2020年第一季度,醫療信息安全行業延續了2019年的火熱態勢。
在資本端,信息安全領域企業融資勢頭不減,其中兩家企業完成B+輪融資,融資金額均過億元;在政策端,監管方也頻頻發力,如1月1日正式實施的《密碼法》、2月5日國家衛健委辦公廳下發《關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》等法律法規,為信息網絡安全“保駕護航”;在市場端,也不乏后來者。
醫療信息安全火爆的原因是什么?發展中存在哪些問題?未來的可能趨勢是很什么?帶著這些問題,動脈網對我國醫療信息安全的發展現狀、相應對策、市場容量和參與者進行了梳理。
醫療行業的 “老大難問題”
新冠肺炎疫情期間,一些黑客組織也以“新冠肺炎”話題為誘餌,對醫療機構、醫護人員的電腦發起網絡攻擊,從而達到勒索、竊取信息等目的。數據泄露問題是信息化時代常見的安全問題,大部分行業都屢見不鮮,但數據竊取事件也屢禁不止。
2019年5月初,美國臨床前CRO公司查爾斯河(Charles River Laboratories)稱,其約1%的客戶數據被盜了。無獨有偶,這個月的最后一天,全球臨床診斷巨頭Quest宣布,截止當日,該公司旗下有近1200萬患者的財務、醫療和個人信息數據等因黑客攻擊而泄露。
2019年7月31日,中國信通院安全研究所與騰訊智慧安全聯合發布了《2019健康醫療行業網絡安全觀測報告》?!秷蟾妗贩Q,健康醫療行業面臨的網絡安全風險類型主要集中表現在三大方面:
其一,以勒索病毒為代表的僵木蠕等惡意程序風險。在15339家健康醫療相關單位的觀測樣本中,發現存在“僵木蠕”等惡意程序的單位共計1029家,其中受勒索病毒影響的單位共計136家。這些惡意程序可導致大范圍的網絡欺詐、信息泄露和醫療信息系統癱瘓等破壞性后果。
1989年出現的“艾滋病信息木馬”,被普遍認為是較早時期的勒索軟件。該木馬隱藏磁盤的多個目錄,對C盤的全部文件名加密,以至于系統無法啟動。屏幕顯示文字稱,用戶的軟件許可已過期,需郵寄189美元才能解鎖系統。
我國勒索軟件是于2006年出現的Redplus勒索木馬。該木馬隱藏用戶文檔,然后彈出窗口勒索贖金,金額從70元至200元不等。
勒索病毒是一種流行的木馬,通過騷擾、恐嚇甚至采用綁架用戶文件等方式,使用戶數據資產或計算資源無法正常使用,并以此為條件向用戶勒索錢財。主要傳播形式包括利用軟件漏洞、RDP弱口令暴力破解、釣魚郵件、網頁掛馬等。
這種病毒利用各種加密算法對文件進行加密后,向文件所有者索要贖金。如果感染者拒付贖金,就無法獲得加密的私鑰,無法恢復文件。
現今,勒索軟件仍然是一項流行性安全威脅。為了攻擊大型企業和組織,勒索軟件不斷研究新型變體,企業機密文件和數據的安全風險與日俱增。
其二,安全隱患帶來的大數據泄露風險。觀測樣本中,有6446家單位的應用服務(如數據庫服務、FTP服務、打印機服務等)端口暴露在公共互聯網,其中375家單位的應用服務使用了簡易密碼,攻擊者可通過公共互聯網輕易獲取這些服務的控制權,這可能引發批量應用服務被惡意控制、大量健康醫療數據泄露的安全事件。
其三,網站篡改風險。對樣本觀測后發現,有4546家單位網站存在安全隱患,其中261家單位網站已有被惡意篡改的記錄。醫療行業的網站同政府網站、教育機構網站等都是境外機構的重點攻擊對象,且網站篡改手法多變。
醫療系統攻擊也是較為常見的醫療信息安全事故類型?!斗ㄖ迫請蟆吩鴪蟮?,2017年,我國某部委醫療服務信息系統遭“黑客”入侵,超過7億條公民信息遭泄露,超8000萬條公民信息被販賣。幾乎是同一時間,太平洋彼岸也發生了一起大規模的涉及公眾隱私信息的泄露事件。
