5月14日,奇安信集團(tuán)在京召開(kāi)“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計(jì)劃”發(fā)布會(huì)。在發(fā)布會(huì)上,奇安信對(duì)外披露了全球醫(yī)療衛(wèi)生行業(yè)面臨的網(wǎng)絡(luò)安全現(xiàn)狀,以及對(duì)國(guó)內(nèi)25家醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全體檢狀況,并宣布向全國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)推出“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計(jì)劃”,幫助他們看清自身數(shù)據(jù)安全風(fēng)險(xiǎn),加速數(shù)據(jù)安全建設(shè),為構(gòu)筑醫(yī)療衛(wèi)生行業(yè)數(shù)字時(shí)代的新質(zhì)生產(chǎn)力保駕護(hù)航。
武漢市中心醫(yī)院信息科安全負(fù)責(zé)人瞿朗、東軟集團(tuán)網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉、奇安信集團(tuán)董事長(zhǎng)齊向東、奇安信集團(tuán)高級(jí)副總裁吳登峰、奇安信集團(tuán)副總裁劉洪亮,以及數(shù)十家全國(guó)醫(yī)療衛(wèi)生機(jī)構(gòu)相關(guān)負(fù)責(zé)人出席了本次發(fā)布會(huì)。
全球:高價(jià)值醫(yī)療數(shù)據(jù)成為攻擊者主要目標(biāo)
圖:奇安信集團(tuán)董事長(zhǎng)齊向東
“醫(yī)療衛(wèi)生行業(yè)正在經(jīng)歷一場(chǎng)全球性的數(shù)據(jù)安全大危機(jī)。這場(chǎng)大危機(jī)不僅讓廣大醫(yī)療機(jī)構(gòu)付出了慘痛代價(jià),還時(shí)刻威脅病患的信息安全、財(cái)產(chǎn)安全甚至生命安全?!逼姘残偶瘓F(tuán)董事長(zhǎng)齊向東表示,一方面醫(yī)療行業(yè)的大數(shù)據(jù)應(yīng)用快速普及,重要數(shù)據(jù)引起了黑客覬覦,另一方面行業(yè)安全基礎(chǔ)薄弱,導(dǎo)致安全事件頻發(fā)。
國(guó)外一份研究報(bào)告指出,高價(jià)值醫(yī)療數(shù)據(jù)成為不法分子攻擊的主要目標(biāo)之一,2024年第一季度針對(duì)醫(yī)療行業(yè)的勒索團(tuán)伙的數(shù)量同比增加了55%,受害者數(shù)量同比增長(zhǎng)了近20%。此外,贖金水平持續(xù)上升,反映了攻擊者對(duì)高價(jià)值目標(biāo)的定向勒索技術(shù)手段在進(jìn)步,同時(shí)也凸顯了受害者在自身數(shù)據(jù)保護(hù)意識(shí)和技術(shù)方法上仍有待提升。
僅今年以來(lái),醫(yī)療衛(wèi)生行業(yè)就被報(bào)道了多起重大數(shù)據(jù)安全事件。2024年3月美國(guó)聯(lián)合健康集團(tuán)支付勒索贖金2200萬(wàn)美元,大量私人醫(yī)療健康數(shù)據(jù)被竊取;2024年4月愛(ài)沙尼亞連鎖藥房遭到系統(tǒng)破壞,泄露全國(guó)一半人口數(shù)據(jù);2024年4月法國(guó)戛納醫(yī)院遭到攻擊,醫(yī)護(hù)被迫紙上辦公。據(jù)《互聯(lián)網(wǎng)安全內(nèi)參》顯示,截止到今年4月底,針對(duì)全球醫(yī)療衛(wèi)生領(lǐng)域數(shù)據(jù)的重大襲擊事件數(shù)量,就已經(jīng)超過(guò)2023年全年總和。
