2020年合肥某私立医院服务器因在建设过程中未进行等保测评备案突然陷入瘫痪,医院业务全面“停摆”,合肥网警接警后立即启动网络安全应急响应预案,组织网安刑侦民警、勘验民警、 管理民警、 技术支持专家赶赴现场对该案件进行调查核实。经过技术专家调查核实,该私立医院因未按照网络安全等级保护制度要求履行安全保护义务,黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。
据了解该医院HIS、LIS、 PACS、 EMR等后台系统业务以及微信公众号后台、医院网站等主要系统业务全部放置在同一套服务器中,医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔"状态。公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。
随着互联网技术和相关行业发展的日新月异,新的网络攻击手段层出不穷,令网络安全的内涵和外延变得愈加丰富,信息安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。开展信息安全等级保护工作是保护信息化发展、维护信息安全的根本保障,是信息安全保障工作中国家意志的体现。信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合国家要求的等级保护测评机构,依据《信息系统安全等级保护测评要求》等技术标准,定期对信息系统安全等级状况开展等级测评。
根据国家卫健委《全国医院信息化建设标准与规范(试行)》,明确了全国二级以上医院信息化建设的建设内容和建设要求。未来全国医院信息化应用发展要求,针对二级医院、三级乙等医院和三级甲等医院的临床业务、医院管理等工作,覆盖医院信息化建设的主要业务和建设要求,从软硬件建设、安全保障、新兴技术应用等方面规范了医院信息化建设的主要内容和要求。建设标准按照二级、三级乙等和三级甲等医院提出了具体要求。二级及以上医院在医院信息化建设过程中,要依据《建设标准》,符合电子病历基本数据集、电子病历共享文档规范、以及基于电子病历的医院信息平台技术规范等卫生健康行业信息标准,满足《医院信息平台应用功能指引》、《医院信息 化建设应用技术指引》和相关医院数据上报管理规范的要求。妇幼保健院、专科医院可参照执行。
各省公安局网安总队将依据《网络安全法》等法律法规的相关规定,进一步加大网络安全监管力度,对未落实网络安全等级保护制度、网络实名认证、侵害公民个人信启等违法行为,以及从事危害网络安全的活动,或者为他人从事危害网络安全的活动提供技术支持等帮助的违法行为严格依法查处,构成犯罪的将依据《刑法修正案(九)》追究刑事责任。切实维护网络信息安全和互联网清朗空间。
不做等级保护等于违法!