2020年第一季度���,醫(yī)療信息安全行業(yè)延續(xù)了2019年的火熱態(tài)勢���。在資本端,信息安全領(lǐng)域企業(yè)融資勢頭不減����,其中兩家企業(yè)完成B+輪融資,融資金額均過億元��;在政策端��,監(jiān)管方也頻頻發(fā)力。
2020年第一季度��,醫(yī)療信息安全行業(yè)延續(xù)了2019年的火熱態(tài)勢�。
在資本端,信息安全領(lǐng)域企業(yè)融資勢頭不減�,其中兩家企業(yè)完成B+輪融資,融資金額均過億元���;在政策端,監(jiān)管方也頻頻發(fā)力��,如1月1日正式實施的《密碼法》����、2月5日國家衛(wèi)健委辦公廳下發(fā)《關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》等法律法規(guī),為信息網(wǎng)絡(luò)安全“保駕護航”��;在市場端�,也不乏后來者。
醫(yī)療信息安全火爆的原因是什么���?發(fā)展中存在哪些問題�?未來的可能趨勢是很什么����?帶著這些問題��,動脈網(wǎng)對我國醫(yī)療信息安全的發(fā)展現(xiàn)狀��、相應(yīng)對策��、市場容量和參與者進行了梳理����。
醫(yī)療行業(yè)的 “老大難問題”
新冠肺炎疫情期間�,一些黑客組織也以“新冠肺炎”話題為誘餌,對醫(yī)療機構(gòu)�、醫(yī)護人員的電腦發(fā)起網(wǎng)絡(luò)攻擊,從而達到勒索��、竊取信息等目的�。數(shù)據(jù)泄露問題是信息化時代常見的安全問題,大部分行業(yè)都屢見不鮮��,但數(shù)據(jù)竊取事件也屢禁不止����。
2019年5月初,美國最大的臨床前CRO公司查爾斯河(Charles River Laboratories)稱���,其約1%的客戶數(shù)據(jù)被盜了�����。無獨有偶�,這個月的最后一天,全球臨床診斷巨頭Quest宣布��,截止當日���,該公司旗下有近1200萬患者的財務(wù)�、醫(yī)療和個人信息數(shù)據(jù)等因黑客攻擊而泄露��。
2019年7月31日����,中國信通院安全研究所與騰訊智慧安全聯(lián)合發(fā)布了《2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報告》���?�!秷蟾妗贩Q���,健康醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全風險類型主要集中表現(xiàn)在三大方面:
其一,以勒索病毒為代表的僵木蠕等惡意程序風險。在15339家健康醫(yī)療相關(guān)單位的觀測樣本中�,發(fā)現(xiàn)存在“僵木蠕”等惡意程序的單位共計1029家,其中受勒索病毒影響的單位共計136家�����。這些惡意程序可導(dǎo)致大范圍的網(wǎng)絡(luò)欺詐����、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。
1989年出現(xiàn)的“艾滋病信息木馬”��,被普遍認為是最早期的勒索軟件����。該木馬隱藏磁盤的多個目錄,對C盤的全部文件名加密�,以至于系統(tǒng)無法啟動。屏幕顯示文字稱���,用戶的軟件許可已過期���,需郵寄189美元才能解鎖系統(tǒng)。
我國首款勒索軟件是于2006年出現(xiàn)的Redplus勒索木馬����。該木馬隱藏用戶文檔��,然后彈出窗口勒索贖金��,金額從70元至200元不等�。
勒索病毒是一種流行的木馬���,通過騷擾����、恐嚇甚至采用綁架用戶文件等方式����,使用戶數(shù)據(jù)資產(chǎn)或計算資源無法正常使用,并以此為條件向用戶勒索錢財��。主要傳播形式包括利用軟件漏洞���、RDP弱口令暴力破解、釣魚郵件�����、網(wǎng)頁掛馬等。
這種病毒利用各種加密算法對文件進行加密后���,向文件所有者索要贖金�。如果感染者拒付贖金�,就無法獲得加密的私鑰,無法恢復(fù)文件��。
