5月14日,奇安信集團在京召開“百家醫(yī)院數據安全免費體檢計劃”發(fā)布會。在發(fā)布會上,奇安信對外披露了全球醫(yī)療衛(wèi)生行業(yè)面臨的網絡安全現狀,以及對國內25家醫(yī)療機構的數據安全體檢狀況,并宣布向全國醫(yī)療衛(wèi)生機構推出“百家醫(yī)院數據安全免費體檢計劃”,幫助他們看清自身數據安全風險,加速數據安全建設,為構筑醫(yī)療衛(wèi)生行業(yè)數字時代的新質生產力保駕護航。
武漢市中心醫(yī)院信息科安全負責人瞿朗、東軟集團網安終端事業(yè)部產品總監(jiān)張泉、奇安信集團董事長齊向東、奇安信集團高級副總裁吳登峰、奇安信集團副總裁劉洪亮,以及數十家全國醫(yī)療衛(wèi)生機構相關負責人出席了本次發(fā)布會。
全球:高價值醫(yī)療數據成為攻擊者主要目標
圖:奇安信集團董事長齊向東
“醫(yī)療衛(wèi)生行業(yè)正在經歷一場全球性的數據安全大危機。這場大危機不僅讓廣大醫(yī)療機構付出了慘痛代價,還時刻威脅病患的信息安全、財產安全甚至生命安全。”奇安信集團董事長齊向東表示,一方面醫(yī)療行業(yè)的大數據應用快速普及,重要數據引起了黑客覬覦,另一方面行業(yè)安全基礎薄弱,導致安全事件頻發(fā)。
國外一份研究報告指出,高價值醫(yī)療數據成為不法分子攻擊的主要目標之一,2024年第一季度針對醫(yī)療行業(yè)的勒索團伙的數量同比增加了55%,受害者數量同比增長了近20%。此外,贖金水平持續(xù)上升,反映了攻擊者對高價值目標的定向勒索技術手段在進步,同時也凸顯了受害者在自身數據保護意識和技術方法上仍有待提升。
僅今年以來,醫(yī)療衛(wèi)生行業(yè)就被報道了多起重大數據安全事件。2024年3月美國聯合健康集團支付勒索贖金2200萬美元,大量私人醫(yī)療健康數據被竊取;2024年4月愛沙尼亞連鎖藥房遭到系統破壞,泄露全國一半人口數據;2024年4月法國戛納醫(yī)院遭到攻擊,醫(yī)護被迫紙上辦公。據《互聯網安全內參》顯示,截止到今年4月底,針對全球醫(yī)療衛(wèi)生領域數據的重大襲擊事件數量,就已經超過2023年全年總和。
國內:數據安全事件占比近半,成醫(yī)衛(wèi)行業(yè)首要挑戰(zhàn)
圖:奇安信集團數據安全事業(yè)部副總經理姚磊
在發(fā)布會上,奇安信集團數據安全事業(yè)部副總經理姚磊披露了一組數據:整個2023年,奇安信95015平臺受理的醫(yī)療衛(wèi)生行業(yè)應急響應事件中,數據安全相關事件占了將近50%。同樣,奇安信威脅情報中心監(jiān)測顯示:2023年,國內醫(yī)療衛(wèi)生行業(yè)泄露數據多達90252.9萬條,約合344.7GB,內容涉及姓名、電話、身份證號、地址、賬號密碼、診療信息、繳費信息、內部文件等眾多敏感個人信息和商業(yè)機密。由此可見,數據安全問題是醫(yī)療衛(wèi)生行業(yè)數字化首要挑戰(zhàn)。
2023年,為響應廣東、江蘇、河南等地衛(wèi)健委相關要求,奇安信數據安全事業(yè)部為國內25家重點醫(yī)療衛(wèi)生行業(yè)機構進行了數據安全風險檢測試點工作,對國內醫(yī)療衛(wèi)生機構的安全風險狀況有了基礎掌控,并梳理出敏感數據違規(guī)傳輸、數據安全設計缺陷、互聯網數據接口暴露、數據跨境流動等幾類典型風險場景。
姚磊分享了惡意爬蟲竊取門診預約信息和某大醫(yī)院數據遭到未鑒權任意訪問兩個典型案例。2023年8月,某知名醫(yī)科大學附屬醫(yī)院發(fā)現境外某IP地址對醫(yī)院服務器進行了3000余次的非法訪問,成功獲取敏感數據2100余條,經奇安信分析,該IP的活動特征屬于典型的網絡爬蟲,危害極大但醫(yī)院缺乏防范。另一家某知名三甲醫(yī)院由于接口未進行鑒權設定,導致被某國內銀行IP連續(xù)10余天,通過2個API接口全天候訪問數據,返回數據結果約4萬條,包括個人信息、病例信息、醫(yī)生信息等,造成極大隱患。
圖:武漢市中心醫(yī)院信息科安全負責人瞿朗
“醫(yī)院數據具有單體價值特別高、變現價值特別高、獲得性簡單等三大特點,這也是數據安全事件頻發(fā)的重要原因?!弊鳛閰⑴c2023年數據安全體檢的25家機構之一,武漢市中心醫(yī)院信息科的安全負責人瞿朗表示,醫(yī)院開展數據安全檢查是確保數據安全、合規(guī)性,以及提升醫(yī)療服務質量和公眾信任的重要措施,通過這些措施,醫(yī)院不僅能夠保護患者信息,還能維護自身的聲譽和業(yè)務連續(xù)性。
