè)咨詢(xún)機(jī)構(gòu)“安全牛”發(fā)布了“2020年中國(guó)網(wǎng)絡(luò)安全行業(yè)全景圖”��。該全景圖共分為16類(lèi)一級(jí)安全領(lǐng)域(實(shí)際收錄15類(lèi)),100類(lèi)二級(jí)細(xì)分領(lǐng)域(實(shí)際收錄88類(lèi))�。動(dòng)脈網(wǎng)整理如下:
上述表格中的每個(gè)細(xì)分領(lǐng)域都不乏掘金者����,技術(shù)從業(yè)者們從自身優(yōu)勢(shì)出發(fā)�����,與信息安全較勁����,在數(shù)個(gè)甚至數(shù)十個(gè)安全細(xì)分領(lǐng)域中填補(bǔ)安全漏洞?;诖耍瑒?dòng)脈網(wǎng)整理了46家業(yè)務(wù)涉及到醫(yī)療行業(yè)網(wǎng)絡(luò)安全解決方案的信息安全企業(yè):
從表格可以看到����,在被稱(chēng)為“資本寒冬”的2019年里,信息安全領(lǐng)域融資事件頻繁發(fā)生��。
安芯網(wǎng)盾��、梆梆安全�����、聯(lián)創(chuàng)科技相繼完成融資,迪普科技����、安恒信息也分別在創(chuàng)業(yè)板、科創(chuàng)板上市����。觀(guān)安在第一季度完成超1億元B+輪融資,為這一領(lǐng)域開(kāi)了個(gè)好頭����,奇安信在9月完成了15億元的Pre-IPO融資。
2020年第一季度已過(guò)���,信息安全領(lǐng)域企業(yè)表現(xiàn)亮眼���。一方面,融資勢(shì)頭不減��,天空衛(wèi)士���、指掌易皆拿到億元級(jí)B+輪融資����,通付盾也緊隨其后,完成股權(quán)融資��;另一方面����,針對(duì)疫情期間�����,不法分子“鉆”網(wǎng)絡(luò)安全的漏洞���,信息安全企業(yè)也是啟動(dòng)緊急馳援行動(dòng)��,積極提供設(shè)備�、人員和技術(shù)的支持���。
美創(chuàng)科技基于其數(shù)據(jù)安全和數(shù)據(jù)治理的能力���,宣布自2月4日起,直到國(guó)家宣布疫情結(jié)束��,期間免費(fèi)為各行業(yè)企業(yè)提供從防勒索���、數(shù)據(jù)庫(kù)審計(jì)�����、運(yùn)維一體機(jī)�、數(shù)據(jù)脫敏等產(chǎn)品服務(wù),以及數(shù)據(jù)庫(kù)運(yùn)維和服務(wù)器安全遠(yuǎn)程服務(wù)����。
疫情期間,亞信安全迅速啟動(dòng)緊急馳援武漢行動(dòng)�����,第一時(shí)間在武漢成立專(zhuān)家支持小組��,展開(kāi)對(duì)武漢火神山醫(yī)院的網(wǎng)絡(luò)安全保障工作��。另外�,亞信安全負(fù)責(zé)國(guó)家“互聯(lián)網(wǎng)+監(jiān)管”平臺(tái)和國(guó)家政務(wù)服務(wù)平臺(tái)統(tǒng)一身份認(rèn)證兩個(gè)項(xiàng)目團(tuán)隊(duì),在客戶(hù)現(xiàn)場(chǎng)進(jìn)行技術(shù)支持和運(yùn)營(yíng)維護(hù)��,其中國(guó)家“互聯(lián)網(wǎng)+監(jiān)管”平臺(tái)承載著疫情分析的使命��,在短短5天時(shí)間內(nèi)緊急上線(xiàn)了疫情分析系統(tǒng)����。
在此次新冠疫情期間,武漢市政府推出“武漢市長(zhǎng)專(zhuān)線(xiàn)”��,向公眾提供了在線(xiàn)問(wèn)診�����、智能疫情助理等抗疫專(zhuān)屬服務(wù),日均專(zhuān)線(xiàn)服務(wù)次數(shù)從5000次激增至10000次以上。“武漢市長(zhǎng)專(zhuān)線(xiàn)”部署于電信天翼云上�����,作為電信天翼云的重要合作伙伴�����,深信服攜手天翼云為“武漢市長(zhǎng)專(zhuān)線(xiàn)”業(yè)務(wù)提供了可靠��、穩(wěn)定的vSSL VPN服務(wù)���,全力馳援抗擊疫情第一線(xiàn)�。
為了應(yīng)對(duì)未知漏洞攻擊�����,奇安信于2020年1月發(fā)布了業(yè)界首款第三代安全引擎“天狗”。3月�����,盛邦安全推出了WebRAY烽火臺(tái)監(jiān)測(cè)預(yù)警平臺(tái)免費(fèi)服務(wù)��、網(wǎng)絡(luò)空間測(cè)繪平臺(tái)資源�,以及針對(duì)醫(yī)療行業(yè)的勒索病毒安全解決方案(哨兵解決方案),助力醫(yī)療行業(yè)用戶(hù)打贏(yíng)“無(wú)接觸”網(wǎng)絡(luò)戰(zhàn)“疫”�。
事實(shí)上,疫情期間�����,伴生的網(wǎng)絡(luò)威脅對(duì)各行各業(yè)都是一次嚴(yán)峻考驗(yàn)��,信息安全領(lǐng)域中的每一家企業(yè)都沒(méi)有置身事外��,而是利用自身所長(zhǎng)�,在疫情的灰霾之下,與黑暗搏斗��。
解外患�,除內(nèi)憂(yōu)
