一、医疗健康行业所面临的网络安全风险明显增多
随着网络的快速发展,医疗行业信息化得到全面快速发展,互联网、大数据、云计算等新兴技术与传统医疗不断深化融合,促进了医疗服务水平的提升。尤其在2020年初新型冠状病毒肺炎疫情爆发以来,许多医院、基层医疗卫生机构、专业公共卫生机构等通过互联网提供网上预约挂号、微信支付、在线问诊、智能问药、药品快递到家等服务,减少了接触传染的风险,增强了就医的便捷性,提高了优质医疗资源的利用效率。而互联网+医疗平台、大数据平台的使用,使得越来越多的医疗数据存储在互联网中,为医疗行业带来新的网络安全问题,加剧了医疗行业网络安全的复杂形势,使得医疗行业面临的网络安全风险也逐渐增多。
根据相关行业报告总结的数据显示,目前医疗行业面临严峻的网络安全形势,主要表现在以下方面:
(一)等级保护工作落实情况不佳
自 2017 年《网络安全法》颁布以来,网络运营者落实网络安全等级保护制度成为已成为法定义务,而整个医疗行业的网络安全等级保护工作开展情况一般。例如,中国医院协会信息管理专业委员会(CHIMA)发布的《2018-2019 年度中国医院信息化调查报告》中,参与调查的 839 家医院中仅有 43.95%通过了等级保护测评,其中三级医院比例明显大于三级以下医院,三级以下医院中 75%未开展过等级保护测评。可以看出医院对网络安全愈发重视,但整体推进态势仍显缓慢。医疗行业亟需加快落实步伐,进一步梳理信息系统,开展等级保护测评和系统安全加固工作。
(二)医疗行业网络安全风险较高
1.医疗行业网络安全隐患普遍存在
根据《2019健康医疗行业观测报告》数据,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。报告显示,通过对15339家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计1029家,应用服务端口暴露在公共互联网中的单位有6446家,4546家单位网站存在被篡改安全隐患,其中261家单位已发生网站被篡改情况。
随着移动医疗、电子病历系统、AI医疗等数字化医疗的普及,国内医疗机构遭受恶意攻击的频率更呈上升趋势。2020年2月,在我国正处于新型冠状病毒肺炎抗疫关键时期,印度APT黑客组织对我国医疗机构、政府部门展开攻击,以“新冠肺炎”话题为诱饵,引诱受害者执行钓鱼指令。
2. 遭受勒索病毒攻击严重
勒索病毒利用加密算法对文件或计算机系统进行恶意加密,使感染者业务中断或数据丢失,只有交付数字货币拿到秘钥才能破解。医疗行业受勒索病毒感染情况严重。根据2018年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》显示,在全国三甲医院中,有247家医院检出了勒索病毒,以广东、湖北、江苏等地区检出勒索病毒最多。2019 年初,某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密,GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行业中,医疗行业占比约50%。医疗行业信息系统数据价值高、业务连续性要求强,成为勒索病毒攻击的主要目标,极有可能使医疗单位遭遇巨大经济损失。
(三)安全防护水平相对落后
1.缺乏必要的网络安全防护设备
根据CHIMA《2018-2019年度中国医院信息化状况调查报告》显示,现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN 划分和上网行为管理的医院仅过半数。医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。可见大部分医院都缺乏必要的网络防护设备。
值得关注的是,三级以下医院只有不到一半采取了VPN/VLAN划分、上网行为管理系统,不到1/3的医院采用了网闸、入侵检测(IDS/IPS),1/5的医院采用了网络接入控制、漏洞扫描、域用户管理模式,仅有1/10的医院采用了堡垒机进行运维管理。可以看出,三级以下医院在基础网络安全防护方面非常欠缺,网络安全堪忧。
2.缺少必要的系统防护及数据保护措施
医疗信息系统中大部分的服务器操作系统安装了防病毒软件,主要应用服务器采用双机热备或者集群部署,减少了服务器宕机带来的故障,但缺少必要的网络准入机制,对接入网络的终端没有进行IP限制,也没有必要的认证机制。相关测评机构在分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服务器,大部分医疗信息系统没有完善的数据保护机制。
(四)医疗信息泄露事件高发
