【直播】“互联网+医疗”时代,医疗行业网络安全建设该何去何从?

01

医疗行业网络安全形势仍然严峻

2020年,新冠疫情改变了我们的生活,全国乃至全球的医疗机构都在与其奋力抗衡。作为“抗疫”一线的医疗行业,同时也在面临着严峻的网络安全挑战。疫情期间,一些黑客组织也以“新冠肺炎”话题为诱饵,对医疗机构、医护人员的电脑发起网络攻击,从而达到勒索、窃取信息等目的。这样的网络攻击,早已屡见不鲜。

以疫情话题为诱饵的电脑病毒(图源网络)

在2019年,中国信通院联合腾讯等机构对 15339 家医疗行业单位进行观测,结果显示行业总体处于“较大风险”级别,存在僵尸、木马、蠕虫等多种网络安全风险及大量可被利用的安全隐患。从中国软件测评中心发布的《医疗行业网络安全白皮书(2020年)》(关注知道创宇服务号,回复“医疗”可下载完整版PDF)中也可以看出现目前医疗行业网络安全的几大点问题:

1.等级保护工作落实情况不佳

国医院协会信息管理专业委员会(下简称为:CHIMA)发布的《2018-2019 年度中国医院信息化调查报告》中,参与调查的839家医院中仅有43.95%通过了等级保护测评 ,明显低于金融、电信、能源等领域。

2.医疗行业网络安全风险较高

据调查,医疗行业的网络安全隐患普遍存在,同时医疗行业是勒索病毒的高发行业,两者结合起来让医疗行业网络安全风险大大增加。2019 年初,某省几十家互联互通医院同时感染GlobeImposter3.0变种勒索病毒而被加密, GlobeImposter勒索病毒十分偏爱医疗行业,在众多感染GlobeImposter勒索病毒的行业中,医疗行业占比约50%

GlobeImposter勒索病毒(图源网络)

3.医疗行业安全防护水平相对落后

缺乏必备网络安全防护设备和数据保护措施也是现目前医疗行业的普遍问题。根据CHIMA《2018-2019 年度中国医院信息化状况调查报告》 显示,现阶段绝大多数医院仅采用防火墙保障网络安全,医院对网闸、防入侵、防毒墙等设备的采用率均小于 50%。大部分医院都缺乏必要的网络防护设备。

中国评测网安中心分析了35家开展网络安全等级保护测评的医疗信息系统案例后发现,部署网络准入系统的有0家,而在数据保护方面38%的系统没有数据库审计,只有2%的单位具有灾备服务器,大部分医疗信息系统没有完善的数据保护机制

4.医疗信息泄露事件高发

2019年,德国一家漏洞分析和管理公司发现,含有大量医疗放射图像的服务器暴露在公共互联网中,其中涉及中国14个服务器系统,包含近28万条医疗数据,详细记录了患者个人信息及医疗情况,攻击者利用这些数据在暗网中交易获取巨额利润。恶意攻击事件频繁发生,数据泄露成为家常便饭,医疗行业网络安全形势日益严峻。

02

国家高度重视医疗行业网络安全

在医疗行业网络安全形势严峻的大前提下,国家持续积极推动其安全发展。医疗行业网络安全作为我国网络安全的重要组成部分,一直以来受到国家的高度重视。近几年来,国家陆续出台一系列政策法规,逐步完善医疗行业网络安全体系。

滑动阅读详情

⬇️

2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》,对二级及以上医院的数 据中心安全、终端安全、网络安全及容灾备份提出要求。

2018年9月,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。

2018年9月,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、 信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。

2018年12月,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术, 确保居民健康信息的安全。

2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。

2020年2月,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。

以上内容参考自中国软件测评中心发布的

《医疗行业网络安全白皮书(2020年)》

关注知道创宇服务号,回复“医疗”可下载完整版PDF

从近年来的政策法规可以看出,国家对医疗行业网络安全高度重视。并且无论是基层的医院、医疗机构的信息化建设,还是到发展迅速的“互联网+医疗”、“医疗大数据”的行业建设,国家出台的政策法规无不强调落实做好网络安全工作。

作为民生之本,国家带头强调医疗行业安全重要性,地方政府也分别积极响应。特别是在2020年新冠疫情出现后,许多部门、地方和企业积极运用人工智能、远程医疗、大数据、云计算等技术助力抗击疫情。互联网平台提供了线上问诊模式,部分解决了疫情期间不敢去医院就医的问题。大数据技术帮助政府搜集、发布疫情信息,实现紧缺医疗物资的信息协同与高效配送。医疗信息化在疫情防控中起到了关键支撑作用。

然而网络安全是这些信息化技术充分发挥潜能的前提。

03

医疗行业安全建设何去何从?

为了让医疗行业安全建设更清晰,1月13日(下周三),知道创宇·创宇论安全系列直播邀请了两位在医疗行业有着丰富安全建设经验的嘉宾为大家解读相关内容。

从合规到安全建设,再到攻防实战场景和云安全保障,两位嘉宾都将一一为大家解答~

???? 赶快扫码报名参加直播!????

关于演讲嘉宾

丁杨
上海纽盾科技股份有限公司 CIO

国家CISAW安全运维、国家DJCP等级保护建设工程师、国家信息安全注册工程师,10年网安经验。作为讲师参与过同仁堂集团、中铁十五局等十几家单位的网络安全培训。编写过中铁十五局、上海城投、北京投资发展集团、首都开发控股集团、上海机场集团等几十家网络安全等级保护体系建设方案。

程磊
知道创宇云安全事业群  区域负责人

CCIE互联网专家,智慧城市高级架构师。12+年网安经验,专注云安全和网络安全态势感知领域。曾为多个地市主导设计并部署城市级安全大脑,为客户提供完整的可视化安全运营解决方案,提升客户网络安全监测、预警及防御能力。致力于让最终用户用最小的成本享受到真正的VIP安全服务,从而提升整体防御能力。

关注知道创宇服务号,回复“医疗”可下载

《医疗行业网络安全白皮书(2020年)》完整版PDF

  • 0
    点赞
  • 0
    评论
  • 2
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值