美國醫療設備公司Patient Home Monitoring的醫療數據存儲紀錄遭破解泄露,導致47.5GB的數據泄露,包含多達31.5萬份PDF檔案,涉及近15萬患者的個人基礎信息、醫生和病例記錄以及血液檢查結果等隱私信息。
2018年7月26日,美國國家反情報與安全中心發布報告稱,黑客對“生物材料、生物制藥以及新疫苗和藥物”特別“感興趣”,對獲取先進醫療設備、傳染病治療和轉基因生物的信息非常“有意向”。同時,生物技術也被列為黑客攻擊的重大目標之一。
雖然我國醫療數據信息泄露事件在公眾視野下暴露的較少,但平靜的海面下暗潮在涌動。
疫情是醫療網絡系統的一次大考
在疫情期間,醫療機構作為“抗疫”的前線,在網絡空間的戰場上同樣面臨著嚴峻的安全威脅與考驗。數據顯示,疫情期間的醫院攻擊事件,其中有多起事件是利用冠狀病毒熱點事件,通過釣魚軟件、惡意鏈接等方式誘導攻擊目標打開、下載并啟用攻擊文件。一旦電腦被感染,病毒會進行橫向移動,感染更多網絡中的機器。
據盛邦安全監測數據顯示,2020年初以來,部分疫情災區的webshell日攻擊流量達到104萬條,其中有效攻擊量近6000條,相比較2019年的平均日攻擊流量上升5個百分點,有效攻擊數量上升15個百分點;與此同時,多家醫療機構接連中招勒索病毒的消息不絕于耳。
為什么黑客“鐘愛”醫療醫療數據?
第一,醫療數據“太值錢”。隨著科技的進步,人工智能、大數據在醫療領域的應用范圍也越來越廣。醫療大數據的數據質量和安全問題,也對醫學的發展起著重要的作用。醫療行為本身就決定了醫療數據的真實性。醫療數據因為包含患者的姓名、年齡、居住地址、電話、病史、銀行賬戶等信息,蘊含著重要的財富價值,成為了不良黑客的香餑餑。
第二,醫療數據覆蓋面廣。上海申康醫院發展中心醫聯中心主任何萍曾接受采訪時說,從微觀上看,醫療信息包含了患者個體患病情況、生物組學等數據;從宏觀上看,則包含了疾病傳播、地區流行病發病發展、區域人口健康狀況等數據。所以,醫療數據能否安全使用,關乎社會穩定、國家安全。
第三,操作系統過時的醫療設備也是網絡攻擊者的重要途徑。很多醫療設備質量優質,運行時間長,有些能夠保證運行十年以上。但是,這也有可能使醫院“遺忘”了它們的存在。醫療設備操作系統過時,便會產生安全漏洞,網絡攻擊者便有了可乘之機。透過那些“漏洞”看向醫療設備內部,網絡攻擊者發現的不是零件、電路板,而是一座座裝滿了錢財的庫房。
除了上述的內部原因之外,一些恐怖組織、黑客組織、黑產等經濟犯罪團伙、極端個人,出于一些個人或利益原因也可能會實施網絡攻擊。
中國信息通信研究院安全研究發布的《2020數字醫療:疫情防控期間網絡安全風險研究報告》顯示,疫情期間,醫療服務認證暴力破解攻擊態勢持續嚴峻,黑客曾對醫療行業的暴力破解攻擊達到了單日 80 萬次的高峰。
此次疫情中,醫療領域面臨的網絡安全風險包括:
外聯第三方機構的安全威脅。為了便于訪問醫院網絡的其他分支,醫療設備接入的操作系統都保留了許多不同類型的敏感信息。鐘一鳴表示,外聯機構在單位的設置上都是可信的機構,例如上級主管單位、兄弟醫院、下級單位等。但從網絡攻擊的角度來說,這些外聯機構的網絡都不在醫院自身可以管理的安全范圍內,因此也屬于非可信網絡,醫院也應加強防護。
據騰訊智慧安全御見威脅情報中心分析發現,國內多家三家醫院接入的第三方醫療服務平臺存在嚴重邏輯漏洞。而這些平臺都匯集了全國多個省市的數百家大型三家醫院在內的醫療資源,一旦被不法黑客攻擊,平臺上所有醫院都將受到影響。
移動醫療產品也有隱患。根據前瞻研究產業院數據,預計2020年行業整體規模將有望突破500億元。用戶使用移動醫療APP的目的主要為搜索相關信息、咨詢問診、預約掛號、學習保健知識以及管理慢性疾病等。
移動醫療APP主要面臨的安全風險包括APP反編譯破解,如系統鍵盤和輸入法攻擊、本地數據破解、WIFI釣魚、網絡監聽、調試攻擊、內存攻擊等,這些會導致用戶個人隱私信息被竊取和泄露。而這些患者的基本信息、社保號、交易信息、電子病歷、診療數據等都成為犯罪分子非法獲利的重要途徑。此外,還面臨著APP監管難的問題。
