发布日期:2021/04/24文章来源:动脉网
2020年第一季度,医疗信息安全行业延续了2019年的火热态势。
在资本端,信息安全领域企业融资势头不减,其中两家企业完成B+轮融资,融资金额均过亿元;在政策端,监管方也频频发力,如1月1日正式实施的《密码法》、2月5日国家卫健委办公厅下发《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》等法律法规,为信息网络安全“保驾护航”;在市场端,也不乏后来者。
医疗信息安全火爆的原因是什么?发展中存在哪些问题?未来的可能趋势是很什么?带着这些问题,动脉网对我国医疗信息安全的发展现状、相应对策、市场容量和参与者进行了梳理。
医疗行业的 “老大难问题”
新冠肺炎疫情期间,一些黑客组织也以“新冠肺炎”话题为诱饵,对医疗机构、医护人员的电脑发起网络攻击,从而达到勒索、窃取信息等目的。数据泄露问题是信息化时代常见的安全问题,大部分行业都屡见不鲜,但数据窃取事件也屡禁不止。
2019年5月初,美国临床前CRO公司查尔斯河(Charles River Laboratories)称,其约1%的客户数据被盗了。无独有偶,这个月的最后一天,全球临床诊断巨头Quest宣布,截止当日,该公司旗下有近1200万患者的财务、医疗和个人信息数据等因黑客攻击而泄露。
2019年7月31日,中国信通院安全研究所与腾讯智慧安全联合发布了《2019健康医疗行业网络安全观测报告》。《报告》称,健康医疗行业面临的网络安全风险类型主要集中表现在三大方面:
其一,以勒索病毒为代表的僵木蠕等恶意程序风险。在15339家健康医疗相关单位的观测样本中,发现存在“僵木蠕”等恶意程序的单位共计1029家,其中受勒索病毒影响的单位共计136家。这些恶意程序可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。
1989年出现的“艾滋病信息木马”,被普遍认为是较早时期的勒索软件。该木马隐藏磁盘的多个目录,对C盘的全部文件名加密,以至于系统无法启动。屏幕显示文字称,用户的软件许可已过期,需邮寄189美元才能解锁系统。
我国勒索软件是于2006年出现的Redplus勒索木马。该木马隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。
勒索病毒是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主要传播形式包括利用软件漏洞、RDP弱口令暴力破解、钓鱼邮件、网页挂马等。
这种病毒利用各种加密算法对文件进行加密后,向文件所有者索要赎金。如果感染者拒付赎金,就无法获得加密的私钥,无法恢复文件。
现今,勒索软件仍然是一项流行性安全威胁。为了攻击大型企业和组织,勒索软件不断研究新型变体,企业机密文件和数据的安全风险与日俱增。
其二,安全隐患带来的大数据泄露风险。观测样本中,有6446家单位的应用服务(如数据库服务、FTP服务、打印机服务等)端口暴露在公共互联网,其中375家单位的应用服务使用了简易密码,攻击者可通过公共互联网轻易获取这些服务的控制权,这可能引发批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。
其三,网站篡改风险。对样本观测后发现,有4546家单位网站存在安全隐患,其中261家单位网站已有被恶意篡改的记录。医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变。
医疗系统攻击也是较为常见的医疗信息安全事故类型。《法制日报》曾报道,2017年,我国某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,超8000万条公民信息被贩卖。几乎是同一时间,太平洋彼岸也发生了一起大规模的涉及公众隐私信息的泄露事件。
美国医疗设备公司Patient Home Monitoring的医疗数据存储纪录遭破解泄露,导致47.5GB的数据泄露,包含多达31.5万份PDF档案,涉及近15万患者的个人基础信息、医生和病例记录以及血液检查结果等隐私信息。
2018年7月26日,美国国家反情报与安全中心发布报告称,黑客对“生物材料、生物制药以及新疫苗和药物”特别“感兴趣”,对获取先进医疗设备、传染病治疗和转基因生物的信息非常“有意向”。同时,生物技术也被列为黑客攻击的重大目标之一。
虽然我国医疗数据信息泄露事件在公众视野下暴露的较少,但平静的海面下暗潮在涌动。
疫情是医疗网络系统的一次大考
在疫情期间,医疗机构作为“抗疫”的前线,在网络空间的战场上同样面临着严峻的安全威胁与考验。数据显示,疫情期间的医院攻击事件,其中有多起事件是利用冠状病毒热点事件,通过钓鱼软件、恶意链接等方式诱导攻击目标打开、下载并启用攻击文件。一旦电脑被感染,病毒会进行横向移动,感染更多网络中的机器。
据永利皇宫监测数据显示,2020年初以来,部分疫情灾区的webshell日攻击流量达到104万条,其中有效攻击量近6000条,相比较2019年的平均日攻击流量上升5个百分点,有效攻击数量上升15个百分点;与此同时,多家医疗机构接连中招勒索病毒的消息不绝于耳。
为什么黑客“钟爱”医疗医疗数据?
