隨著人工智慧、大資料、雲端計算等新一代資訊科技在健康醫療領域逐步應用與落地,網際網路醫療、遠端診療等新型醫療服務得到了快速發展。新冠疫情更推動了傳統醫療單位向智慧醫院轉換的程式,醫療行業數字化轉型的程式加速明顯。由於醫療機構屬於社會性城市基礎設施並儲存了大量真實資料,更容易成為網路攻擊的首要目標。
為幫助醫療行業更好地防範和應對數字醫療領域的網路安全風險,騰訊安全聯合中國資訊通訊研究院安全研究所、衛生資訊保安與新技術應用專業委員會、資料保護官(DPO)社群等行業組織和研究團隊,共同編寫併發布了《數字醫療網路安全觀測報告(2020年)》(以下簡稱《報告》),旨在透過對健康醫療行業網路安全現狀、行業安全態勢進行全面剖析,為主管部門、醫療機構以及安全服務廠商提供工作思路和建議,共同促進衛生健康領域安全有序發展。
關注騰訊安全(公眾號TXAQ2019)
回覆數字醫療安全報告獲取原報告
總體而言,本次觀測到的健康醫療行業整體評分為842分,較去年有一定提升;但隨著數字醫療的加速發展,資產脆弱性、安全漏洞、僵木蠕毒及網站篡改這四類安全問題仍是威脅醫療機構網路安全的主要因素,對傳統醫院、網際網路醫院以及私立醫院形成主要威脅的安全問題也各不相同,健康醫療行業應儘快建立健全的網路安全體系,以應對數字時代下的安全挑戰。
網路安全形勢日漸複雜
僵木蠕毒等安全問題明顯抬頭
《報告》中指出,眼下我國健康醫療行業在資訊科技發展、政府政策及疫情的多重推動下,已經進入了數字化轉型程式中的重要時期,數字醫療領域的網路安全問題呈現多元化發展態勢。一方面,安全漏洞、木馬、病毒、網站篡改等傳統安全問題仍在不斷威脅著健康醫療行業的網路安全;另一方面,隨著行業線上業務的快速發展,醫療業務和資料上雲也帶來了新的安全挑戰。
透過對資產脆弱性、安全漏洞、僵木蠕毒及網站篡改等四類安全問題進行分析比對,《報告》展示了現階段健康醫療行業在網路安全防護方面取得的階段性成果和不足之處:高危埠、敏感服務暴露及應用服務版本過低的風險均大幅下降,特別是高危埠,所涉及的醫療單位數量同比下降了42.85%;安全漏洞問題也得到了一定程度上的修復,涉及單位數量從2019年的1302家下降到了653家。
安全漏洞風險級別分佈對比圖
但僵木蠕毒和網站篡改這兩類安全問題卻呈現出了明顯的抬頭趨勢,網站篡改涉及單位數量漲幅超過了70%;而以勒索病毒為首的僵木蠕毒仍是各省醫療單位需要面對的主要安全問題,《2019年資料洩露事件調查報告》中顯示,勒索軟體攻擊已連續第二年佔據2019年醫療保健領域所有惡意軟體事件的70%以上。
通用僵木蠕毒惡意檔案感染單位變化圖 網際網路醫院、私立醫院亦存在安全問題
亟需建立完整健全的網路安全體系
在新基建和產業上雲趨勢的共同推動下,在疫情期間成為科技“戰疫”先鋒的網際網路醫院迎來新一輪的發展契機。然而網際網路醫院建設必須依託於實體醫療機構的特點,也決定了網際網路醫院將存在與傳統醫院同樣的網路安全問題,其網路環境也會更為複雜。
《報告》中將網際網路醫院和傳統醫院的網路安全形勢進行了對比。總體來看,網際網路醫院在資產脆弱性防護和網站篡改這兩個安全問題上的表現優於傳統醫院;但由於業務系統開放在公共網際網路,將會承受更多的網路攻擊壓力,受到僵木蠕毒等惡意程式攻擊、被網路黑產透過安全漏洞入侵的風險更高。
此外,私立醫院作為我國醫療衛生資源的中堅陣地之一,近年來也在加快業務上線的節奏,以應對時下日益增長的線上醫療需求。由於私立醫院與公立醫院所採用的業務介面不同,在各安全問題上的表現存在一定差異:雖然私立醫院的總體風險評分略高於公立醫院,但網站篡改、安全漏洞防護這兩個問題上的表現則遜於後者。
隨著健康醫療行業數字化轉型程式的不斷推進,國家對於行業網路安全的重視程度和監管力度在逐步增強,《資料安全法》、《個人資訊保護法》及《關於做好資訊化支撐常態化疫情防控工作的通知》等相關法律法規和規範性檔案相繼出臺,均要求健康醫療行業建立健全、統一的網路安全標準體系。
最後,《報告》為健康醫療行業提供了網路安全體系建設的安全工作思路和建議,並對服務於健康醫療行業的安全服務上提出了要求。主管部門應重點推動行業規範發展,進一步健全行業的安全標準體系和規範;醫療機構則需持續改進自身安全建設,以應對新技術、新應用、新場景下的安全問題;對於安全服務商而言,應加快產品研發速度並提升服務質量,做好網路安全的支撐和保障工作。