5月14日,奇安信集團(tuán)在京召開“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計劃”發(fā)布會�����。在發(fā)布會上,奇安信對外披露了全球醫(yī)療衛(wèi)生行業(yè)面臨的網(wǎng)絡(luò)安全現(xiàn)狀,以及對國內(nèi)25家醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全體檢狀況,并宣布向全國醫(yī)療衛(wèi)生機(jī)構(gòu)推出“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計劃”,幫助他們看清自身數(shù)據(jù)安全風(fēng)險,加速數(shù)據(jù)安全建設(shè),為構(gòu)筑醫(yī)療衛(wèi)生行業(yè)數(shù)字時代的新質(zhì)生產(chǎn)力保駕護(hù)航��。
武漢市中心醫(yī)院信息科安全負(fù)責(zé)人瞿朗�����、東軟集團(tuán)網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉�����、奇安信集團(tuán)董事長齊向東��、奇安信集團(tuán)高級副總裁吳登峰��、奇安信集團(tuán)副總裁劉洪亮,以及數(shù)十家全國醫(yī)療衛(wèi)生機(jī)構(gòu)相關(guān)負(fù)責(zé)人出席了本次發(fā)布會�。
全球:高價值醫(yī)療數(shù)據(jù)成為攻擊者主要目標(biāo)
圖:奇安信集團(tuán)董事長齊向東
“醫(yī)療衛(wèi)生行業(yè)正在經(jīng)歷一場全球性的數(shù)據(jù)安全大危機(jī)���。這場大危機(jī)不僅讓廣大醫(yī)療機(jī)構(gòu)付出了慘痛代價,還時刻威脅病患的信息安全、財產(chǎn)安全甚至生命安全���?����!逼姘残偶瘓F(tuán)董事長齊向東表示,一方面醫(yī)療行業(yè)的大數(shù)據(jù)應(yīng)用快速普及,重要數(shù)據(jù)引起了黑客覬覦,另一方面行業(yè)安全基礎(chǔ)薄弱,導(dǎo)致安全事件頻發(fā)�����。
國外一份研究報告指出,高價值醫(yī)療數(shù)據(jù)成為不法分子攻擊的主要目標(biāo)之一,2024年第一季度針對醫(yī)療行業(yè)的勒索團(tuán)伙的數(shù)量同比增加了55%,受害者數(shù)量同比增長了近20%�。此外,贖金水平持續(xù)上升,反映了攻擊者對高價值目標(biāo)的定向勒索技術(shù)手段在進(jìn)步,同時也凸顯了受害者在自身數(shù)據(jù)保護(hù)意識和技術(shù)方法上仍有待提升�。
僅今年以來,醫(yī)療衛(wèi)生行業(yè)就被報道了多起重大數(shù)據(jù)安全事件。2024年3月美國聯(lián)合健康集團(tuán)支付勒索贖金2200萬美元,大量私人醫(yī)療健康數(shù)據(jù)被竊取;2024年4月愛沙尼亞連鎖藥房遭到系統(tǒng)破壞,泄露全國一半人口數(shù)據(jù);2024年4月法國戛納醫(yī)院遭到攻擊,醫(yī)護(hù)被迫紙上辦公����。據(jù)《互聯(lián)網(wǎng)安全內(nèi)參》顯示,截止到今年4月底,針對全球醫(yī)療衛(wèi)生領(lǐng)域數(shù)據(jù)的重大襲擊事件數(shù)量,就已經(jīng)超過2023年全年總和。
國內(nèi):數(shù)據(jù)安全事件占比近半,成醫(yī)衛(wèi)行業(yè)首要挑戰(zhàn)
圖:奇安信集團(tuán)數(shù)據(jù)安全事業(yè)部副總經(jīng)理姚磊
在發(fā)布會上,奇安信集團(tuán)數(shù)據(jù)安全事業(yè)部副總經(jīng)理姚磊披露了一組數(shù)據(jù):整個2023年,奇安信95015平臺受理的醫(yī)療衛(wèi)生行業(yè)應(yīng)急響應(yīng)事件中,數(shù)據(jù)安全相關(guān)事件占了將近50%�。同樣,奇安信威脅情報中心監(jiān)測顯示:2023年,國內(nèi)醫(yī)療衛(wèi)生行業(yè)泄露數(shù)據(jù)多達(dá)90252.9萬條,約合344.7GB,內(nèi)容涉及姓名、電話��、身份證號����、地址、賬號密碼�����、診療信息����、繳費(fèi)信息、內(nèi)部文件等眾多敏感個人信息和商業(yè)機(jī)密��。由此可見,數(shù)據(jù)安全問題是醫(yī)療衛(wèi)生行業(yè)數(shù)字化首要挑戰(zhàn)�。