第一,医疗数据“太值钱”。随着科技的进步,人工智能、大数据在医疗领域的应用范围也越来越广。医疗大数据的数据质量和安全问题,也对医学的发展起着重要的作用。医疗行为本身就决定了医疗数据的真实性。医疗数据因为包含患者的姓名、年龄、居住地址、电话、病史、银行账户等信息,蕴含着重要的财富价值,成为了不良黑客的香饽饽。
第二,医疗数据覆盖面广。上海申康医院发展中心医联中心主任何萍曾接受采访时说,从微观上看,医疗信息包含了患者个体患病情况、生物组学等数据;从宏观上看,则包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。所以,医疗数据能否安全使用,关乎社会稳定、国家安全。
第三,操作系统过时的医疗设备也是网络攻击者的重要途径。很多医疗设备质量优质,运行时间长,有些能够保证运行十年以上。但是,这也有可能使医院“遗忘”了它们的存在。医疗设备操作系统过时,便会产生安全漏洞,网络攻击者便有了可乘之机。透过那些“漏洞”看向医疗设备内部,网络攻击者发现的不是零件、电路板,而是一座座装满了钱财的库房。
除了上述的内部原因之外,一些恐怖组织、黑客组织、黑产等经济犯罪团伙、极端个人,出于一些个人或利益原因也可能会实施网络攻击。
中国信息通信研究院安全研究发布的《2020数字医疗:疫情防控期间网络安全风险研究报告》显示,疫情期间,医疗服务认证暴力破解攻击态势持续严峻,黑客曾对医疗行业的暴力破解攻击达到了单日 80 万次的高峰。
此次疫情中,医疗领域面临的网络安全风险包括:
外联第三方机构的安全威胁。为了便于访问医院网络的其他分支,医疗设备接入的操作系统都保留了许多不同类型的敏感信息。钟一鸣表示,外联机构在单位的设置上都是可信的机构,例如上级主管单位、兄弟医院、下级单位等。但从网络攻击的角度来说,这些外联机构的网络都不在医院自身可以管理的安全范围内,因此也属于非可信网络,医院也应加强防护。
据腾讯智慧安全御见威胁情报中心分析发现,国内多家三家医院接入的第三方医疗服务平台存在严重逻辑漏洞。而这些平台都汇集了全国多个省市的数百家大型三家医院在内的医疗资源,一旦被不法黑客攻击,平台上所有医院都将受到影响。
移动医疗产品也有隐患。根据前瞻研究产业院数据,预计2020年行业整体规模将有望突破500亿元。用户使用移动医疗APP的目的主要为搜索相关信息、咨询问诊、预约挂号、学习保健知识以及管理慢性疾病等。
移动医疗APP主要面临的安全风险包括APP反编译破解,如系统键盘和输入法攻击、本地数据破解、WIFI钓鱼、网络监听、调试攻击、内存攻击等,这些会导致用户个人隐私信息被窃取和泄露。而这些患者的基本信息、社保号、交易信息、电子病历、诊疗数据等都成为犯罪分子非法获利的重要途径。此外,还面临着APP监管难的问题。
近日,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,共20余款移动应用存在涉嫌隐私不合规行为,其中包括未向用户明示申请的全部隐私权限,未说明收集使用个人信息规则,以及为提供有效的更正、删除个人信息及注销用户账号功能。
新技术,新风险。云计算在医疗数据的储存管理等领域的应用,让医疗数据和信息系统逐步实现数字化和中心化转型,但也加剧了信息安全问题导致平台故障、业务中断和数据丢失的风险;大数据技术的应用有助于对医疗数据更加高效合理的分析利用和前瞻预警,但数据的集中也易成为黑客的攻击目标,隐私和数据泄露等问题正日渐凸显;物联网在医疗行业应用广泛,而一旦IoT设备中的安全漏洞被利用,可能会导致信息被监听或截获,造成难以估量的严重后果。
网络安全保护,国家一直在行动
信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,国际应用广泛。为了对不同领域的信息安全工作进行指导,我国相关部门和专家结合我国信息领域的实际情况,开始了研究。
我国信息安全等级保护具体实施过程(资料来源网络,动脉网制图)
1994年,国务院正式下发《中华人民共和国计算机信息系统安全保护条例》,提出信息安全等级保护的概念。随后的十余年内,我国陆续出台了一系列的政策法规。
信息安全等级保护的政策发展历程(资料来源网络,动脉网制图)
2000年11月10日,国家发改委产业化项目《计算机信息系统安全保护等级评估认证体系及互联网网络电子身份认证管理与安全保护平台建设》工程(“1110工程”)实施。该工程于2008年7月18日成功验收,制定了20余项信息安全等级保护相关标准,为进一步完善我国信息安全标准体系奠定了基础。
2004年至2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
2007年,四部门相继出台两项政策后,于 7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议。这一会议也标志着信息安全等级保护制度正式开始实施。
在我国信息网络安全发展史上,2016年是一个重要的时间节点。这一年,《中华人民共和国网络安全法》出台,让等级保护已上升至法律层面,也标志着等级保护进入了2.0阶段。