近日,國家計算機病毒應急處理中心在“凈網2020”專項行動中對互聯網監測發現,共20余款移動應用存在涉嫌隱私不合規行為,其中包括未向用戶明示申請的全部隱私權限,未說明收集使用個人信息規則,以及為提供有效的更正、刪除個人信息及注銷用戶賬號功能。
新技術,新風險。云計算在醫療數據的儲存管理等領域的應用,讓醫療數據和信息系統逐步實現數字化和中心化轉型,但也加劇了信息安全問題導致平臺故障、業務中斷和數據丟失的風險;大數據技術的應用有助于對醫療數據更加高效合理的分析利用和前瞻預警,但數據的集中也易成為黑客的攻擊目標,隱私和數據泄露等問題正日漸凸顯;物聯網在醫療行業應用廣泛,而一旦IoT設備中的安全漏洞被利用,可能會導致信息被監聽或截獲,造成難以估量的嚴重后果。
網絡安全保護,國家一直在行動
信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作,國際應用廣泛。為了對不同領域的信息安全工作進行指導,我國相關部門和專家結合我國信息領域的實際情況,開始了研究。
我國信息安全等級保護具體實施過程(資料來源網絡,動脈網制圖)
1994年,國務院正式下發《中華人民共和國計算機信息系統安全保護條例》,提出信息安全等級保護的概念。隨后的十余年內,我國陸續出臺了一系列的政策法規。
信息安全等級保護的政策發展歷程(資料來源網絡,動脈網制圖)
2000年11月10日,國家發改委產業化項目《計算機信息系統安全保護等級評估認證體系及互聯網網絡電子身份認證管理與安全保護平臺建設》工程(“1110工程”)實施。該工程于2008年7月18日成功驗收,制定了20余項信息安全等級保護相關標準,為進一步完善我國信息安全標準體系奠定了基礎。
2004年至2006年,公安部聯合四部委開展涉及65117家單位,共115319個信息系統的等級保護基礎調查和等級保護試點工作,為全面開展等級保護工作奠定基礎。
2007年,四部門相繼出臺兩項政策后,于 7月20日,召開全國重要信息系統安全等級保護定級工作部署專題電視電話會議。這一會議也標志著信息安全等級保護制度正式開始實施。
在我國信息網絡安全發展史上,2016年是一個重要的時間節點。這一年,《中華人民共和國網絡安全法》出臺,讓等級保護已上升至法律層面,也標志著等級保護進入了2.0階段。
相比“等保1.0”,等保2.0不僅僅是一個標準版本更新的概念。
2019年5月,國家發布了《網絡安全等級保護制度2.0標準》,并于2019年12月1日實施。該標準針對云計算、物聯網、移動互聯網、工業控制、大數據新技術等新興技術對安全標準提出了新的要求,并將遵循的法律條文從原本1.0標準的國務院147號令提高到《網絡安全法》。
“進入等保2.0時代,監管機構對云、大、物、移提出了更高的安全合規要求。同樣,醫療行業的信息安全也增加了許多新的防護重點和方向。”盛邦安全常務副總裁韓衛東舉例說到,在等保2.0背景下,醫療行業的信息安全工作更加關注數據的完整性和私密性,具體可涉及個人信息保護、數據傳輸與儲存的安全、移動應用和物聯網設備的管控等領域的問題與挑戰。整體來說,等保2.0對醫療行業的信息網絡安全工作提出了更高、更細化的要求以及更廣泛的新技術應用空間。
除等級保護2.0對數據安全的要求外,2018年,國家衛健委《國家健康醫療大數據標準、安全和服務管理辦法(試行)》也規定了承載健康醫療大數據的平臺必須通過等級保護(未規定級別),一般引入大數據技術的醫院都是三級甲等醫院,基本以三級等保為主。因此醫療機構的數據安全越發重要。
這一《辦法》也被普遍認為是《網絡安全法》在醫療行業內的細化。