美創(chuàng)科技解決方案總監(jiān)蔡毅認(rèn)為,隨著新基建的關(guān)注度日益提高���,以及數(shù)據(jù)成為繼土地��、勞動(dòng)力����、資本、技術(shù)后第五大市場(chǎng)生產(chǎn)要素�����,數(shù)據(jù)的獨(dú)特地位和價(jià)值驅(qū)動(dòng)著行業(yè)重新審視數(shù)據(jù)的安全問(wèn)題��。“所以��,首當(dāng)其沖的是安全架構(gòu)���,當(dāng)傳統(tǒng)的網(wǎng)絡(luò)邊界模糊消失的時(shí)候,我們需要基于新視角對(duì)安全架構(gòu)做演進(jìn)�����。”
美創(chuàng)科技首先定義了一個(gè)明確的保護(hù)目標(biāo)即數(shù)據(jù)�,從資產(chǎn)、入侵�、風(fēng)險(xiǎn)三個(gè)視角看數(shù)據(jù)安全并做好數(shù)據(jù)安全防護(hù)��。從而解決黑客攻擊�����、勒索軟件����、社會(huì)工程等外患��,防范由于軟件開(kāi)發(fā)人員�、高權(quán)限人員等內(nèi)部因素導(dǎo)致內(nèi)部數(shù)據(jù)安全等內(nèi)憂(yōu)。
醫(yī)院內(nèi)部威脅主要原因可能包括�����,利益驅(qū)使內(nèi)部員工竊取敏感數(shù)據(jù)��;BYOD設(shè)備遺失導(dǎo)致敏感信息泄露�����?����;诙嗄赆t(yī)療行業(yè)服務(wù)經(jīng)驗(yàn),亞信安全建議醫(yī)院應(yīng)該從上而下進(jìn)行數(shù)據(jù)管控���,從數(shù)據(jù)收集到二次使用��,建立嚴(yán)格可控的安全體系��。
這一結(jié)論得到了數(shù)據(jù)的支撐��。2018年����,威瑞森發(fā)布的《受保護(hù)健康信息泄露報(bào)告》表明�����,受訪(fǎng)醫(yī)療提供商遭遇的數(shù)據(jù)泄露中�,有57.5%都是內(nèi)部人導(dǎo)致的��,只有42%是外部攻擊者所為�。外部攻擊可用技術(shù)預(yù)防,但內(nèi)部人員問(wèn)題的確是防不勝防�����。
盛邦安全常務(wù)副總裁韓衛(wèi)東表示,相對(duì)于其他行業(yè)來(lái)說(shuō)�����,醫(yī)療行業(yè)對(duì)信息安全的關(guān)注度和重視程度仍然不夠��,風(fēng)險(xiǎn)意識(shí)仍然薄弱����,監(jiān)管力度也仍然不足,行業(yè)整體缺乏完整的安全體系建設(shè)和包括應(yīng)急響應(yīng)在內(nèi)的一套完整�、成熟的流程制度,尤其是中基層醫(yī)療機(jī)構(gòu)�����,由于無(wú)法做到專(zhuān)人專(zhuān)職�,在體系化建設(shè)和專(zhuān)業(yè)技術(shù)能力支撐方面存在加大的缺口。
城墻最容易攻破的地方不是外部而是內(nèi)部���。網(wǎng)絡(luò)安全也是如此��,深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴將內(nèi)部人員的網(wǎng)絡(luò)安全意識(shí)比喻為組織網(wǎng)絡(luò)安全這個(gè)“木桶”中最重要的那塊木板����。“它的長(zhǎng)短決定了組織的網(wǎng)絡(luò)安全到底能夠達(dá)到什么樣的水平。”
因此��,加強(qiáng)人員網(wǎng)絡(luò)安全意識(shí)培訓(xùn)����,落實(shí)網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全保護(hù)建設(shè)中容易被忽視卻也是非常重要的一個(gè)環(huán)節(jié)。
感謝以下嘉賓接受采訪(fǎng)并提供相關(guān)信息(排名不分先后):亞信安全的小伙伴��、深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴��、美創(chuàng)科技解決方案總監(jiān)蔡毅�、盛邦安全常務(wù)副總裁韓衛(wèi)東。
本文參考資料:
2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀(guān)測(cè)報(bào)告
中國(guó)信通院:《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風(fēng)險(xiǎn)研究報(bào)告》
經(jīng)濟(jì)參考報(bào):醫(yī)療行業(yè)信息安全敲警鐘����,黑客攻擊或致大量公民個(gè)人信息泄露
騰訊智慧安全:《醫(yī)療互聯(lián)網(wǎng)服務(wù)敏感數(shù)據(jù)泄露風(fēng)險(xiǎn)調(diào)查報(bào)告》
虎嗅APP:醫(yī)療數(shù)據(jù)更值錢(qián)?醫(yī)療數(shù)字化面臨數(shù)據(jù)泄露的隱患
安全牛:中國(guó)網(wǎng)絡(luò)安全行業(yè)全景圖(2020年3月第七版)發(fā)布