相比“等保1.0”,等保2.0不仅仅是一个标准版本更新的概念。
2019年5月,国家发布了《网络安全等级保护制度2.0标准》,并于2019年12月1日实施。该标准针对云计算、物联网、移动互联网、工业控制、大数据新技术等新兴技术对安全标准提出了新的要求,并将遵循的法律条文从原本1.0标准的国务院147号令提高到《网络安全法》。
“进入等保2.0时代,监管机构对云、大、物、移提出了更高的安全合规要求。同样,医疗行业的信息安全也增加了许多新的防护重点和方向。”永利皇宫常务副总裁韩卫东举例说到,在等保2.0背景下,医疗行业的信息安全工作更加关注数据的完整性和私密性,具体可涉及个人信息保护、数据传输与储存的安全、移动应用和物联网设备的管控等领域的问题与挑战。整体来说,等保2.0对医疗行业的信息网络安全工作提出了更高、更细化的要求以及更广泛的新技术应用空间。
除等级保护2.0对数据安全的要求外,2018年,国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》也规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主。因此医疗机构的数据安全越发重要。
这一《办法》也被普遍认为是《网络安全法》在医疗行业内的细化。
2019年5月,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护系列国家标准。系列标准的发布对保障和促进医疗行业信息化发展,提升各医疗机构网络安全保护能力具有重要的指导意义。
2020年1月1日,我国密码领域的法律《密码法》正式实施,患者、医院、医疗企业等可以依法使用商业密码保护网络与信息安全。
2020年2月5日,国家卫健委下发《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》。其中特别指出“加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。”
“信息安全是医疗数字化平台转型成功的基础。” 永利皇宫常务副总裁韩卫东认为,疫情这一突发事件,倒逼着行业加速完成医疗数字化的业务升级和实质性转变,比如结合新技术应用的自上而下的整体疾控体系的重构、医疗数字化统一平台建设的加速、互联网技术加持的智慧医疗的建成以及整个社会公共卫生管理和应急管理系统的进一步完善等。
信息安全从业者与不法黑客的对决
国内外健康医疗行业网络安全保护的缺失导致相关市场规模高速增长。据Global Market Insights的调查,2018年医疗保健网络安全市场规模为82亿美元,预计到2025年的复合年增长率为19.1%。
据相关机构数据统计,2019年中国医疗行业ICT市场规模超400亿元,安全占比约10%;今年即使在发生疫情导致各方预算紧缩的情况下,永利皇宫常务副总裁韩卫东预计,2020年的医疗行业市场规模和安全建设投入仍将有一定程度的提升。
动脉网此前文章《2019医疗信息化中标数据分析,最高中标金额近1.2亿元,三级医院需求占六成》介绍,2019年公立医疗机构全年采购情况中,信息安全项目占信息化采购项目数量中的第二位,共计459个,占比11.4%,仅次于院端信息化。
2016年,卫健委发布的《2016三级综合医院评审标准考评办法(完整版)》再次强调,三级医院重要的业务系统必须达到等级保护测评三级测评才能满足三级医院评审标准中对网络安全的要求,对三级医院的信息安全提出了强制要求。
到了2018年,卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护。由于一般引入大数据技术的医院都是三级甲等医院,因此其等级保护测评主要以三级测评为主。与此同时,《互联网医院管理办法(试行)》也规定承载互联网医院的平台必须通过等级保护测评三级测评。
《网络安全法》也强制性规定未通过等保2.0测试将违反法律。正因为此,很多尚未通过测评的二级医院纷纷在年内采购了信息安全项目以期满足新版等保测评的要求。在政策的强力推动下,还未满足新标准的医疗机构对信息安全项目的需求自然水涨船高。
动脉网分析,随着2020年全国启动二级医院绩效考核,以及新冠肺炎疫情中表现出对医疗资源的挤兑,二级医院的信息化进程可能在2020年有一个加速。
2020年3月,企业级信息安全市场专业咨询机构“安全牛”发布了“2020年中国网络安全行业全景图”。该全景图共分为16类一级安全领域(实际收录15类),100类二级细分领域(实际收录88类)。动脉网整理如下:
解外患,除内忧
永利皇宫常务副总裁韩卫东表示,相对于其他行业来说,医疗行业对信息安全的关注度和重视程度仍然不够,风险意识仍然薄弱,监管力度也仍然不足,行业整体缺乏完整的安全体系建设和包括应急响应在内的一套完整、成熟的流程制度,尤其是中基层医疗机构,由于无法做到专人专职,在体系化建设和专业技术能力支撑方面存在加大的缺口。
因此,加强人员网络安全意识培训,落实网络安全管理制度是网络安全保护建设中容易被忽视却也是非常重要的一个环节。