現(xiàn)今����,勒索軟件仍然是一項流行性安全威脅。為了攻擊大型企業(yè)和組織��,勒索軟件不斷研究新型變體�����,企業(yè)機密文件和數(shù)據(jù)的安全風險與日俱增�。
其二,安全隱患帶來的大數(shù)據(jù)泄露風險����。觀測樣本中,有6446家單位的應(yīng)用服務(wù)(如數(shù)據(jù)庫服務(wù)����、FTP服務(wù)�����、打印機服務(wù)等)端口暴露在公共互聯(lián)網(wǎng)����,其中375家單位的應(yīng)用服務(wù)使用了極簡易密碼��,攻擊者可通過公共互聯(lián)網(wǎng)輕易獲取這些服務(wù)的控制權(quán)���,這可能引發(fā)批量應(yīng)用服務(wù)被惡意控制����、大量健康醫(yī)療數(shù)據(jù)泄露的安全事件���。
其三���,網(wǎng)站篡改風險���。對樣本觀測后發(fā)現(xiàn)�,有4546家單位網(wǎng)站存在安全隱患,其中261家單位網(wǎng)站已有被惡意篡改的記錄�。醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機構(gòu)網(wǎng)站等都是境外機構(gòu)的重點攻擊對象�,且網(wǎng)站篡改手法多變。
醫(yī)療系統(tǒng)攻擊也是較為常見的醫(yī)療信息安全事故類型��?��!斗ㄖ迫請蟆吩鴪蟮?���,2017年��,我國某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵�����,超過7億條公民信息遭泄露���,超8000萬條公民信息被販賣�。幾乎是同一時間��,太平洋彼岸也發(fā)生了一起大規(guī)模的涉及公眾隱私信息的泄露事件���。
美國醫(yī)療設(shè)備公司Patient Home Monitoring的醫(yī)療數(shù)據(jù)存儲紀錄遭破解泄露����,導(dǎo)致47.5GB的數(shù)據(jù)泄露,包含多達31.5萬份PDF檔案��,涉及近15萬患者的個人基礎(chǔ)信息���、醫(yī)生和病例記錄以及血液檢查結(jié)果等隱私信息���。
2018年7月26日,美國國家反情報與安全中心發(fā)布報告稱��,黑客對“生物材料���、生物制藥以及新**和藥物”特別“感興趣”��,對獲取先進醫(yī)療設(shè)備���、傳染病治療和轉(zhuǎn)基因生物的信息非常“有意向”。同時�����,生物技術(shù)也被列為黑客攻擊的重大目標之一���。
深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴從數(shù)據(jù)的全生命周期角度分析了數(shù)據(jù)存在哪些安全隱患:
雖然我國醫(yī)療數(shù)據(jù)信息泄露事件在公眾視野下暴露的較少��,但平靜的海面下暗潮在涌動���。
疫情是醫(yī)療網(wǎng)絡(luò)系統(tǒng)的一次大考
在疫情期間,醫(yī)療機構(gòu)作為“抗疫”的最前線��,在網(wǎng)絡(luò)空間的戰(zhàn)場上同樣面臨著嚴峻的安全威脅與考驗�。數(shù)據(jù)顯示,疫情期間的醫(yī)院攻擊事件��,其中有多起事件是利用冠狀病毒熱點事件����,通過釣魚軟件、惡意鏈接等方式誘導(dǎo)攻擊目標打開����、下載并啟用攻擊文件。一旦電腦被感染���,病毒會進行橫向移動��,感染更多網(wǎng)絡(luò)中的機器��。
據(jù)盛邦安全監(jiān)測數(shù)據(jù)顯示��,2020年初以來���,部分疫情災(zāi)區(qū)的webshell日攻擊流量達到104萬條���,其中有效攻擊量近6000條,相比較2019年的平均日攻擊流量上升5個百分點�,有效攻擊數(shù)量上升15個百分點;與此同時�,多家醫(yī)療機構(gòu)接連中招勒索病毒的消息不絕于耳。
為什么黑客“鐘愛”醫(yī)療數(shù)據(jù)���?
