随着医院信息化建设高速发展,医院积累了大量的患者基本信息、化验结果、电子处方、生产数据和运营信息等数据,这些数据涉及公民隐私、医患关系、医院运作和发展等多因素。在暗网市场里,医疗数据的价值是个人财务数据的20-50倍!在重大利益的驱动下,医院无疑成为了黑产动作的重要目标,医院该如何应对刻不容缓的网络安全?
2019年5月13日,我国网络安全等级保护制度2.0标准发布,12月1日已开始正式实施。据了解,网络安全等级保护制度2.0国家标准在1.0的基础上,实现对新技术、新应用安全保护对象和安全保护领域的全覆盖,这为医院未来一段时间内的网络安全工作指明了方向。
健康医疗行业网络安全观测
中国信息通信研究院发布的《2019健康医疗行业网络安全观测报告》显示,健康医疗行业面临的网络安全风险等级呈现地域差异,主要威胁则集中表现在三大方面。
1、风险级别分布
结果显示,“低风险”的省份有:山东省和四川省;
“一般风险”的省份有:浙江省、江苏省、河南省、广东省、安徽省、河北省等;
“较大风险”的省份有:北京市、上海市、重庆市、天津市、福建省、山西省、甘肃省、贵州省、黑龙江省、湖北省、湖南省、江西省、吉林省、辽宁省、陕西省、云南省、广西壮族自治区、新疆维吾尔自治区等;
“重大风险”的省份有:青海省、海南省、内蒙古自治区、西藏自治区、宁夏回族自治区。
2、风险集中表现
本次观测发现,健康医疗行业面临的网络安全风险主要集中表现在两大方面:以勒索病毒为代表的僵木蠕等恶意程序风险。观测发现,存在僵木蠕等恶意程序的单位共计1029 家,其中受勒索病毒影响的单位共计136 家。可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。
安全隐患带来的大数据泄露风险。观测发现,有6446 个单位的应用服务(如数据库服务、FTP 服务、打印机服务等)端口暴露在公共互联网,其中375 家单位的应用服务使用了极简易的密码。
中国医院协会信息专业委员会(CHIMA)在去年发布了《2017-2018年度中国医院信息化状况调查报告》,其中对医院实施等级保护情况做了专门章节介绍。据了解,在484家样本医院中,36.16%的医院通过了等保测评。其中,三级医院实施等保工作情况明显好于三级以下医院,经济发达地区实施等保工作的比例高于中等发达地区和经济欠发达地区。
我国医院现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。
医院网络安全建设落后主要有两方面原因:一方面,医院信息化建设本身投入就相对不足,资金更多投入在应用和硬件上,安全方面投入很少;另一方面,医院信息部门缺乏安全建设经验,安全专业能力不足。
医院网络安全建设痛点要从两个方面看:一是外部。医疗行业越来越开放,医疗业务拥抱互联网,虽然方便了老百姓就医,但也引入了大量的互联网安全风险。二是内部。医院网络规模虽不大,但相对比较复杂。各个业务系统之间的关联非常紧密,数据共享很频繁,非常容易造成安全风险在内部蔓延。
等保2.0将云计算、移动互联、物联网、工业控制系统等新技术、新应用的场景列入标准范围。但是由于医疗行业的行业特征和特殊性,因此,该如何开展等级保护测评工作,还需要医院结合自身实际,进行更为细致科学的调整。
1、抓住核心问题
等保测评一方面要抓住重点、节约资金。在进行等保测评时,要根据医院实际业务应用情况,核心业务系统(HIS、LIS、PACS、EMR)要按照等保要求严格执行,非核心投入少一些。
2、云平台基础架构要符合要求
对于具备互联网+医院、互联网平台的医院,选择云平台的基础架构要符合等级保护2.0标准的要求。
3、每个环节都要考虑
加强医院网络和信息安全建设方面,建议要把能造成医院业务系统停运的每个环节都要考虑到位。比如,数据库等核心应用更要加强安全建设。
医院在开展网络安全建设时可以遵循两个原则:一是医院的信息系统不会因为硬件故障而停运(可用性);二是一定要对核心数据进行安全有效的备份(数据备份)。
2020年,建议医院网络等保工作这样做
第一,院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。
第二,在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。
第三,加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。
第四,加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。从而降低安全风险,提高信息系统健壮性。
第五,选择专业安全服务运营商,弥补医院专业安全技术人员不足。最大程度减少因网络安全事件所带来的医院运营中断以及管理成本增加的风险。
閱讀更多 e安教育 的文章