國(guó)內(nèi):數(shù)據(jù)安全事件占比近半,成醫(yī)衛(wèi)行業(yè)首要挑戰(zhàn)
圖:奇安信集團(tuán)數(shù)據(jù)安全事業(yè)部副總經(jīng)理姚磊
在發(fā)布會(huì)上,奇安信集團(tuán)數(shù)據(jù)安全事業(yè)部副總經(jīng)理姚磊披露了一組數(shù)據(jù):整個(gè)2023年,奇安信95015平臺(tái)受理的醫(yī)療衛(wèi)生行業(yè)應(yīng)急響應(yīng)事件中,數(shù)據(jù)安全相關(guān)事件占了將近50%。同樣,奇安信威脅情報(bào)中心監(jiān)測(cè)顯示:2023年,國(guó)內(nèi)醫(yī)療衛(wèi)生行業(yè)泄露數(shù)據(jù)多達(dá)90252.9萬(wàn)條,約合344.7GB,內(nèi)容涉及姓名、電話、身份證號(hào)、地址、賬號(hào)密碼、診療信息、繳費(fèi)信息、內(nèi)部文件等眾多敏感個(gè)人信息和商業(yè)機(jī)密。由此可見(jiàn),數(shù)據(jù)安全問(wèn)題是醫(yī)療衛(wèi)生行業(yè)數(shù)字化首要挑戰(zhàn)。
2023年,為響應(yīng)廣東、江蘇、河南等地衛(wèi)健委相關(guān)要求,奇安信數(shù)據(jù)安全事業(yè)部為國(guó)內(nèi)25家重點(diǎn)醫(yī)療衛(wèi)生行業(yè)機(jī)構(gòu)進(jìn)行了數(shù)據(jù)安全風(fēng)險(xiǎn)檢測(cè)試點(diǎn)工作,對(duì)國(guó)內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)的安全風(fēng)險(xiǎn)狀況有了基礎(chǔ)掌控,并梳理出敏感數(shù)據(jù)違規(guī)傳輸、數(shù)據(jù)安全設(shè)計(jì)缺陷、互聯(lián)網(wǎng)數(shù)據(jù)接口暴露、數(shù)據(jù)跨境流動(dòng)等幾類典型風(fēng)險(xiǎn)場(chǎng)景。
姚磊分享了惡意爬蟲(chóng)竊取門診預(yù)約信息和某大醫(yī)院數(shù)據(jù)遭到未鑒權(quán)任意訪問(wèn)兩個(gè)典型案例。2023年8月,某知名醫(yī)科大學(xué)附屬醫(yī)院發(fā)現(xiàn)境外某IP地址對(duì)醫(yī)院服務(wù)器進(jìn)行了3000余次的非法訪問(wèn),成功獲取敏感數(shù)據(jù)2100余條,經(jīng)奇安信分析,該IP的活動(dòng)特征屬于典型的網(wǎng)絡(luò)爬蟲(chóng),危害極大但醫(yī)院缺乏防范。另一家某知名三甲醫(yī)院由于接口未進(jìn)行鑒權(quán)設(shè)定,導(dǎo)致被某國(guó)內(nèi)銀行IP連續(xù)10余天,通過(guò)2個(gè)API接口全天候訪問(wèn)數(shù)據(jù),返回?cái)?shù)據(jù)結(jié)果約4萬(wàn)條,包括個(gè)人信息、病例信息、醫(yī)生信息等,造成極大隱患。
圖:武漢市中心醫(yī)院信息科安全負(fù)責(zé)人瞿朗
“醫(yī)院數(shù)據(jù)具有單體價(jià)值特別高、變現(xiàn)價(jià)值特別高、獲得性簡(jiǎn)單等三大特點(diǎn),這也是數(shù)據(jù)安全事件頻發(fā)的重要原因?!弊鳛閰⑴c2023年數(shù)據(jù)安全體檢的25家機(jī)構(gòu)之一,武漢市中心醫(yī)院信息科的安全負(fù)責(zé)人瞿朗表示,醫(yī)院開(kāi)展數(shù)據(jù)安全檢查是確保數(shù)據(jù)安全、合規(guī)性,以及提升醫(yī)療服務(wù)質(zhì)量和公眾信任的重要措施,通過(guò)這些措施,醫(yī)院不僅能夠保護(hù)患者信息,還能維護(hù)自身的聲譽(yù)和業(yè)務(wù)連續(xù)性。
