醫(yī)療行業(yè)總體處于“較大風(fēng)險(xiǎn)”級(jí)別，存在多種網(wǎng)絡(luò)安全風(fēng)險(xiǎn)及大量可被利用的安全隱患，安全防護(hù)能力較弱。
據(jù)《中國(guó)醫(yī)療行業(yè)網(wǎng)絡(luò)安全行業(yè)分析》報(bào)告顯示，通過對(duì)15339家醫(yī)療行業(yè)相關(guān)單位的觀測(cè)，1029家單位存在僵尸、木馬或蠕蟲等惡意程序，6446家單位的應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)中，4546家單位網(wǎng)站存在被篡改安全隱患，其中261家單位已發(fā)生網(wǎng)站被篡改情況。

醫(yī)療行業(yè)信息系統(tǒng)安全問題分析
58%的醫(yī)療信息系統(tǒng)存在弱口令問題；59%醫(yī)療信息系統(tǒng)存網(wǎng)絡(luò)防護(hù)架構(gòu)不完善問題，包括網(wǎng)絡(luò)區(qū)域劃分不合理、網(wǎng)絡(luò)鏈路無冗余等問題；60%的醫(yī)療信息系統(tǒng)數(shù)據(jù)備份機(jī)制不健全，包括無異地備份機(jī)制、備份策略不合理等問題；72%的醫(yī)療信息系統(tǒng)在數(shù)據(jù)存儲(chǔ)和傳輸過程中未采取加密措施；絕大多數(shù)醫(yī)療信息系統(tǒng)在管理方面存在監(jiān)管不力、制度不完善、人員安全意識(shí)較弱等問題。

大部分醫(yī)院缺乏必要的網(wǎng)絡(luò)防護(hù)措施
現(xiàn)階段絕大多數(shù)醫(yī)院僅采用防火墻保障網(wǎng)絡(luò)安全，對(duì)網(wǎng)絡(luò)進(jìn)行VPN/VLAN劃分和上網(wǎng)行為管理的醫(yī)院僅過半數(shù)。醫(yī)院對(duì)網(wǎng)閘、防入侵、防毒墻等設(shè)備的采用率均小于50%。

在疫情期間，醫(yī)療機(jī)構(gòu)作為“抗疫”的最前線，在網(wǎng)絡(luò)空間的戰(zhàn)場(chǎng)上同樣面臨著嚴(yán)峻的安全威脅與考驗(yàn)。數(shù)據(jù)顯示，疫情期間的醫(yī)院攻擊事件，其中多起事件是利用冠狀病毒熱點(diǎn)事件，通過釣魚軟件、惡意鏈接等方式誘導(dǎo)攻擊目標(biāo)打開、下載并啟用攻擊文件。一旦電腦被感染，病毒會(huì)進(jìn)行橫向移動(dòng)，感染更多網(wǎng)絡(luò)中的機(jī)器。

醫(yī)療行業(yè)三種常見的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)類型

第一類，以勒索病毒為代表的僵木蠕等惡意程序風(fēng)險(xiǎn)。
在15339家健康醫(yī)療相關(guān)單位的觀測(cè)樣本中，發(fā)現(xiàn)存在“僵木蠕”等惡意程序的單位共計(jì)1029家，其中受勒索病毒影響的單位共計(jì)136家。這些惡意程序可導(dǎo)致大范圍的網(wǎng)絡(luò)欺詐、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。

我國(guó)首款勒索軟件是于2006年出現(xiàn)的Redplus勒索木馬。該木馬隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。

勒索病毒利用各種加密算法對(duì)文件進(jìn)行加密后，向文件所有者索要贖金。如果感染者拒付贖金，就無法獲得加密的私鑰，無法恢復(fù)文件?，F(xiàn)今，勒索軟件仍然是一項(xiàng)流行性安全威脅。為了攻擊大型企業(yè)和組織，勒索軟件不斷研究新型變體，企業(yè)機(jī)密文件和數(shù)據(jù)的安全風(fēng)險(xiǎn)與日俱增。

