騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

為幫助醫(yī)療行業(yè)更好地防范和應(yīng)對(duì)數(shù)字醫(yī)療領(lǐng)域的網(wǎng)絡(luò)安全風(fēng)險(xiǎn),騰訊安全聯(lián)合中國(guó)信息通信研究院安全研究所、衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)、數(shù)據(jù)保護(hù)官(DPO)社群等行業(yè)組織和研究團(tuán)隊(duì),共同編寫并發(fā)布了《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告(2020年)》(以下簡(jiǎn)稱《報(bào)告》),旨在通過對(duì)健康醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀、行業(yè)安全態(tài)勢(shì)進(jìn)行全面剖析,為主管部門、醫(yī)療機(jī)構(gòu)以及安全服務(wù)廠商提供工作思路和建議,共同促進(jìn)衛(wèi)生健康領(lǐng)域安全有序發(fā)展。

騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

總體而言,本次觀測(cè)到的健康醫(yī)療行業(yè)整體評(píng)分為842分,較去年有一定提升;但隨著數(shù)字醫(yī)療的加速發(fā)展,資產(chǎn)脆弱性、安全漏洞、僵木蠕毒及網(wǎng)站篡改這四類安全問題仍是威脅醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全的主要因素,對(duì)傳統(tǒng)醫(yī)院、互聯(lián)網(wǎng)醫(yī)院以及私立醫(yī)院形成主要威脅的安全問題也各不相同,健康醫(yī)療行業(yè)應(yīng)盡快建立健全的網(wǎng)絡(luò)安全體系,以應(yīng)對(duì)數(shù)字時(shí)代下的安全挑戰(zhàn)。

網(wǎng)絡(luò)安全形勢(shì)日漸復(fù)雜僵木毒等安全問題明顯抬頭

《報(bào)告》中指出,眼下我國(guó)健康醫(yī)療行業(yè)在信息技術(shù)發(fā)展、政府政策及疫情的多重推動(dòng)下,已經(jīng)進(jìn)入了數(shù)字化轉(zhuǎn)型進(jìn)程中的重要時(shí)期,數(shù)字醫(yī)療領(lǐng)域的網(wǎng)絡(luò)安全問題呈現(xiàn)多元化發(fā)展態(tài)勢(shì)。一方面,安全漏洞、木馬、病毒、網(wǎng)站篡改等傳統(tǒng)安全問題仍在不斷威脅著健康醫(yī)療行業(yè)的網(wǎng)絡(luò)安全;另一方面,隨著行業(yè)在線業(yè)務(wù)的快速發(fā)展,醫(yī)療業(yè)務(wù)和數(shù)據(jù)上云也帶來了新的安全挑戰(zhàn)。

通過對(duì)資產(chǎn)脆弱性、安全漏洞、僵木蠕毒及網(wǎng)站篡改等四類安全問題進(jìn)行分析比對(duì),《報(bào)告》展示了現(xiàn)階段健康醫(yī)療行業(yè)在網(wǎng)絡(luò)安全防護(hù)方面取得的階段性成果和不足之處:高危端口、敏感服務(wù)暴露及應(yīng)用服務(wù)版本過低的風(fēng)險(xiǎn)均大幅下降,特別是高危端口,所涉及的醫(yī)療單位數(shù)量同比下降了42.85%;安全漏洞問題也得到了一定程度上的修復(fù),涉及單位數(shù)量從2019年的1302家下降到了653家。

騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

安全漏洞風(fēng)險(xiǎn)級(jí)別分布對(duì)比圖

但僵木蠕毒和網(wǎng)站篡改這兩類安全問題卻呈現(xiàn)出了明顯的抬頭趨勢(shì),網(wǎng)站篡改涉及單位數(shù)量漲幅超過了70%;而以勒索病毒為首的僵木蠕毒仍是各省醫(yī)療單位需要面對(duì)的主要安全問題,《2019年數(shù)據(jù)泄露事件調(diào)查報(bào)告》中顯示,勒索軟件攻擊已連續(xù)第二年占據(jù)2019年醫(yī)療保健領(lǐng)域所有惡意軟件事件的70%以上。

騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

通用僵惡蠕毒惡意文件感染單位變化圖

互聯(lián)網(wǎng)醫(yī)院、私立醫(yī)院亦存在安全問題亟需建立完整健全的網(wǎng)絡(luò)安全體系

在新基建和產(chǎn)業(yè)上云趨勢(shì)的共同推動(dòng)下,在疫情期間成為科技“戰(zhàn)疫”先鋒的互聯(lián)網(wǎng)醫(yī)院迎來新一輪的發(fā)展契機(jī)。然而互聯(lián)網(wǎng)醫(yī)院建設(shè)必須依托于實(shí)體醫(yī)療機(jī)構(gòu)的特點(diǎn),也決定了互聯(lián)網(wǎng)醫(yī)院將存在與傳統(tǒng)醫(yī)院同樣的網(wǎng)絡(luò)安全問題,其網(wǎng)絡(luò)環(huán)境也會(huì)更為復(fù)雜。