2023年,為響應(yīng)廣東、江蘇�����、河南等地衛(wèi)健委相關(guān)要求,奇安信數(shù)據(jù)安全事業(yè)部為國內(nèi)25家重點醫(yī)療衛(wèi)生行業(yè)機(jī)構(gòu)進(jìn)行了數(shù)據(jù)安全風(fēng)險檢測試點工作,對國內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)的安全風(fēng)險狀況有了基礎(chǔ)掌控,并梳理出敏感數(shù)據(jù)違規(guī)傳輸�����、數(shù)據(jù)安全設(shè)計缺陷���、互聯(lián)網(wǎng)數(shù)據(jù)接口暴露�、數(shù)據(jù)跨境流動等幾類典型風(fēng)險場景。
姚磊分享了惡意爬蟲竊取門診預(yù)約信息和某大醫(yī)院數(shù)據(jù)遭到未鑒權(quán)任意訪問兩個典型案例����。2023年8月,某知名醫(yī)科大學(xué)附屬醫(yī)院發(fā)現(xiàn)境外某IP地址對醫(yī)院服務(wù)器進(jìn)行了3000余次的非法訪問,成功獲取敏感數(shù)據(jù)2100余條,經(jīng)奇安信分析,該IP的活動特征屬于典型的網(wǎng)絡(luò)爬蟲,危害極大但醫(yī)院缺乏防范。另一家某知名三甲醫(yī)院由于接口未進(jìn)行鑒權(quán)設(shè)定,導(dǎo)致被某國內(nèi)銀行IP連續(xù)10余天,通過2個API接口全天候訪問數(shù)據(jù),返回數(shù)據(jù)結(jié)果約4萬條,包括個人信息�、病例信息、醫(yī)生信息等,造成極大隱患���。
圖:武漢市中心醫(yī)院信息科安全負(fù)責(zé)人瞿朗
“醫(yī)院數(shù)據(jù)具有單體價值特別高��、變現(xiàn)價值特別高�、獲得性簡單等三大特點,這也是數(shù)據(jù)安全事件頻發(fā)的重要原因����。”作為參與2023年數(shù)據(jù)安全體檢的25家機(jī)構(gòu)之一,武漢市中心醫(yī)院信息科的安全負(fù)責(zé)人瞿朗表示,醫(yī)院開展數(shù)據(jù)安全檢查是確保數(shù)據(jù)安全�、合規(guī)性,以及提升醫(yī)療服務(wù)質(zhì)量和公眾信任的重要措施,通過這些措施,醫(yī)院不僅能夠保護(hù)患者信息,還能維護(hù)自身的聲譽(yù)和業(yè)務(wù)連續(xù)性。
瞿朗表示,通過數(shù)據(jù)安全檢查,武漢市中心醫(yī)院在數(shù)據(jù)接口的資產(chǎn)分析���、脆弱性分析���、漏洞利用攻擊分析、敏感數(shù)據(jù)傳輸分析等四個方面,發(fā)現(xiàn)了很多數(shù)據(jù)安全盲區(qū),幫助醫(yī)院摸清了數(shù)據(jù)接口家底,并看到了數(shù)據(jù)接口的攻擊風(fēng)險和敏感數(shù)據(jù)傳輸風(fēng)險��。為此,醫(yī)院在2024年沿著摸清家底�����、看清風(fēng)險���、管控防護(hù)的路徑,構(gòu)建了數(shù)據(jù)安全建設(shè)框架,圍繞管理體系建設(shè)�、技術(shù)能力完善���、合規(guī)和運(yùn)營體系保障開展醫(yī)院數(shù)據(jù)安全規(guī)劃和建設(shè)任務(wù),實現(xiàn)“看得見�����、管得住�、防得了”的總體目標(biāo),筑牢醫(yī)院數(shù)據(jù)安全防線�����。
圖:東軟集團(tuán)股份有限公司網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉
“缺乏基于醫(yī)療業(yè)務(wù)場景的數(shù)據(jù)安全構(gòu)建能力,尤其是缺乏健康醫(yī)療數(shù)據(jù)全生命周期數(shù)據(jù)安全能力,是當(dāng)前數(shù)據(jù)安全面臨的典型問題�����?���!睎|軟集團(tuán)股份有限公司網(wǎng)安終端事業(yè)部產(chǎn)品總監(jiān)張泉表示,通常業(yè)務(wù)側(cè)了解健康醫(yī)療數(shù)據(jù)全生命周期的數(shù)據(jù)流轉(zhuǎn)過程,卻不掌握數(shù)據(jù)資產(chǎn)的家底,無法全面認(rèn)知數(shù)據(jù)安全威脅和風(fēng)險;安全側(cè)了解數(shù)據(jù)安全措施,但不清楚有哪些數(shù)據(jù)庫�����、敏感數(shù)據(jù)存于何處��、敏感數(shù)據(jù)的體量有多大����、哪些人員在哪些場景下?lián)碛羞@些敏感數(shù)據(jù)的訪問和使用權(quán)限,落實數(shù)據(jù)安全策略難度加大,這是當(dāng)前醫(yī)衛(wèi)行業(yè)數(shù)據(jù)安全的普遍現(xiàn)狀�����。