2019年5月,國家市場監督管理總局、國家標準化管理委員會正式發布了網絡安全等級保護系列國家標準。系列標準的發布對保障和促進醫療行業信息化發展,提升各醫療機構網絡安全保護能力具有重要的指導意義。
2020年1月1日,我國密碼領域的法律《密碼法》正式實施,患者、醫院、醫療企業等可以依法使用商業密碼保護網絡與信息安全。
2020年2月5日,國家衛健委下發《關于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》。其中特別指出“加強網絡信息安全工作,以防攻擊、防病毒、防篡改、防癱瘓、防泄密為重點,暢通信息收集發布渠道,保障數據規范使用,切實保護個人隱私安全,防范網絡安全突發事件,為疫情防控工作提供可靠支撐。”
“信息安全是醫療數字化平臺轉型成功的基礎。” 盛邦安全常務副總裁韓衛東認為,疫情這一突發事件,倒逼著行業加速完成醫療數字化的業務升級和實質性轉變,比如結合新技術應用的自上而下的整體疾控體系的重構、醫療數字化統一平臺建設的加速、互聯網技術加持的智慧醫療的建成以及整個社會公共衛生管理和應急管理系統的進一步完善等。
信息安全從業者與不法黑客的對決
國內外健康醫療行業網絡安全保護的缺失導致相關市場規模高速增長。據Global Market Insights的調查,2018年醫療保健網絡安全市場規模為82億美元,預計到2025年的復合年增長率為19.1%。
據相關機構數據統計,2019年中國醫療行業ICT市場規模超400億元,安全占比約10%;今年即使在發生疫情導致各方預算緊縮的情況下,盛邦安全常務副總裁韓衛東預計,2020年的醫療行業市場規模和安全建設投入仍將有一定程度的提升。
動脈網此前文章《2019醫療信息化中標數據分析,最高中標金額近1.2億元,三級醫院需求占六成》介紹,2019年公立醫療機構全年采購情況中,信息安全項目占信息化采購項目數量中的第二位,共計459個,占比11.4%,僅次于院端信息化。
2016年,衛健委發布的《2016三級綜合醫院評審標準考評辦法(完整版)》再次強調,三級醫院重要的業務系統必須達到等級保護測評三級測評才能滿足三級醫院評審標準中對網絡安全的要求,對三級醫院的信息安全提出了強制要求。
到了2018年,衛健委《國家健康醫療大數據標準、安全和服務管理辦法(試行)》規定了承載健康醫療大數據的平臺必須通過等級保護。由于一般引入大數據技術的醫院都是三級甲等醫院,因此其等級保護測評主要以三級測評為主。與此同時,《互聯網醫院管理辦法(試行)》也規定承載互聯網醫院的平臺必須通過等級保護測評三級測評。
《網絡安全法》也強制性規定未通過等保2.0測試將違反法律。正因為此,很多尚未通過測評的二級醫院紛紛在年內采購了信息安全項目以期滿足新版等保測評的要求。在政策的強力推動下,還未滿足新標準的醫療機構對信息安全項目的需求自然水漲船高。
動脈網分析,隨著2020年全國啟動二級醫院績效考核,以及新冠肺炎疫情中表現出對醫療資源的擠兌,二級醫院的信息化進程可能在2020年有一個加速。
2020年3月,企業級信息安全市場專業咨詢機構“安全牛”發布了“2020年中國網絡安全行業全景圖”。該全景圖共分為16類一級安全領域(實際收錄15類),100類二級細分領域(實際收錄88類)。動脈網整理如下:
解外患,除內憂
盛邦安全常務副總裁韓衛東表示,相對于其他行業來說,醫療行業對信息安全的關注度和重視程度仍然不夠,風險意識仍然薄弱,監管力度也仍然不足,行業整體缺乏完整的安全體系建設和包括應急響應在內的一套完整、成熟的流程制度,尤其是中基層醫療機構,由于無法做到專人專職,在體系化建設和專業技術能力支撐方面存在加大的缺口。
因此,加強人員網絡安全意識培訓,落實網絡安全管理制度是網絡安全保護建設中容易被忽視卻也是非常重要的一個環節。