近年来,国内外由于医疗信息系统被入侵而导致的信息泄露事件多次发生。2016 年7月,白桦林全国联盟共接到来自30多个省份至少有275位艾滋病患者的个人信息遭到泄露而导致的诈骗报告。2017年10月,杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息共计370余万条,造成了极其恶劣的影响。2019年,德国一家漏洞分析和管理公司发现,含有大量医疗放射图像的服务器暴露在公共互联网中,其中涉及中国14个服务器系统,包含近28万条医疗数据,详细记录了患者个人信息及医疗情况,攻击者利用这些数据在暗网中交易获取巨额利润。恶意攻击事件频繁发生,数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。
此外,还存在员工安全意识淡薄、信息安全工作总体方针政策缺失、安全管理制度不完善、缺少内外网隔离措施、移动医疗应用存在漏洞且漏洞管理机制缺失、新应用上线前缺乏足够的安全测试及代码审计环节以及运维人员缺乏全面的安全技能等系列风险。
二、我国出台了一系列政策法规来保障医疗健康业的网络安全
(一)国家层面密集出台相关政策法规
该标准将网络安全相关工作纳入评审条件中,适用于三级医院,二级医院可参照使用:第一部分前置要求的第三大点“安全管理与重大事件”提到,若医院在评审周期内“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果”的,则延期一年评审。延期期间原等次取消,按照“未定等”管理。
落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理,保障网络信息安全,保护患者隐私。
(二)各地将网络安全作为“互联网+医疗健康”重要内容
自国务院办公厅发布《关于促进“互联网+医疗健康”发展的意见》以来,各省市纷纷就“互联网+医疗健康”作出行动部署。国家卫生健康委同意批复示范省区建设,各地相继推进互联网与医疗健康融合发展,同时推进信息安全建设。
2018年9月,国家卫生健康委员会与宁夏回族自治区人民政府共同签订共建“互联网+医疗健康”示范区战略协议,宁夏成为我国首个“互联网+医疗健康”示范省区。2019年2月,《宁夏回族自治区“互联网+医疗健康”示范区建设规划(2019-2022年)》发布,其中就统一安全保障体系作出规划,推进安全防护体系建设,实现信息共享与保护同步发展。到2022年,形成全领域、全方位的安全保障体系。
2019年7月16日,上海市卫健委发布《上海市互联网医院管理办法》,其中第23条“信息系统建设”规定,互联网医院应按照《网络安全法》、《网络安全等级保护条例》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《卫生行业信息安全等级保护工作的指导意见》、《互联网医院基本标准》等法律规定建立信息系统,配备信息专业技术人员,遵守互联网信息安全相关法律法规。互联网医院信息系统按照《信息安全技术网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评,测评通过后应提交系统年度测评报告。
2019年12月13日,四川省发布为推进“互联网+医疗健康”示范省建设部署23项工作,其中对严格执行信息安全和健康医疗数据保密作出规定,深化国产密码应用,加强关键信息基础设施、数据应用服务的安全防护。严格落实国家网络安全等级保护制度,妥善保管患者信息、用户资料、基因数据等,对泄露、出售、窃取或者以其他非法方式获取个人信息、非法向他人提供个人信息的行为依法依规予以惩处。患者信息等敏感数据应存储在境内,确需向境外提供的,应依照相关规定进行安全评估。
从陆续出台的政策法规可以看出,国家对医疗行业网络安全高度重视,无论从医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”、“医疗大数据”,到一些基本惠民便民的传统医疗信息系统建设,以及国家出台的第一部卫生健康领域基础性、综合性法律,无不强调落实做好网络安全工作,且设置标准中都有明确的等级保护要求。可见,落实好网络安全等级保护制度是医疗健康行业保障网络安全的一块基石。
三、对医疗健康行业落实保2.0制度的若干建议
(一)合理开展系统定级备案工作
医疗行业目前急需落实网络安全等级保护的系统有两类,一是传统核心业务系统,二是新建融合了各种新技术的信息系统。开展网络安全等级保护工作的第一步就是合理对这些系统进行等级保护定级。
早在2011年原卫生部颁发的《卫生行业信息安全等级保护工作的指导意见》明确以下五类重要卫生信息系统安全保护等级原则上不低于三级:
1.卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统;
2.国家、省、地市三级卫生信息平台,新农合、卫生监督、妇幼保健等国家级数据中心;
3.三级甲等医院的核心业务信息系统;
4.卫生部网站系统;
5.其他经过信息安全技术专家委员会评定为第三级以上(含第三级的信息系统)。
但随着新兴技术的发展,等级保护2.0将云计算、大数据、物联网、工业控制系统、移动互联等新技术产业也纳入了监管行列,显然2011年《指导意见》的覆盖范围已有局限性。2019年上海市卫生健康委员会《关于进一步调整本市卫生健康行业重要信息系统定级范围的通知》及时扩充了等保对象的范围,进一步明确了区属二、三级医疗机构和社区卫生服务中心的相关信息系统安全保护等级原则上不低于第三级,包括以下:
1.核心信息系统范围覆盖HIS、LIS、RIS、PACS、电子病历、核心数据库、医院信息采集及数据中心等;
2.区域核心业务系统范围涉及人口健康信息平台、区域医学影像诊断信息系统、区域心电诊断信息系统、去油临床检验诊断信息系统、其中人口健康信息平台涵盖区域卫生共享交换平台、电子健康档案等重要应用系统。
3.满足如下条件之一的信息系统:
a、承载公民个人信息的信息系统;
b、承载核心业务信息(包含但不限于预约挂号、诊疗诊断、健康体检、免疫疾控、医嘱开方、药品与耗材、医院运营、医院管理、远程医疗等)的信息系统;
c、与核心业务系统发生双向数据交换或业务协同的信息系统(包含但不限于网上签约、健康管理、问医用药、医疗物联网、科研随访、保险理赔等);
d、承载国家法律法规需要落实敏感信息保护的信息系统;
e、承载医院对外形象宣传的信息系统或医院重要信息(包含但不限于医院门户网站、统一登录平台、移动OA、移动App等);
f、与其他按照等级保护要求运行维护的信息系统发生双向数据交换或业务协同的信息系统。
上海卫健委发布的定级范围可以说是紧跟国家相关政策法律法规,区分了核心业务系统、区域核心业务系统,以及将含有敏感信息保护的信息系统、承载公民个人信息保护的系统都包含进来,是非常有借鉴作用的。等级保护2.0的开展,无疑对医疗机构的网络和信息安全能力提出了进一步要求。
(二)将风险评估、等级测评列入年度工作计划中
医疗机构在完成定级备案工作后,由信息安全管理部门牵头进行安全建设整改工作,可以自行开展安全评估,或者委托第三方专业的安全咨询公司开展安全评估工作,依据等级保护标准对评估结果进行差距分析,查看是否符合等级保护基本要求。医疗机构根据各系统的定级情况,安排当年的等级测评工作,按照要求定级为三级及以上的系统每年开展一次测评,选择公安部推荐目录中的等级保护测评机构开展安全测评。
医疗机构应按照要求常规化风险评估、等级测评工作,做到定期排查系统安全隐患,对于不符合要求项,信息系统运营、使用单位及时开展安全整改。
(三)分批次,逐年修正网络安全风险
在进行安全整改建设时,最快速简单的办法就是从网络整体架构出发,完善医疗机构网络安全建设,配备并配置必要的网络安全设备,形成纵深防御能力,确保系统中无高风险问题,其次再逐渐修正一些中低风险问题。例如,三级甲等医院必须配备WEB防火墙,且应具备对SQL注入、跨站、扫描器扫描、信息泄露、文件传输攻击、操作系统命令注入、目录遍历、异常发现、webshell攻击检测、盗链行为、拒绝服务攻击防护、网页防篡改、身份认证、日志审计等14项安全功能中的12项功能。另诸如数据库防火墙、网络防火墙、网络安全审计、数据库审计、运维审计、主机安全审计、入侵防御设备、防病毒网关设备、上网行为管理、统一安全管理等也是必须部署的设备,这些都应列入第一梯队进行安全部署。
(四)关注新技术引用的安全风险
等保 2.0 时代在等保 1.0 的基础上增加了云计算、大数据、物联网、移动互联的安全合规要求。近年来,云计算、大数据、物联网和移动互联等新兴技术不断与传统医疗业务深化融合,为医疗服务提供便利的同时也引入新的安全风险。如物联网技术帮助实现对患者的智能化医疗,主要应用在人体健康数据监测和体内植入设备。例如血糖监测设备、老年人生命体征家庭监控、心脏除颤器、起搏器等。物联网医疗设备也存在信息被监听、截获从而控制设备发起攻击的风险。2019 年美敦力公司收到美国国土安全部的警告,其公司的植入式心脏装置存在被恶意攻击风险。此时,这些物联网医疗设备却能成为新型的杀人武器。因此,我们必须高度重视对这些新引进的技术进行安全管理。
总体而言,医疗健康行业按照等保2.0的要求积极进行网络安全建设,不仅可以提高医院IT安全管理水平,全面降低信息安全风险,同时可以帮助医院树立良好的安全形象,提高公众对医院的信任度,进而促进医院业务的发展,具有良好的经济效益和社会效益。