第一���,醫(yī)療數(shù)據(jù)“太值錢”。隨著科技的進步���,人工智能�、大數(shù)據(jù)在醫(yī)療領(lǐng)域的應(yīng)用范圍也越來越廣。醫(yī)療大數(shù)據(jù)的數(shù)據(jù)質(zhì)量和安全問題��,也對醫(yī)學(xué)的發(fā)展起著重要的作用���。醫(yī)療行為本身就決定了醫(yī)療數(shù)據(jù)的真實性���。醫(yī)療數(shù)據(jù)因為包含患者的姓名���、年齡�、居住地址����、電話、病史���、銀行賬戶等信息���,蘊含著重要的財富價值,成為了不良黑客的香餑餑�����。
第二,醫(yī)療數(shù)據(jù)覆蓋面廣�����。上海申康醫(yī)院發(fā)展中心醫(yī)聯(lián)中心主任何萍曾接受采訪時說����,從微觀上看,醫(yī)療信息包含了患者個體患病情況���、生物組學(xué)等數(shù)據(jù)���;從宏觀上看,則包含了疾病傳播���、地區(qū)流行病發(fā)病發(fā)展�、區(qū)域人口健康狀況等數(shù)據(jù)�。所以,醫(yī)療數(shù)據(jù)能否安全使用����,關(guān)乎社會穩(wěn)定、國家安全����。
第三��,操作系統(tǒng)過時的醫(yī)療設(shè)備也是網(wǎng)絡(luò)攻擊者的重要途徑�。很多醫(yī)療設(shè)備質(zhì)量優(yōu)質(zhì)����,運行時間長,有些能夠保證運行十年以上��。但是��,這也有可能使醫(yī)院“遺忘”了它們的存在�。醫(yī)療設(shè)備操作系統(tǒng)過時�,便會產(chǎn)生安全漏洞,網(wǎng)絡(luò)攻擊者便有了可乘之機���。透過那些“漏洞”看向醫(yī)療設(shè)備內(nèi)部����,網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)的不是零件�����、電路板,而是一座座裝滿了錢財?shù)膸旆俊?/p>
除了上述的內(nèi)部原因之外����,一些恐怖組織、黑客組織�、黑產(chǎn)等經(jīng)濟犯罪團伙、極端個人����,出于一些個人或利益原因也可能會實施網(wǎng)絡(luò)攻擊。
中國信息通信研究院安全研究發(fā)布的《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風險研究報告》顯示���,疫情期間�,醫(yī)療服務(wù)認證暴力破解攻擊態(tài)勢持續(xù)嚴峻�,黑客曾對醫(yī)療行業(yè)的暴力破解攻擊達到了單日 80 萬次的高峰。
此次疫情中�����,醫(yī)療領(lǐng)域面臨的網(wǎng)絡(luò)安全風險包括:
外聯(lián)第三方機構(gòu)的安全威脅��。為了便于訪問醫(yī)院網(wǎng)絡(luò)的其他分支����,醫(yī)療設(shè)備接入的操作系統(tǒng)都保留了許多不同類型的敏感信息����。鐘一鳴表示����,外聯(lián)機構(gòu)在單位的設(shè)置上都是可信的機構(gòu),例如上級主管單位���、兄弟醫(yī)院����、下級單位等���。但從網(wǎng)絡(luò)攻擊的角度來說,這些外聯(lián)機構(gòu)的網(wǎng)絡(luò)都不在醫(yī)院自身可以管理的安全范圍內(nèi)�,因此也屬于非可信網(wǎng)絡(luò),醫(yī)院也應(yīng)加強防護��。
據(jù)騰訊智慧安全御見威脅情報中心分析發(fā)現(xiàn)�,國內(nèi)多家三家醫(yī)院接入的第三方醫(yī)療服務(wù)平臺存在嚴重邏輯漏洞。而這些平臺都匯集了全國多個省市的數(shù)百家大型三家醫(yī)院在內(nèi)的醫(yī)療資源���,一旦被不法黑客攻擊����,平臺上所有醫(yī)院都將受到影響。
移動醫(yī)療產(chǎn)品也有隱患�。根據(jù)前瞻研究產(chǎn)業(yè)院數(shù)據(jù),預(yù)計2020年行業(yè)整體規(guī)模將有望突破500億元�。用戶使用移動醫(yī)療APP的目的主要為搜索相關(guān)信息、咨詢問診����、預(yù)約掛號、學(xué)習(xí)保健知識以及管理慢性疾病等����。
