医疗卫生行业的网络信息安全是网络安全工作重要部分。在本周的网络安全宣传周上,互联网医疗的信息安全倍受关注。
9月17日,上海市委网信办总工程师杨海军在一场“新疫情时代智慧医院网络安全建设”论坛上指出:“近年来,随着医疗行业数据的商业和战略价值不断提升,面临境内外网络安全的威胁也呈指数增长,网络安全的形势不容乐观。”
医疗机构对信息化依赖加强
杨海军表示,随着云计算、大数据、互联网和人工智能在医疗行业的广泛应用,各级的医疗卫生机构对信息化的依赖程度越来越高;医疗卫生行业掌握了大量的公民的个人数据以及国家安全相关的敏感信息,属于关键信息基础设施,一旦信息泄露,会造成极其严重的后果。
“数据泄露不仅给企业带来损失,也给用户带来影响。尤其是医疗数据信息,一旦泄露后果将很严重。”一位关注互联网医疗信息安全建设的网络安全专家告诉第一财经记者。
今年早些时候,中国信通院安全研究所联合中国卫生信息与健康医疗大数据学会卫生信息安全与新技术应用专业委员会和数据保护官社群,发布了《2020数字医疗:疫情期间网络安全风险研究报告》。
报告显示,疫情期间健康医疗行业主要面临以下两方面的网络攻击问题:一是疫情相关题材网络钓鱼成为主要攻击手段;二是医疗服务认证暴力破解攻击态势持续严峻。
报告援引相关调查称,高达90%的医疗机构受到过钓鱼电子邮件攻击,其中四分之一的医疗机构称,其遭受的攻击极具破坏性,甚至有医疗机构因为网络攻击而不得不关闭。比如某疾控中心网站被黑客组织渗透控制,后台数据被批量窃取,多家地市级医疗卫生机构信息系统MySQL数据库因存在弱口令被黑客利用攻击。除此之外,还可能存在黑客利用医院中连接互联网的成像设备运行过时的操作系统而进行数据窃取、渗透医院网络的现象。
国家卫生健康委办公厅曾于今年2月份发布通知,称必须加快基础网络升级改造,保障医疗信息系统平稳运行,加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件。
网络安全公司奇安信补天漏洞响应平台的数据显示,2019年全国医疗卫生机构共发现相关网站漏洞2237个,占全国各行业的3.3%,其中弱口令、配置错误等低级漏洞仍然普遍存在。因此,即便是通过了等级保护的要求,也难以完全避免网络安全事件的发生。
互联网医院无边界安全需要“零信任”
面对越来越严峻的网络安全态势,医疗机构如何保障自身安全?上海复旦大学附属华山医院信息中心主任黄虹表示,结合医院整体业务,互联网医疗的信息安全风险主要体现在病人复诊配药环节,包括线上的病人身份认证、医生的身份资质认定、下单处方防篡改、处方线上配送、窗口发药嘱咐线上传达等方面,风险点非常多。
黄虹对第一财经记者表示:“互联网医院是无边界的,网络的安全管控也因此进入一个‘无人之境’,互联网医院对安全的要求比传统医疗信息对安全的要求更高,而且也不是一家医院可以掌控的。”
针对上述挑战,黄虹认为在互联网医院不断发展的背景下,互联网医疗领域面临的挑战主要体现在移动网络信息安全、业务分享、自身技术应对三方面。“未来的工作将重点集中加强互联网医疗信息安全的法律监管;做好互联网应用,特别是患者和医生包括医嘱平台数据的安全管控;以及做好互联网医疗架构的成型。”黄虹说道。
为此,医院提出了“零信任”的概念。“也就是说我们要假定这些信息都是不安全的,从而在隐私保护方面提升安全要求,比如信息传输过程中的加密,算法的密码强度等都需要进一步提升。”黄虹说道。
黄虹还对第一财经记者表示,互联网医院从网络安全角度而言,需要应对三类安全问题,第一是来自外部入侵的成倍增长。第二是数据的窃取,第三是如何保证互联网业务24小时不中断。
此外,由于现在配套的法律法规还不是特别完善,业内开始提出是否可以参照临床的安全标准,来对互联网医疗信息安全的建设进行法律法规方面的完善。
奇安信一位医疗信息化专家对第一财经记者表示:“当前医疗网络安全的建设工作,应该从合规化向实战化方向进行加强。网络安全工作是实战性的工作,在医疗卫生机构网络安全建设的过程中,仍然是以设备购买和服务购买的方式为主。”