張泉認(rèn)為,主機(jī)時代注重主機(jī)安全,網(wǎng)絡(luò)時代注重信息安全,互聯(lián)網(wǎng)時代注重網(wǎng)絡(luò)安全,而在數(shù)字時代,則需要聚焦業(yè)務(wù)安全�����。因此,東軟積極推動基于業(yè)務(wù)風(fēng)險驅(qū)動的安全體系化防護(hù)建設(shè)框架,形成合規(guī)驅(qū)動�、安全事件驅(qū)動、業(yè)務(wù)驅(qū)動的全局解決方案,覆蓋等級保護(hù)�����、業(yè)務(wù)安全咨詢規(guī)劃服務(wù)、電子病歷評級安全合規(guī)��、縣域醫(yī)共體業(yè)務(wù)安全����、智慧醫(yī)院業(yè)務(wù)安全等各個場景,形成東軟醫(yī)療行業(yè)業(yè)務(wù)安全全景圖����。
免費(fèi)、覆蓋100家,推動醫(yī)院數(shù)據(jù)安全體檢刻不容緩
醫(yī)療衛(wèi)生數(shù)據(jù)安全關(guān)乎公民的個人信息保護(hù)和隱私安全,以及社會醫(yī)療體系的穩(wěn)定運(yùn)轉(zhuǎn),在醫(yī)療行業(yè)數(shù)據(jù)安全挑戰(zhàn)日益嚴(yán)峻的當(dāng)下,對醫(yī)療衛(wèi)生機(jī)構(gòu)進(jìn)行一場數(shù)據(jù)安全大體檢��、大摸底更顯得刻不容緩��。在發(fā)布會上,奇安信集團(tuán)正式宣布啟動“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計劃����。”
圖:奇安信集團(tuán)副總裁劉洪亮
據(jù)奇安信集團(tuán)副總裁劉洪亮介紹,奇安信“百家醫(yī)院數(shù)據(jù)安全免費(fèi)體檢計劃”將持續(xù)進(jìn)行至2024年底,為全國至少100家大型醫(yī)療機(jī)構(gòu)進(jìn)行為期7天的數(shù)據(jù)接口暴露面檢查���、數(shù)據(jù)接口安全風(fēng)險檢查����、敏感數(shù)據(jù)違規(guī)傳輸檢查,為其展開數(shù)據(jù)安全規(guī)劃建設(shè)工作提供科學(xué)的參考依據(jù)�。體檢完成后,奇安信將向醫(yī)院提交一份詳細(xì)的體檢報告及初步整改建議,幫助他們看清自身數(shù)據(jù)安全風(fēng)險,助力數(shù)據(jù)安全工作開展。
據(jù)悉,本次免費(fèi)體檢計劃面向境內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu),地域不限,三甲醫(yī)院優(yōu)先,相關(guān)機(jī)構(gòu)撥打95015熱線即可報名。
數(shù)字化正成為驅(qū)動醫(yī)療衛(wèi)生產(chǎn)業(yè)構(gòu)建新質(zhì)生產(chǎn)力的核心引擎��。國家衛(wèi)健委等三部門印發(fā)的《“十四五”全民健康信息化規(guī)劃》提到,要夯實網(wǎng)絡(luò)與數(shù)據(jù)安全保障體系,提升數(shù)據(jù)安全運(yùn)營保障能力,堅持醫(yī)療數(shù)字化與安全并重��?����!夺t(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》規(guī)范了數(shù)據(jù)安全管理,強(qiáng)調(diào)各醫(yī)療衛(wèi)生機(jī)構(gòu)每年對本單位數(shù)據(jù)進(jìn)行數(shù)據(jù)安全風(fēng)險評估,及時掌握數(shù)據(jù)安全狀態(tài)�����。
當(dāng)前,隨著云計算�����、大數(shù)據(jù)����、人工智能、物聯(lián)網(wǎng)���、5G等底層技術(shù)的迅猛發(fā)展,醫(yī)療衛(wèi)生產(chǎn)業(yè)創(chuàng)新活力持續(xù)被激發(fā),廣泛滲透到各個領(lǐng)域,引領(lǐng)行業(yè)向數(shù)字化���、智能化方向轉(zhuǎn)型。專家表示,醫(yī)療衛(wèi)生數(shù)據(jù)不僅是生產(chǎn)要素,更是國家基礎(chǔ)性戰(zhàn)略資源。因此,廣大醫(yī)療衛(wèi)生機(jī)構(gòu)亟待夯實安全基座,在保障數(shù)據(jù)安全的基礎(chǔ)上,依托數(shù)據(jù)要素產(chǎn)生新的價值增量,打造數(shù)字經(jīng)濟(jì)時代的新質(zhì)生產(chǎn)力�����。
中企網(wǎng)微博
中企網(wǎng)微信