移動醫(yī)療APP主要面臨的安全風險包括APP反編譯破解,如系統(tǒng)鍵盤和輸入法攻擊����、本地數(shù)據(jù)破解、WIFI釣魚����、網(wǎng)絡(luò)監(jiān)聽、調(diào)試攻擊�、內(nèi)存攻擊等,這些會導(dǎo)致用戶個人隱私信息被竊取和泄露�����。而這些患者的基本信息、社保號�、交易信息、電子病歷����、診療數(shù)據(jù)等都成為犯罪分子非法獲利的重要途徑。此外��,還面臨著APP監(jiān)管難的問題�。
近日,國家計算機病毒應(yīng)急處理中心在“凈網(wǎng)2020”專項行動中對互聯(lián)網(wǎng)監(jiān)測發(fā)現(xiàn)����,共20余款移動應(yīng)用存在涉嫌隱私不合規(guī)行為,其中包括未向用戶明示申請的全部隱私權(quán)限���,未說明收集使用個人信息規(guī)則,以及為提供有效的更正��、刪除個人信息及注銷用戶賬號功能�。
新技術(shù),新風險���。云計算在醫(yī)療數(shù)據(jù)的儲存管理等領(lǐng)域的應(yīng)用���,讓醫(yī)療數(shù)據(jù)和信息系統(tǒng)逐步實現(xiàn)數(shù)字化和中心化轉(zhuǎn)型����,但也加劇了信息安全問題導(dǎo)致平臺故障�����、業(yè)務(wù)中斷和數(shù)據(jù)丟失的風險���;大數(shù)據(jù)技術(shù)的應(yīng)用有助于對醫(yī)療數(shù)據(jù)更加高效合理的分析利用和前瞻預(yù)警��,但數(shù)據(jù)的集中也極易成為黑客的攻擊目標��,隱私和數(shù)據(jù)泄露等問題正日漸凸顯����;物聯(lián)網(wǎng)在醫(yī)療行業(yè)應(yīng)用廣泛��,而一旦IoT設(shè)備中的安全漏洞被利用�����,可能會導(dǎo)致信息被監(jiān)聽或截獲,造成難以估量的嚴重后果�。
美創(chuàng)科技解決方案總監(jiān)蔡毅介紹,疫情期間��,全國使用“健康碼”通行����,里面包含了大量的個人敏感信息,而且這些信息的單體價值非常高����。這類數(shù)據(jù)會保存在何處?“是由技術(shù)公司還是國家數(shù)據(jù)管理中心統(tǒng)一保管��?”這一過程中是否會出現(xiàn)數(shù)據(jù)的泄露���、濫用等違規(guī)行為���,監(jiān)管部門也需要重點關(guān)注。
以江蘇省為例����,在全省范圍內(nèi)互認的“蘇康碼”上線之前,江蘇省13市采用各自的健康碼��,并只在所屬市內(nèi)通用�。蘇州市采用“蘇城碼”,南京市為“寧歸來”�,南通市為“易來通”,宿遷市采用“宿康碼”等�����。“蘇康碼”上線前��,市民每到一市需要新申請一張“健康碼”���,不僅徒增市民麻煩�,而且數(shù)據(jù)散落在各市�����,使用價值低的同時����,還不易保存,且存在被泄露的危險����。
網(wǎng)絡(luò)安全保護���,國家一直在行動
信息安全等級保護是對信息及信息載體按照重要性等級分別進行保護的一種工作,國際應(yīng)用廣泛���。為了對不同領(lǐng)域的信息安全工作進行指導(dǎo)���,我國相關(guān)部門和專家結(jié)合我國信息領(lǐng)域的實際情況,開始了研究�。
我國信息安全等級保護具體實施過程(資料來源網(wǎng)絡(luò),動脈網(wǎng)制圖)
1994年���,國務(wù)院正式下發(fā)《中華人民共和國計算機信息系統(tǒng)安全保護條例》���,首次提出信息安全等級保護的概念。隨后的十余年內(nèi)�����,我國陸續(xù)出臺了一系列的政策法規(guī)�����。
信息安全等級保護的政策發(fā)展歷程(資料來源網(wǎng)絡(luò),動脈網(wǎng)制圖)
2000年11月10日���,國家發(fā)改委產(chǎn)業(yè)化項目《計算機信息系統(tǒng)安全保護等級評估認證體系及互聯(lián)網(wǎng)網(wǎng)絡(luò)電子身份認證管理與安全保護平臺建設(shè)》工程(“1110工程”)實施。該工程于2008年7月18日成功驗收�,制定了20余項信息安全等級保護相關(guān)標準,為進一步完善我國信息安全標準體系奠定了基礎(chǔ)�。
2004年至2006年,公安部聯(lián)合四部委開展涉及65117家單位����,共115319個信息系統(tǒng)的等級保護基礎(chǔ)調(diào)查和等級保護試點工作,為全面開展等級保護工作奠定基礎(chǔ)�。
2007年,四部門相繼出臺兩項政策后����,于 7月20日,召開全國重要信息系統(tǒng)安全等級保護定級工作部署專題電視電話會議�。這一會議也標志著信息安全等級保護制度正式開始實施。