《報(bào)告》中將互聯(lián)網(wǎng)醫(yī)院和傳統(tǒng)醫(yī)院的網(wǎng)絡(luò)安全形勢(shì)進(jìn)行了對(duì)比??傮w來看,互聯(lián)網(wǎng)醫(yī)院在資產(chǎn)脆弱性防護(hù)和網(wǎng)站篡改這兩個(gè)安全問題上的表現(xiàn)優(yōu)于傳統(tǒng)醫(yī)院;但由于業(yè)務(wù)系統(tǒng)開放在公共互聯(lián)網(wǎng),將會(huì)承受更多的網(wǎng)絡(luò)攻擊壓力,受到僵木蠕毒等惡意程序攻擊、被網(wǎng)絡(luò)黑產(chǎn)通過安全漏洞入侵的風(fēng)險(xiǎn)更高。

騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

互聯(lián)網(wǎng)醫(yī)院和非互聯(lián)網(wǎng)醫(yī)院風(fēng)險(xiǎn)占全部醫(yī)院風(fēng)險(xiǎn)比例圖

此外,私立醫(yī)院作為我國(guó)醫(yī)療衛(wèi)生資源的中堅(jiān)陣地,近年來也在加快業(yè)務(wù)上線的節(jié)奏,以應(yīng)對(duì)時(shí)下日益增長(zhǎng)的在線醫(yī)療需求。由于私立醫(yī)院與公立醫(yī)院所采用的業(yè)務(wù)接口不同,在各安全問題上的表現(xiàn)存在一定差異:雖然私立醫(yī)院的總體風(fēng)險(xiǎn)評(píng)分略高于公立醫(yī)院,但網(wǎng)站篡改、安全漏洞防護(hù)這兩個(gè)問題上的表現(xiàn)則遜于后者。

騰訊安全聯(lián)合信通院發(fā)布《數(shù)字醫(yī)療網(wǎng)絡(luò)安全觀測(cè)報(bào)告》

公立醫(yī)院和私立醫(yī)院風(fēng)險(xiǎn)占全部醫(yī)院風(fēng)險(xiǎn)比例圖

隨著健康醫(yī)療行業(yè)數(shù)字化轉(zhuǎn)型進(jìn)程的不斷推進(jìn),國(guó)家對(duì)于行業(yè)網(wǎng)絡(luò)安全的重視程度和監(jiān)管力度在逐步增強(qiáng),《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》及《關(guān)于做好信息化支撐常態(tài)化疫情防控工作的通知》等相關(guān)法律法規(guī)和規(guī)范性文件相繼出臺(tái),均要求健康醫(yī)療行業(yè)建立健全、統(tǒng)一的網(wǎng)絡(luò)安全標(biāo)準(zhǔn)體系。

最后,《報(bào)告》為健康醫(yī)療行業(yè)提供了網(wǎng)絡(luò)安全體系建設(shè)的安全工作思路和建議,并對(duì)服務(wù)于健康醫(yī)療行業(yè)的安全服務(wù)上提出了要求。主管部門應(yīng)重點(diǎn)推動(dòng)行業(yè)規(guī)范發(fā)展,進(jìn)一步健全行業(yè)的安全標(biāo)準(zhǔn)體系和規(guī)范;醫(yī)療機(jī)構(gòu)則需持續(xù)改進(jìn)自身安全建設(shè),以應(yīng)對(duì)新技術(shù)、新應(yīng)用、新場(chǎng)景下的安全問題;對(duì)于安全服務(wù)商而言,應(yīng)加快產(chǎn)品研發(fā)速度并提升服務(wù)質(zhì)量,做好網(wǎng)絡(luò)安全的支撐和保障工作。

(免責(zé)聲明:本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿,凡在本網(wǎng)站出現(xiàn)的信息,均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性,但不保證有關(guān)資料的準(zhǔn)確性及可靠性,讀者在使用前請(qǐng)進(jìn)一步核實(shí),并對(duì)任何自主決定的行為負(fù)責(zé)。本網(wǎng)站對(duì)有關(guān)資料所引致的錯(cuò)誤、不確或遺漏,概不負(fù)任何法律責(zé)任。
任何單位或個(gè)人認(rèn)為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識(shí)產(chǎn)權(quán)或存在不實(shí)內(nèi)容時(shí),應(yīng)及時(shí)向本網(wǎng)站提出書面權(quán)利通知或不實(shí)情況說明,并提供身份證明、權(quán)屬證明及詳細(xì)侵權(quán)或不實(shí)情況證明。本網(wǎng)站在收到上述法律文件后,將會(huì)依法盡快聯(lián)系相關(guān)文章源頭核實(shí),溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。 )