瞿朗表示,通過(guò)數(shù)據(jù)安全檢查,武漢市中心醫(yī)院在數(shù)據(jù)接口的資產(chǎn)分析、脆弱性分析、漏洞利用攻擊分析、敏感數(shù)據(jù)傳輸分析等四個(gè)方面,發(fā)現(xiàn)了很多數(shù)據(jù)安全盲區(qū),幫助醫(yī)院摸清了數(shù)據(jù)接口家底,并看到了數(shù)據(jù)接口的攻擊風(fēng)險(xiǎn)和敏感數(shù)據(jù)傳輸風(fēng)險(xiǎn)。為此,醫(yī)院在2024年沿著摸清家底、看清風(fēng)險(xiǎn)、管控防護(hù)的路徑,構(gòu)建了數(shù)據(jù)安全建設(shè)框架,圍繞管理體系建設(shè)、技術(shù)能力完善、合規(guī)和運(yùn)營(yíng)體系保障開(kāi)展醫(yī)院數(shù)據(jù)安全規(guī)劃和建設(shè)任務(wù),實(shí)現(xiàn)“看得見(jiàn)、管得住、防得了”的總體目標(biāo),筑牢醫(yī)院數(shù)據(jù)安全防線。
圖:東軟集團(tuán)股份有限公司網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉
“缺乏基于醫(yī)療業(yè)務(wù)場(chǎng)景的數(shù)據(jù)安全構(gòu)建能力,尤其是缺乏健康醫(yī)療數(shù)據(jù)全生命周期數(shù)據(jù)安全能力,是當(dāng)前數(shù)據(jù)安全面臨的典型問(wèn)題。”東軟集團(tuán)股份有限公司網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉表示,通常業(yè)務(wù)側(cè)了解健康醫(yī)療數(shù)據(jù)全生命周期的數(shù)據(jù)流轉(zhuǎn)過(guò)程,卻不掌握數(shù)據(jù)資產(chǎn)的家底,無(wú)法全面認(rèn)知數(shù)據(jù)安全威脅和風(fēng)險(xiǎn);安全側(cè)了解數(shù)據(jù)安全措施,但不清楚有哪些數(shù)據(jù)庫(kù)、敏感數(shù)據(jù)存于何處、敏感數(shù)據(jù)的體量有多大、哪些人員在哪些場(chǎng)景下?lián)碛羞@些敏感數(shù)據(jù)的訪問(wèn)和使用權(quán)限,落實(shí)數(shù)據(jù)安全策略難度加大,這是當(dāng)前醫(yī)衛(wèi)行業(yè)數(shù)據(jù)安全的普遍現(xiàn)狀。
張泉認(rèn)為,主機(jī)時(shí)代注重主機(jī)安全,網(wǎng)絡(luò)時(shí)代注重信息安全,互聯(lián)網(wǎng)時(shí)代注重網(wǎng)絡(luò)安全,而在數(shù)字時(shí)代,則需要聚焦業(yè)務(wù)安全。因此,東軟積極推動(dòng)基于業(yè)務(wù)風(fēng)險(xiǎn)驅(qū)動(dòng)的安全體系化防護(hù)建設(shè)框架,形成合規(guī)驅(qū)動(dòng)、安全事件驅(qū)動(dòng)、業(yè)務(wù)驅(qū)動(dòng)的全局解決方案,覆蓋等級(jí)保護(hù)、業(yè)務(wù)安全咨詢規(guī)劃服務(wù)、電子病歷評(píng)級(jí)安全合規(guī)、縣域醫(yī)共體業(yè)務(wù)安全、智慧醫(yī)院業(yè)務(wù)安全等各個(gè)場(chǎng)景,形成東軟醫(yī)療行業(yè)業(yè)務(wù)安全全景圖。
免費(fèi)、覆蓋100家,推動(dòng)醫(yī)院數(shù)據(jù)安全體檢刻不容緩