在我國信息網(wǎng)絡(luò)安全發(fā)展史上�,2016年是一個極為重要的時間節(jié)點。這一年����,《網(wǎng)絡(luò)安全法》出臺�,讓等級保護已上升至法律層面�����,也標志著等級保護進入了2.0階段����。
相比“等保1.0”����,等保2.0不僅僅是一個標準版本更新的概念。
亞信安全認為��,在等保1.0時代���,數(shù)據(jù)就是等級保護安全建設(shè)的核心內(nèi)容,其主要劃歸在“技術(shù)要求-數(shù)據(jù)安全及備份恢復(fù)”條款、“技術(shù)要求-應(yīng)用安全”和“技術(shù)要求-主機安全”的要求中。
2019年5月��,國家發(fā)布了《網(wǎng)絡(luò)安全等級保護制度2.0標準》,并于2019年12月1日實施����。該標準針對云計算����、物聯(lián)網(wǎng)����、移動互聯(lián)網(wǎng)�、工業(yè)控制、大數(shù)據(jù)新技術(shù)等新興技術(shù)對安全標準提出了新的要求���,并將遵循的法律條文從原本1.0標準的國務(wù)院147號令提高到《網(wǎng)絡(luò)安全法》��。
在等保2.0時代����,國家加強了對個人信息的保護,提出了未授權(quán)概念�,不允許在未授權(quán)的賬戶運營的情況下去訪問和使用個人的用戶數(shù)據(jù)。“等保2.0對個人信息的保護更加明確。”亞信安全認為,這是等保2.0給醫(yī)療數(shù)據(jù)安全帶來的另一變革���。
“進入等保2.0時代,監(jiān)管機構(gòu)對云、大、物、移提出了更高的安全合規(guī)要求。同樣,醫(yī)療行業(yè)的信息安全也增加了許多新的防護重點和方向。”盛邦安全常務(wù)副總裁韓衛(wèi)東舉例說到�����,在等保2.0背景下,醫(yī)療行業(yè)的信息安全工作更加關(guān)注數(shù)據(jù)的完整性和私密性���,具體可涉及個人信息保護、數(shù)據(jù)傳輸與儲存的安全、移動應(yīng)用和物聯(lián)網(wǎng)設(shè)備的管控等領(lǐng)域的問題與挑戰(zhàn)����。整體來說,等保2.0對醫(yī)療行業(yè)的信息網(wǎng)絡(luò)安全工作提出了更高、更細化的要求以及更廣泛的新技術(shù)應(yīng)用空間���。
除等級保護2.0對數(shù)據(jù)安全的要求外,2018年�����,國家衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標準�、安全和服務(wù)管理辦法(試行)》也規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺必須通過等級保護(未規(guī)定級別),一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級甲等醫(yī)院�����,基本以三級等保為主�。因此醫(yī)療機構(gòu)的數(shù)據(jù)安全越發(fā)重要�����。
這一《辦法》也被普遍認為是《網(wǎng)絡(luò)安全法》在醫(yī)療行業(yè)內(nèi)的細化����。
2019年5月��,國家市場監(jiān)督管理總局���、國家標準化管理委員會正式發(fā)布了網(wǎng)絡(luò)安全等級保護系列國家標準����。系列標準的發(fā)布對保障和促進醫(yī)療行業(yè)信息化發(fā)展�����,提升各醫(yī)療機構(gòu)網(wǎng)絡(luò)安全保護能力具有重要的指導(dǎo)意義�。
2020年1月1日,我國密碼領(lǐng)域的首部法律《密碼法》正式實施��,患者�����、醫(yī)院�、醫(yī)療企業(yè)等可以依法使用商業(yè)密碼保護網(wǎng)絡(luò)與信息安全。
2020年2月5日��,國家衛(wèi)健委下發(fā)《關(guān)于加強信息化支撐新型冠狀病毒感染的肺炎疫情防控工作的通知》����。其中特別指出“加強網(wǎng)絡(luò)信息安全工作,以防攻擊��、防病毒�、防篡改、防癱瘓�、防泄密為重點,暢通信息收集發(fā)布渠道�����,保障數(shù)據(jù)規(guī)范使用����,切實保護個人隱私安全,防范網(wǎng)絡(luò)安全突發(fā)事件����,為疫情防控工作提供可靠支撐���。”
