医疗安全领域威胁持续上升-等保资讯-信息安全等级保护资讯网

等保资讯

等保资讯您的位置：首页>等保资讯 >

医疗安全领域威胁持续上升

时间：2021-08-12阅读量：1117来源：本站关键词：医疗网络安全 返回列表

大众的医疗数据被窃取贩卖，医疗诊断器械被网络不法分子控制，从而威胁病人生命安全…… 在提倡医疗物联网的同时，大多数医疗机构却存在着不可忽视的网络安全漏洞，使得医疗保健行业逐渐成为黑客攻击的热门目标。

近日，由每日经济新闻联合安恒信息发布的网络信息安全月报第四期内容中，着重分析了CVE安全漏洞对A股上市公司的影响。其中，医疗领域的网络安全威胁仍在上升。

CVE的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE是针对广泛认同的信息安全漏洞或者已经暴露出来的弱点的通用名称。CVE安全漏洞可能导致企业因勒索病毒或网络诈骗而遭遇重大损失。

本期网络信息安全月报中，对4112家A股上市公司进行了2021年年中CVE安全漏洞影响分析。其中，662家A股上市公司受到共183个CVE安全漏洞影响，占比16.09%。据统计，截至2021年7月，相关上市公司累计受到CVE安全漏洞影响的行业分布中，医疗保健行业占比10.99%，位列第五。而对企业影响最大的20个CVE安全漏洞中，15个漏洞为2018年到2019年提交的漏洞，这些漏洞至今仍未被修复，表明相关上市公司的安全意识与对漏洞的重视有待提高。

利用互联网应用漏洞一直是黑客达到不法目的的绝佳手段。很多企业不使用补丁包修复漏洞，他们的网站就存在着易被攻陷的风险，大量经济损失和无形资产的损失会随之而来。黑客除利用漏洞获取并出售商业秘密信息外，还可以使用更“暴力”的转化方法——勒索病毒。

据2021年上半年统计数据，在全球范围内，针对医疗行业的勒索软件攻击与往年相比仍处于上升状态，在各行业中占比达到了16.56%。政府机构、教育、科技、传媒、金融等受到的影响也较重。

8月2日，美国物联网公司Armis公布了一组统称为“PwnedPiper”的9个漏洞，涉及到远程代码执行、权限提升、内存损坏等。这些漏洞影响到了北美80%以上大型医院的气动管道系统（PTS）。这些管道连接着大型医院的不同部门，利用压缩空气传输医疗用品（比如血液、药物等）。攻击者可以利用这些网络漏洞，实现远程代码执行，获取员工的电子凭证、了解PTS的物理布局，攻击气动管道系统。攻击者可以选择加快运输来损坏医疗用品，也可以选择延迟交付手术急需的物品，进而以患者生命勒索医院。

国家卫生健康委在2018年发布的《全国医院信息化建设标准与规范（试行）》中，明确提出鼓励医院引入物联网技术，并指出可在数据采集、患者安全、资产与物资管理三个方面探索物联网应用。

然而，一旦医疗物联网出现网络安全问题，将对医院业务的连续、稳定运行造成极大威胁。同时，由于物联网中沉淀了大量、原始、极具价值的基础数据，数据安全与隐私保护等问题也需引起重视。

在医疗物联网应用的建设过程中，面临着嗅探与非法接入、系统漏洞、大范围端口开放、数据非密存储传输等安全隐患，而由于目前各物联网应用系统的安全性参差不齐、系统间过于封闭，医院无法对物联网应用进行统一的安全体系建设，安全策略也难以实施。

上一篇：中央对《党委（党组）网络安全工作责任制实施办法》解密 下一篇：校园信息化——筑牢网络安全防线