醫(yī)療衛(wèi)生數(shù)據(jù)安全關(guān)乎公民的個(gè)人信息保護(hù)和隱私安全,以及社會(huì)醫(yī)療體系的穩(wěn)定運(yùn)轉(zhuǎn),在醫(yī)療行業(yè)數(shù)據(jù)安全挑戰(zhàn)日益嚴(yán)峻的當(dāng)下,對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)進(jìn)行一場(chǎng)數(shù)據(jù)安全大體檢、大摸底更顯得刻不容緩。在發(fā)布會(huì)上,奇安信集團(tuán)正式宣布啟動(dòng)“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計(jì)劃。”
圖:奇安信集團(tuán)副總裁劉洪亮
據(jù)奇安信集團(tuán)副總裁劉洪亮介紹,奇安信“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計(jì)劃”將持續(xù)進(jìn)行至2024年底,為全國(guó)至少100家大型醫(yī)療機(jī)構(gòu)進(jìn)行為期7天的數(shù)據(jù)接口暴露面檢查、數(shù)據(jù)接口安全風(fēng)險(xiǎn)檢查、敏感數(shù)據(jù)違規(guī)傳輸檢查,為其展開(kāi)數(shù)據(jù)安全規(guī)劃建設(shè)工作提供科學(xué)的參考依據(jù)。體檢完成后,奇安信將向醫(yī)院提交一份詳細(xì)的體檢報(bào)告及初步整改建議,幫助他們看清自身數(shù)據(jù)安全風(fēng)險(xiǎn),助力數(shù)據(jù)安全工作開(kāi)展。
據(jù)悉,本次免費(fèi)體檢計(jì)劃面向境內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu),地域不限,三甲醫(yī)院優(yōu)先,相關(guān)機(jī)構(gòu)撥打95015熱線即可報(bào)名。
數(shù)字化正成為驅(qū)動(dòng)醫(yī)療衛(wèi)生產(chǎn)業(yè)構(gòu)建新質(zhì)生產(chǎn)力的核心引擎。國(guó)家衛(wèi)健委等三部門印發(fā)的《“十四五”全民健康信息化規(guī)劃》提到,要夯實(shí)網(wǎng)絡(luò)與數(shù)據(jù)安全保障體系,提升數(shù)據(jù)安全運(yùn)營(yíng)保障能力,堅(jiān)持醫(yī)療數(shù)字化與安全并重?!夺t(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》規(guī)范了數(shù)據(jù)安全管理,強(qiáng)調(diào)各醫(yī)療衛(wèi)生機(jī)構(gòu)每年對(duì)本單位數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,及時(shí)掌握數(shù)據(jù)安全狀態(tài)。
當(dāng)前,隨著云計(jì)算、大數(shù)據(jù)、人工智能、物聯(lián)網(wǎng)、5G等底層技術(shù)的迅猛發(fā)展,醫(yī)療衛(wèi)生產(chǎn)業(yè)創(chuàng)新活力持續(xù)被激發(fā),廣泛滲透到各個(gè)領(lǐng)域,引領(lǐng)行業(yè)向數(shù)字化、智能化方向轉(zhuǎn)型。專家表示,醫(yī)療衛(wèi)生數(shù)據(jù)不僅是生產(chǎn)要素,更是國(guó)家基礎(chǔ)性戰(zhàn)略資源。因此,廣大醫(yī)療衛(wèi)生機(jī)構(gòu)亟待夯實(shí)安全基座,在保障數(shù)據(jù)安全的基礎(chǔ)上,依托數(shù)據(jù)要素產(chǎn)生新的價(jià)值增量,打造數(shù)字經(jīng)濟(jì)時(shí)代的新質(zhì)生產(chǎn)力。
相關(guān)稿件