隨著醫院信息化建設高速發展,醫院積累了大量的患者基本信息、化驗結果、電子處方、生產數據和運營信息等數據,這些數據涉及公民隱私、醫患關係、醫院運作和發展等多因素。在暗網市場裡,醫療數據的價值是個人財務數據的20-50倍!在重大利益的驅動下,醫院無疑成為了黑產動作的重要目標,醫院該如何應對刻不容緩的網絡安全?
2019年5月13日,我國網絡安全等級保護制度2.0標準發佈,12月1日已開始正式實施。據瞭解,網絡安全等級保護制度2.0國家標準在1.0的基礎上,實現對新技術、新應用安全保護對象和安全保護領域的全覆蓋,這為醫院未來一段時間內的網絡安全工作指明瞭方向。
健康醫療行業網絡安全觀測
中國信息通信研究院發佈的《2019健康醫療行業網絡安全觀測報告》顯示,健康醫療行業面臨的網絡安全風險等級呈現地域差異,主要威脅則集中表現在三大方面。
1、風險級別分佈
結果顯示,“低風險”的省份有:山東省和四川省;
“一般風險”的省份有:浙江省、江蘇省、河南省、廣東省、安徽省、河北省等;
“較大風險”的省份有:北京市、上海市、重慶市、天津市、福建省、山西省、甘肅省、貴州省、黑龍江省、湖北省、湖南省、江西省、吉林省、遼寧省、陝西省、雲南省、廣西壯族自治區、新疆維吾爾自治區等;
“重大風險”的省份有:青海省、海南省、內蒙古自治區、西藏自治區、寧夏回族自治區。
2、風險集中表現
本次觀測發現,健康醫療行業面臨的網絡安全風險主要集中表現在兩大方面:以勒索病毒為代表的僵木蠕等惡意程序風險。觀測發現,存在僵木蠕等惡意程序的單位共計1029 家,其中受勒索病毒影響的單位共計136 家。可導致大範圍的網絡欺詐、信息洩露和醫療信息系統癱瘓等破壞性後果。
安全隱患帶來的大數據洩露風險。觀測發現,有6446 個單位的應用服務(如數據庫服務、FTP 服務、打印機服務等)端口暴露在公共互聯網,其中375 家單位的應用服務使用了極簡易的密碼。
中國醫院協會信息專業委員會(CHIMA)在去年發佈了《2017-2018年度中國醫院信息化狀況調查報告》,其中對醫院實施等級保護情況做了專門章節介紹。據瞭解,在484家樣本醫院中,36.16%的醫院通過了等保測評。其中,三級醫院實施等保工作情況明顯好於三級以下醫院,經濟發達地區實施等保工作的比例高於中等發達地區和經濟欠發達地區。
我國醫院現有的安全保障體系尚處於初步建設階段,尚不足以應對當前網絡安全威脅,行業整體網絡安全保障水平亟需提升。
醫院網絡安全建設落後主要有兩方面原因:一方面,醫院信息化建設本身投入就相對不足,資金更多投入在應用和硬件上,安全方面投入很少;另一方面,醫院信息部門缺乏安全建設經驗,安全專業能力不足。
醫院網絡安全建設痛點要從兩個方面看:一是外部。醫療行業越來越開放,醫療業務擁抱互聯網,雖然方便了老百姓就醫,但也引入了大量的互聯網安全風險。二是內部。醫院網絡規模雖不大,但相對比較複雜。各個業務系統之間的關聯非常緊密,數據共享很頻繁,非常容易造成安全風險在內部蔓延。
等保2.0將雲計算、移動互聯、物聯網、工業控制系統等新技術、新應用的場景列入標準範圍。但是由於醫療行業的行業特徵和特殊性,因此,該如何開展等級保護測評工作,還需要醫院結合自身實際,進行更為細緻科學的調整。
1、抓住核心問題
等保測評一方面要抓住重點、節約資金。在進行等保測評時,要根據醫院實際業務應用情況,核心業務系統(HIS、LIS、PACS、EMR)要按照等保要求嚴格執行,非核心投入少一些。
2、雲平臺基礎架構要符合要求
對於具備互聯網+醫院、互聯網平臺的醫院,選擇雲平臺的基礎架構要符合等級保護2.0標準的要求。
3、每個環節都要考慮
加強醫院網絡和信息安全建設方面,建議要把能造成醫院業務系統停運的每個環節都要考慮到位。比如,數據庫等核心應用更要加強安全建設。
醫院在開展網絡安全建設時可以遵循兩個原則:一是醫院的信息系統不會因為硬件故障而停運(可用性);二是一定要對核心數據進行安全有效的備份(數據備份)。
2020年,建議醫院網絡等保工作這樣做
第一,院內如HIS、EMR等還未開展定級備案工作的傳統核心業務系統,也需要加快等保建設步伐。
第二,在等保建設中嘗試採用新技術新手段加強醫院的安全技術防護和態勢感知建設,以防範特種木馬或新型網絡攻擊。
第三,加強日常安全運維,引入可視化、統一運維等創新技術,讓安全管理和運維更簡單並且更加有效。
第四,加強主動防禦能力,並通過全方位、多視角的風險分析,完善醫院網絡安全建設短板。從而降低安全風險,提高信息系統健壯性。
第五,選擇專業安全服務運營商,彌補醫院專業安全技術人員不足。最大程度減少因網絡安全事件所帶來的醫院運營中斷以及管理成本增加的風險。
閱讀更多 e安教育 的文章
