中科至善 2022-06-16
医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。
据《中国医疗行业网络安全行业分析》报告显示,通过对15339家医疗行业相关单位的观测,1029家单位存在僵尸、木马或蠕虫等恶意程序,6446家单位的应用服务端口暴露在公共互联网中,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。
医疗行业信息系统安全问题分析
58%的医疗信息系统存在弱口令问题;59%医疗信息系统存网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题;60%的医疗信息系统数据备份机制不健全,包括无异地备份机制、备份策略不合理等问题;72%的医疗信息系统在数据存储和传输过程中未采取加密措施;绝大多数医疗信息系统在管理方面存在监管不力、制度不完善、人员安全意识较弱等问题。
大部分医院缺乏必要的网络防护措施
现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。
在疫情期间,医疗机构作为“抗疫”的最前线,在网络空间的战场上同样面临着严峻的安全威胁与考验。数据显示,疫情期间的医院攻击事件,其中多起事件是利用冠状病毒热点事件,通过钓鱼软件、恶意链接等方式诱导攻击目标打开、下载并启用攻击文件。一旦电脑被感染,病毒会进行横向移动,感染更多网络中的机器。
医疗行业三种常见的网络安全风险类型
第一类,以勒索病毒为代表的僵木蠕等恶意程序风险。
在15339家健康医疗相关单位的观测样本中,发现存在“僵木蠕”等恶意程序的单位共计1029家,其中受勒索病毒影响的单位共计136家。这些恶意程序可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。
我国首款勒索软件是于2006年出现的Redplus勒索木马。该木马隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。
勒索病毒利用各种加密算法对文件进行加密后,向文件所有者索要赎金。如果感染者拒付赎金,就无法获得加密的私钥,无法恢复文件。现今,勒索软件仍然是一项流行性安全威胁。为了攻击大型企业和组织,勒索软件不断研究新型变体,企业机密文件和数据的安全风险与日俱增。
第二类,安全隐患带来的大数据泄露风险。
观测样本中,有6446家单位的应用服务(如数据库服务、FTP服务、打印机服务等)端口暴露在公共互联网,其中375家单位的应用服务使用了极简易密码,攻击者可通过公共互联网轻易获取这些服务的控制权,这可能引发批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。
第三类,网站篡改风险。
对样本观测后发现,有4546家单位网站存在安全隐患,其中261家单位网站已有被恶意篡改的记录。医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变。
医疗系统攻击也是较为常见的医疗信息安全事故类型。2017年,我国某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,超8000万条公民信息被贩卖。同年,美国医疗设备公司Patient Home Monitoring的医疗数据存储纪录遭破解泄露,导致47.5GB的数据泄露,包含多达31.5万份PDF档案,涉及近15万患者的个人基础信息、医生和病例记录以及血液检查结果等隐私信息。
虽然我国医疗数据信息泄露事件在公众视野下暴露的较少,实则暗潮涌动。
2018年,威瑞森发布的《受保护健康信息泄露报告》表明,受访医疗提供商遭遇的数据泄露中,有57.5%都是内部人导致的,只有42%是外部攻击者所为。外部攻击可用技术预防,但内部人员问题的确是防不胜防。
相对于其他行业来说,医疗行业对信息安全的关注度和重视程度是不够的,风险意识薄弱,监管力度不足,行业整体缺乏完整的安全体系建设和包括应急响应在内的一套完整、成熟的流程制度,尤其是中基层医疗机构,由于无法做到专人专职,在体系化建设和专业技术能力支撑方面存在加大的缺口。
因此,加强人员网络安全意识培训,定期组织相关人员学习网络安全,对安全岗位人员技能提升与培养,落实网络安全管理制度是网络安全保护建设中容易被忽视却也是非常重要的一个环节。
2019年,中国网络安全审查技术与认证中心根据医疗行业网络安全的实际状况,特别对医疗行业安全岗位能力培训推出了信息安全保障人员认证(CISAW-HSP),兼顾医疗信息安全技术与管理,定岗提升安全从业人员的岗位能力。中科至善作为CISAW-HSP授权培训机构,已累计帮助近400名医疗从业人员取得资格认证。