“信息安全是醫(yī)療數(shù)字化平臺轉(zhuǎn)型成功的基礎(chǔ)。” 盛邦安全常務(wù)副總裁韓衛(wèi)東認為����,疫情這一突發(fā)事件,倒逼著行業(yè)加速完成醫(yī)療數(shù)字化的業(yè)務(wù)升級和實質(zhì)性轉(zhuǎn)變�,比如結(jié)合新技術(shù)應(yīng)用的自上而下的整體疾控體系的重構(gòu)、醫(yī)療數(shù)字化統(tǒng)一平臺建設(shè)的加速�、互聯(lián)網(wǎng)技術(shù)加持的智慧醫(yī)療的建成以及整個社會公共衛(wèi)生管理和應(yīng)急管理系統(tǒng)的進一步完善等。
信息安全從業(yè)者與不法黑客的對決
國內(nèi)外健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全保護的缺失導(dǎo)致相關(guān)市場規(guī)模高速增長���。據(jù)Global Market Insights的調(diào)查���,2018年醫(yī)療保健網(wǎng)絡(luò)安全市場規(guī)模為82億美元,預(yù)計到2025年的復(fù)合年增長率為19.1%���。
據(jù)相關(guān)機構(gòu)數(shù)據(jù)統(tǒng)計��,2019年中國醫(yī)療行業(yè)ICT市場規(guī)模超400億元��,安全占比約10%���;今年即使在發(fā)生疫情導(dǎo)致各方預(yù)算緊縮的情況下,盛邦安全常務(wù)副總裁韓衛(wèi)東預(yù)計����,2020年的醫(yī)療行業(yè)市場規(guī)模和安全建設(shè)投入仍將有一定程度的提升。
動脈網(wǎng)此前文章《2019醫(yī)療信息化中標數(shù)據(jù)分析����,最高中標金額近1.2億元,三級醫(yī)院需求占六成》介紹����,2019年公立醫(yī)療機構(gòu)全年采購情況中,信息安全項目占信息化采購項目數(shù)量中的第二位�,共計459個,占比11.4%���,僅次于院端信息化�。
2016年����,衛(wèi)健委發(fā)布的《2016三級綜合醫(yī)院評審標準考評辦法(完整版)》再次強調(diào),三級醫(yī)院重要的業(yè)務(wù)系統(tǒng)必須達到等級保護測評三級測評才能滿足三級醫(yī)院評審標準中對網(wǎng)絡(luò)安全的要求��,首次對三級醫(yī)院的信息安全提出了強制要求���。
到了2018年���,衛(wèi)健委《國家健康醫(yī)療大數(shù)據(jù)標準��、安全和服務(wù)管理辦法(試行)》規(guī)定了承載健康醫(yī)療大數(shù)據(jù)的平臺必須通過等級保護���。由于一般引入大數(shù)據(jù)技術(shù)的醫(yī)院都是三級甲等醫(yī)院,因此其等級保護測評主要以三級測評為主��。與此同時�,《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》也規(guī)定承載互聯(lián)網(wǎng)醫(yī)院的平臺必須通過等級保護測評三級測評。
《網(wǎng)絡(luò)安全法》也強制性規(guī)定未通過等保2.0測試將違反法律�。正因為此,很多尚未通過測評的二級醫(yī)院紛紛在年內(nèi)采購了信息安全項目以期滿足新版等保測評的要求���。在政策的強力推動下�,還未滿足新標準的醫(yī)療機構(gòu)對信息安全項目的需求自然水漲船高��。
動脈網(wǎng)分析��,隨著2020年全國啟動二級醫(yī)院績效考核�,以及新冠肺炎疫情中表現(xiàn)出對醫(yī)療資源的擠兌,二級醫(yī)院的信息化進程可能在2020年有一個加速。
抗疫還未結(jié)束����,全國經(jīng)營生產(chǎn)活動效率的下降是必然趨勢,項目招投標及后續(xù)交付都會受到影響�。深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴認為��,從短期經(jīng)營業(yè)績的方面來看�,網(wǎng)絡(luò)安全行業(yè)必然會產(chǎn)生較大影響。但數(shù)字化時代��,智慧城市建設(shè)是大勢所趨�,智慧城市的建設(shè)會加大對IT基礎(chǔ)設(shè)施的需求。因此��,也會帶動整體網(wǎng)絡(luò)安全需求的提升�。從中遠期來說,整個行業(yè)還是會處于上升階段���。