第二類，安全隱患帶來的大數(shù)據(jù)泄露風(fēng)險(xiǎn)。
觀測(cè)樣本中，有6446家單位的應(yīng)用服務(wù)（如數(shù)據(jù)庫(kù)服務(wù)、FTP服務(wù)、打印機(jī)服務(wù)等）端口暴露在公共互聯(lián)網(wǎng)，其中375家單位的應(yīng)用服務(wù)使用了極簡(jiǎn)易密碼，攻擊者可通過公共互聯(lián)網(wǎng)輕易獲取這些服務(wù)的控制權(quán)，這可能引發(fā)批量應(yīng)用服務(wù)被惡意控制、大量健康醫(yī)療數(shù)據(jù)泄露的安全事件。

第三類，網(wǎng)站篡改風(fēng)險(xiǎn)。
對(duì)樣本觀測(cè)后發(fā)現(xiàn)，有4546家單位網(wǎng)站存在安全隱患，其中261家單位網(wǎng)站已有被惡意篡改的記錄。醫(yī)療行業(yè)的網(wǎng)站同政府網(wǎng)站、教育機(jī)構(gòu)網(wǎng)站等都是境外機(jī)構(gòu)的重點(diǎn)攻擊對(duì)象，且網(wǎng)站篡改手法多變。

醫(yī)療系統(tǒng)攻擊也是較為常見的醫(yī)療信息安全事故類型。2017年，我國(guó)某部委醫(yī)療服務(wù)信息系統(tǒng)遭“黑客”入侵，超過7億條公民信息遭泄露，超8000萬條公民信息被販賣。同年，美國(guó)醫(yī)療設(shè)備公司Patient Home Monitoring的醫(yī)療數(shù)據(jù)存儲(chǔ)紀(jì)錄遭破解泄露，導(dǎo)致47.5GB的數(shù)據(jù)泄露，包含多達(dá)31.5萬份PDF檔案，涉及近15萬患者的個(gè)人基礎(chǔ)信息、醫(yī)生和病例記錄以及血液檢查結(jié)果等隱私信息。

雖然我國(guó)醫(yī)療數(shù)據(jù)信息泄露事件在公眾視野下暴露的較少，實(shí)則暗潮涌動(dòng)。

2018年，威瑞森發(fā)布的《受保護(hù)健康信息泄露報(bào)告》表明，受訪醫(yī)療提供商遭遇的數(shù)據(jù)泄露中，有57.5%都是內(nèi)部人導(dǎo)致的，只有42%是外部攻擊者所為。外部攻擊可用技術(shù)預(yù)防，但內(nèi)部人員問題的確是防不勝防。

相對(duì)于其他行業(yè)來說，醫(yī)療行業(yè)對(duì)信息安全的關(guān)注度和重視程度是不夠的，風(fēng)險(xiǎn)意識(shí)薄弱，監(jiān)管力度不足，行業(yè)整體缺乏完整的安全體系建設(shè)和包括應(yīng)急響應(yīng)在內(nèi)的一套完整、成熟的流程制度，尤其是中基層醫(yī)療機(jī)構(gòu)，由于無法做到專人專職，在體系化建設(shè)和專業(yè)技術(shù)能力支撐方面存在加大的缺口。

因此，加強(qiáng)人員網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，定期組織相關(guān)人員學(xué)習(xí)網(wǎng)絡(luò)安全，對(duì)安全崗位人員技能提升與培養(yǎng)，落實(shí)網(wǎng)絡(luò)安全管理制度是網(wǎng)絡(luò)安全保護(hù)建設(shè)中容易被忽視卻也是非常重要的一個(gè)環(huán)節(jié)。

2019年，中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心根據(jù)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的實(shí)際狀況，特別對(duì)醫(yī)療行業(yè)安全崗位能力培訓(xùn)推出了信息安全保障人員認(rèn)證（CISAW-HSP），兼顧醫(yī)療信息安全技術(shù)與管理，定崗提升安全從業(yè)人員的崗位能力。中科至善作為CISAW-HSP授權(quán)培訓(xùn)機(jī)構(gòu)，已累計(jì)幫助近400名醫(yī)療從業(yè)人員取得資格認(rèn)證。