瞿朗表示,通過數據安全檢查,武漢市中心醫(yī)院在數據接口的資產分析、脆弱性分析、漏洞利用攻擊分析、敏感數據傳輸分析等四個方面,發(fā)現了很多數據安全盲區(qū),幫助醫(yī)院摸清了數據接口家底,并看到了數據接口的攻擊風險和敏感數據傳輸風險。為此,醫(yī)院在2024年沿著摸清家底、看清風險、管控防護的路徑,構建了數據安全建設框架,圍繞管理體系建設、技術能力完善、合規(guī)和運營體系保障開展醫(yī)院數據安全規(guī)劃和建設任務,實現“看得見、管得住、防得了”的總體目標,筑牢醫(yī)院數據安全防線。
圖:東軟集團股份有限公司網安終端事業(yè)部產品總監(jiān)張泉
“缺乏基于醫(yī)療業(yè)務場景的數據安全構建能力,尤其是缺乏健康醫(yī)療數據全生命周期數據安全能力,是當前數據安全面臨的典型問題?!睎|軟集團股份有限公司網安終端事業(yè)部產品總監(jiān)張泉表示,通常業(yè)務側了解健康醫(yī)療數據全生命周期的數據流轉過程,卻不掌握數據資產的家底,無法全面認知數據安全威脅和風險;安全側了解數據安全措施,但不清楚有哪些數據庫、敏感數據存于何處、敏感數據的體量有多大、哪些人員在哪些場景下擁有這些敏感數據的訪問和使用權限,落實數據安全策略難度加大,這是當前醫(yī)衛(wèi)行業(yè)數據安全的普遍現狀。
張泉認為,主機時代注重主機安全,網絡時代注重信息安全,互聯網時代注重網絡安全,而在數字時代,則需要聚焦業(yè)務安全。因此,東軟積極推動基于業(yè)務風險驅動的安全體系化防護建設框架,形成合規(guī)驅動、安全事件驅動、業(yè)務驅動的全局解決方案,覆蓋等級保護、業(yè)務安全咨詢規(guī)劃服務、電子病歷評級安全合規(guī)、縣域醫(yī)共體業(yè)務安全、智慧醫(yī)院業(yè)務安全等各個場景,形成東軟醫(yī)療行業(yè)業(yè)務安全全景圖。
免費、覆蓋100家,推動醫(yī)院數據安全體檢刻不容緩
醫(yī)療衛(wèi)生數據安全關乎公民的個人信息保護和隱私安全,以及社會醫(yī)療體系的穩(wěn)定運轉,在醫(yī)療行業(yè)數據安全挑戰(zhàn)日益嚴峻的當下,對醫(yī)療衛(wèi)生機構進行一場數據安全大體檢、大摸底更顯得刻不容緩。在發(fā)布會上,奇安信集團正式宣布啟動“百家醫(yī)院數據安全免費體檢計劃?!?br />
圖:奇安信集團副總裁劉洪亮
據奇安信集團副總裁劉洪亮介紹,奇安信“百家醫(yī)院數據安全免費體檢計劃”將持續(xù)進行至2024年底,為全國至少100家大型醫(yī)療機構進行為期7天的數據接口暴露面檢查、數據接口安全風險檢查、敏感數據違規(guī)傳輸檢查,為其展開數據安全規(guī)劃建設工作提供科學的參考依據。體檢完成后,奇安信將向醫(yī)院提交一份詳細的體檢報告及初步整改建議,幫助他們看清自身數據安全風險,助力數據安全工作開展。
據悉,本次免費體檢計劃面向境內醫(yī)療衛(wèi)生機構,地域不限,三甲醫(yī)院優(yōu)先,相關機構撥打95015熱線即可報名。
數字化正成為驅動醫(yī)療衛(wèi)生產業(yè)構建新質生產力的核心引擎。國家衛(wèi)健委等三部門印發(fā)的《“十四五”全民健康信息化規(guī)劃》提到,要夯實網絡與數據安全保障體系,提升數據安全運營保障能力,堅持醫(yī)療數字化與安全并重。《醫(yī)療衛(wèi)生機構網絡安全管理辦法》規(guī)范了數據安全管理,強調各醫(yī)療衛(wèi)生機構每年對本單位數據進行數據安全風險評估,及時掌握數據安全狀態(tài)。
當前,隨著云計算、大數據、人工智能、物聯網、5G等底層技術的迅猛發(fā)展,醫(yī)療衛(wèi)生產業(yè)創(chuàng)新活力持續(xù)被激發(fā),廣泛滲透到各個領域,引領行業(yè)向數字化、智能化方向轉型。專家表示,醫(yī)療衛(wèi)生數據不僅是生產要素,更是國家基礎性戰(zhàn)略資源。因此,廣大醫(yī)療衛(wèi)生機構亟待夯實安全基座,在保障數據安全的基礎上,依托數據要素產生新的價值增量,打造數字經濟時代的新質生產力。
相關稿件