美創(chuàng)科技解決方案總監(jiān)蔡毅表示��,醫(yī)院信息網(wǎng)絡(luò)安全市場規(guī)模只會越來越大��。受到疫情影響��,個人隱私信息和數(shù)據(jù)的保護意識會逐漸增強�。疫情也加速了醫(yī)療行業(yè)的數(shù)字化轉(zhuǎn)型,如互聯(lián)網(wǎng)醫(yī)院建設(shè)�、醫(yī)共體建設(shè)、醫(yī)院的數(shù)字化轉(zhuǎn)型會加快�。加速了數(shù)據(jù)的互聯(lián)互通和數(shù)據(jù)共享,也就是說數(shù)據(jù)流動的場景會急劇增加�。隨著醫(yī)療行業(yè)數(shù)字化轉(zhuǎn)型提速,醫(yī)院信息化投入也會加大��,信息安全建設(shè)比重也會水漲船高��。此外��,新技術(shù)的應(yīng)用�,也會帶來新的安全市場。
2020年3月��,企業(yè)級信息安全市場專業(yè)咨詢機構(gòu)“安全牛”發(fā)布了“2020年中國網(wǎng)絡(luò)安全行業(yè)全景圖”�。該全景圖共分為16類一級安全領(lǐng)域(實際收錄15類),100類二級細分領(lǐng)域(實際收錄88類)�。動脈網(wǎng)整理如下:
上述表格中的每個細分領(lǐng)域都不乏掘金者,技術(shù)從業(yè)者們從自身優(yōu)勢出發(fā)�,與信息安全較勁,在數(shù)個甚至數(shù)十個安全細分領(lǐng)域中填補安全漏洞�?�;诖?�,動脈網(wǎng)整理了46家業(yè)務(wù)涉及到醫(yī)療行業(yè)網(wǎng)絡(luò)安全解決方案的信息安全企業(yè):
從表格可以看到��,在被稱為“資本寒冬”的2019年里��,信息安全領(lǐng)域融資事件頻繁發(fā)生�。
安芯網(wǎng)盾��、梆梆安全�、聯(lián)創(chuàng)科技相繼完成融資��,迪普科技��、安恒信息也分別在創(chuàng)業(yè)板�、科創(chuàng)板上市。觀安在第一季度完成超1億元B+輪融資�,為這一領(lǐng)域開了個好頭,奇安信在9月完成了15億元的Pre-IPO融資��。
2020年第一季度已過��,信息安全領(lǐng)域企業(yè)表現(xiàn)亮眼�。一方面,融資勢頭不減,天空衛(wèi)士�、指掌易皆拿到億元級B+輪融資,通付盾也緊隨其后�,完成股權(quán)融資;另一方面��,針對疫情期間�,不法分子“鉆”網(wǎng)絡(luò)安全的漏洞,信息安全企業(yè)也是啟動緊急馳援行動��,積極提供設(shè)備��、人員和技術(shù)的支持��。
美創(chuàng)科技基于其數(shù)據(jù)安全和數(shù)據(jù)治理的能力�,宣布自2月4日起,直到國家宣布疫情結(jié)束�,期間免費為各行業(yè)企業(yè)提供從防勒索、數(shù)據(jù)庫審計��、運維一體機�、數(shù)據(jù)脫敏等產(chǎn)品服務(wù),以及數(shù)據(jù)庫運維和服務(wù)器安全遠程服務(wù)��。
疫情期間�,亞信安全迅速啟動緊急馳援武漢行動��,第一時間在武漢成立專家支持小組��,展開對武漢火神山醫(yī)院的網(wǎng)絡(luò)安全保障工作�。另外�,亞信安全負責國家“互聯(lián)網(wǎng)+監(jiān)管”平臺和國家政務(wù)服務(wù)平臺統(tǒng)一身份認證兩個項目團隊,在客戶現(xiàn)場進行技術(shù)支持和運營維護�,其中國家“互聯(lián)網(wǎng)+監(jiān)管”平臺承載著疫情分析的使命,在短短5天時間內(nèi)緊急上線了疫情分析系統(tǒng)��。
在此次新冠疫情期間,武漢市政府推出“武漢市長專線”�,向公眾提供了在線問診、智能疫情助理等抗疫專屬服務(wù),日均專線服務(wù)次數(shù)從5000次激增至10000次以上�。“武漢市長專線”部署于電信天翼云上��,作為電信天翼云的重要合作伙伴��,深信服攜手天翼云為“武漢市長專線”業(yè)務(wù)提供了可靠��、穩(wěn)定的vSSL VPN服務(wù)��,全力馳援抗擊疫情第一線��。
為了應(yīng)對未知漏洞攻擊�,奇安信于2020年1月發(fā)布了業(yè)界首款第三代安全引擎“天狗”�。3月��,盛邦安全推出了WebRAY烽火臺監(jiān)測預(yù)警平臺免費服務(wù)��、網(wǎng)絡(luò)空間測繪平臺資源��,以及針對醫(yī)療行業(yè)的勒索病毒安全解決方案(哨兵解決方案)��,助力醫(yī)療行業(yè)用戶打贏“無接觸”網(wǎng)絡(luò)戰(zhàn)“疫”�。
