多家医院因网络安全漏洞被罚,这两项要重点关注!

2021
08/13

+
分享
评论
玉玲 / 健康界
A-
A+

中国信通院《2019年健康医疗行业网络安全观测报告》对15339家医疗行业单位进行远程监测,评估发现, 健康医疗行业总体处于“较大风险”的安全风险级别。

根据国家互联网应急中心《2019年我国互联网网络安全态势综述》,相较于其他行业,医疗健康行业存在网络安全风险的联网系统数量最多,占比高达71%。

在2021年CHIMA大会上,北京市医院管理中心杨建朝对医疗机构网络安全面临风险及对策进行了分析,健康界据此做了摘编。

总体处于“较大风险”

中国信通院《2019年健康医疗行业网络安全观测报告》对15339家医疗行业单位进行远程监测,评估发现, 健康医疗行业总体处于“较大风险”的安全风险级别。

网络安全风险的集中表现:一是僵木蠕等问题严峻,勒索病毒威胁严重;二是数据泄露事件高发, 应用服务存在隐患;三是网站篡改手法多变,隐式植入非法信息。

中国信通院《2019年健康医疗行业网络安全观测报告》

在安全隐患带来的大数据泄漏风险中,有6446家单位的应用服务(如数据库服务、FTP服务、打印机服务等)端口暴露在公共互联网,其中375家单位的应用服务使用了极简易的密码,攻击者可通过公共互联网轻易获取这些服务的控制权,可能引发批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。

在网站篡改风险中,有4546家单位网站存在安全隐患,其中261家单位的网站已发现被恶意篡改的情况。如果在国家重大活动保障的政治任务期间,医院官方网站遭遇了恶意篡改、发布“黄、赌、毒”等非法信息,将造成严重的社会影响。

分析其主要原因:一是端口存在高危漏洞,易被僵木蠕等恶意程序利用;二是大量敏感服务暴露,弱口令成主要安全隐患;三是应用组件版本较低,网站篡改概率较高。

另外,云计算、大数据、物联网、工业互联网、人工智能等新技术新应用大规模发展下,网络安全风险融合叠加并快速演变。

随着“互联网+医疗”深入推进,在疫情期间各地都开发了健康宝、行程卡,还有互联网医院、互联网诊断平台、远程会诊平台等。这些应用越深入,互联网暴露端口、暴露面越来越大,与此相关的数据泄露、网络钓鱼勒索、病毒网络诈骗等风险日益增高。

互联网诊疗网络安全风险提升

根据北京市医管中心对100多个暴露在互联网的系统进行分析,结果发现如下图:

其中,官方网站是不法分子的重点关注对象。随着互联网诊疗业务的推广,互联网诊疗系统的安全问题进一步暴露,安全性亟待提升。“大家回去之后一定要重点关注这两项,风险度很高。”

同时,随着科研管理、OA等传统业务系统互联网化加深,安全问题应引起充分重视。

按漏洞类型分布来看,中间件配置、明文传输、弱口令漏洞占比分别为20%、18%、14%。

从漏洞危害来看,管理缺失导致的弱口令漏洞危害最大, 造成了系统大量患者敏感信息、科研信息泄漏,甚至可被攻击者获取管理员权限,非法篡改系统数据,导致系统无法使用。

在漏洞产生的原因上,管理不到位占54%,技术能力欠缺占46%。从产生阶段看,规划设计阶段占44%,系统开发阶段占36%,后续运维阶段占20%。

高风险问题的判定与对策

在高风险的判定中,首先,网络区域划分,应该按照不同网络的功能、重要程度进行网络区域划分,如存在重要区域与非重要网络在同一子网或网段的,可判定为高风险。

第二,关键线路、设备冗余。对可用性要求较高的系统,若网络链路为单链路,核心网络节点、核心网络设备或关键计算设备无冗余设计,一旦出现故障,可能导致业务中断,可判定为高风险。

第三,互联网边界访问控制。互联网出口无任何访问控制措施,或访问控制措施配置失效,存在较大安全隐患,可判定为高风险。与互联网互练的系统,边界处如无专用的访问控制设备或配置了全通策略,可判定为高风险。

第四,外部网络攻击防御,关键网络阶段(如互联网边界处)未采取任何防护措施,无法检测、阻止或限制互联网发起的攻击行为,可判定为高风险。

第五,网络层恶意代码,网络层无任何恶意代码检测和清楚措施的,可判定为高风险。

出现安全漏洞,医院该如何接招?

因此,一定要提高网络安全意识,守法、懂法、用法。《网络安全法》76条明确规定,网络安全是指通过必要采取措施防范破坏活动,使网络处于稳定可靠的的运行状态,以及保障数据的完整性、保密性、可用性。

根据《网络安全法》要求,所有用信息系统的单位每年都要做网络安全自查,监管部门的检查一般采取远程监测、现场检查、攻防演练等方式。一旦发现有中高危风险,会通过一定渠道发整改通知书,如果不整改,或出现网络安全事件,将依法进行处罚。

对应网络安全,医疗机构该做哪些工作呢?

第一,要提升网络安全保障技术,形成安全防护能力。在信息化建设过程中坚持网络安全“三同步”原则,同时加大网络安全经费投入,强化技术防护能力,落实网络安全评估机制。

第二,建设网络安全人才队伍,提升安全人员能力。加大网络安全人才培养力度,建立持续性人才梯队,携手专业安全机构开展网络安全培训,优化人才培养机制。

第三,提高网络安全防范意识,划定安全防护责任。明确网络安全主题责任,提高网络安全防范意识,签订网络安全责任书,加强网络安全形势意识培训和技能培训。

第四,健全网络安全制度体系,加强网络安全管理。完善机构网络安全制度体系,落实网络安全等级保护工作。

本文为健康界原创,任何机构或个人未经授权均不得转载和使用,违者将追究法律责任!
关键词:
网络安全,数据安全,医疗机构

人点赞

收藏

人收藏

打赏

打赏

我有话说

0条评论

0/500

评论字数超出限制

表情
评论

为你推荐

相关文章

推荐课程


社群

精彩视频

您的申请提交成功

确定 取消
剩余5
×

打赏作者

认可我就打赏我~

1元 5元 10元 20元 50元 其它

打赏

打赏作者

认可我就打赏我~

×
打赏

扫描二维码

立即打赏给Ta吧!

温馨提示:仅支持微信支付!