事實上,疫情期間��,伴生的網(wǎng)絡(luò)威脅對各行各業(yè)都是一次嚴峻考驗�,信息安全領(lǐng)域中的每一家企業(yè)都沒有置身事外,而是利用自身所長�,在疫情的灰霾之下,與黑暗搏斗��。
解外患��,除內(nèi)憂
美創(chuàng)科技解決方案總監(jiān)蔡毅認為��,隨著新基建的關(guān)注度日益提高��,以及數(shù)據(jù)成為繼土地�、勞動力��、資本��、技術(shù)后第五大市場生產(chǎn)要素�,數(shù)據(jù)的獨特地位和價值驅(qū)動著行業(yè)重新審視數(shù)據(jù)的安全問題��。“所以�,首當其沖的是安全架構(gòu),當傳統(tǒng)的網(wǎng)絡(luò)邊界模糊消失的時候�,我們需要基于新視角對安全架構(gòu)做演進。”
美創(chuàng)科技首先定義了一個明確的保護目標即數(shù)據(jù)�,從資產(chǎn)、入侵�、風險三個視角看數(shù)據(jù)安全并做好數(shù)據(jù)安全防護。從而解決黑客攻擊�、勒索軟件、社會工程等外患�,防范由于軟件開發(fā)人員�、高權(quán)限人員等內(nèi)部因素導(dǎo)致內(nèi)部數(shù)據(jù)安全等內(nèi)憂。
醫(yī)院內(nèi)部威脅主要原因可能包括�,利益驅(qū)使內(nèi)部員工竊取敏感數(shù)據(jù);BYOD設(shè)備遺失導(dǎo)致敏感信息泄露��?;诙嗄赆t(yī)療行業(yè)服務(wù)經(jīng)驗�,亞信安全建議醫(yī)院應(yīng)該從上而下進行數(shù)據(jù)管控��,從數(shù)據(jù)收集到二次使用�,建立嚴格可控的安全體系。
這一結(jié)論得到了數(shù)據(jù)的支撐��。2018年��,威瑞森發(fā)布的《受保護健康信息泄露報告》表明�,受訪醫(yī)療提供商遭遇的數(shù)據(jù)泄露中,有57.5%都是內(nèi)部人導(dǎo)致的��,只有42%是外部攻擊者所為��。外部攻擊可用技術(shù)預(yù)防�,但內(nèi)部人員問題的確是防不勝防。
盛邦安全常務(wù)副總裁韓衛(wèi)東表示��,相對于其他行業(yè)來說�,醫(yī)療行業(yè)對信息安全的關(guān)注度和重視程度仍然不夠,風險意識仍然薄弱��,監(jiān)管力度也仍然不足��,行業(yè)整體缺乏完整的安全體系建設(shè)和包括應(yīng)急響應(yīng)在內(nèi)的一套完整�、成熟的流程制度��,尤其是中基層醫(yī)療機構(gòu)�,由于無法做到專人專職�,在體系化建設(shè)和專業(yè)技術(shù)能力支撐方面存在加大的缺口。
城墻最容易攻破的地方不是外部而是內(nèi)部�。網(wǎng)絡(luò)安全也是如此,深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴將內(nèi)部人員的網(wǎng)絡(luò)安全意識比喻為組織網(wǎng)絡(luò)安全這個“木桶”中最重要的那塊木板�。“它的長短決定了組織的網(wǎng)絡(luò)安全到底能夠達到什么樣的水平。”
因此�,加強人員網(wǎng)絡(luò)安全意識培訓(xùn),落實網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全保護建設(shè)中容易被忽視卻也是非常重要的一個環(huán)節(jié)��。
感謝以下嘉賓接受采訪并提供相關(guān)信息(排名不分先后):亞信安全的小伙伴�、深信服醫(yī)療事業(yè)部副總經(jīng)理鐘一鳴、美創(chuàng)科技解決方案總監(jiān)蔡毅�、盛邦安全常務(wù)副總裁韓衛(wèi)東。
本文參考資料:
2019健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全觀測報告
中國信通院:《2020數(shù)字醫(yī)療:疫情防控期間網(wǎng)絡(luò)安全風險研究報告》
經(jīng)濟參考報:醫(yī)療行業(yè)信息安全敲警鐘��,黑客攻擊或致大量公民個人信息泄露
騰訊智慧安全:《醫(yī)療互聯(lián)網(wǎng)服務(wù)敏感數(shù)據(jù)泄露風險調(diào)查報告》
虎嗅APP:醫(yī)療數(shù)據(jù)更值錢��?醫(yī)療數(shù)字化面臨數(shù)據(jù)泄露的隱患
安全牛:中國網(wǎng)絡(luò)安全行業(yè)全景圖(2020年3月第七版)發(fā)布
