騰訊安全聯合信通院發布《數字醫療網絡安全觀測報告》

2020-09-18 11:34

為幫助醫療行業更好地防范和應對數字醫療領域的網絡安全風險，騰訊安全聯合中國信息通信研究院安全研究所、衛生信息安全與新技術應用專業委員會、數據保護官（DPO）社群等行業組織和研究團隊，共同編寫并發布了《數字醫療網絡安全觀測報告（2020年）》（以下簡稱《報告》），旨在通過對健康醫療行業網絡安全現狀、行業安全態勢進行全面剖析，為主管部門、醫療機構以及安全服務廠商提供工作思路和建議，共同促進衛生健康領域安全有序發展。

總體而言，本次觀測到的健康醫療行業整體評分為842分，較去年有一定提升；但隨著數字醫療的加速發展，資產脆弱性、安全漏洞、僵木蠕毒及網站篡改這四類安全問題仍是威脅醫療機構網絡安全的主要因素，對傳統醫院、互聯網醫院以及私立醫院形成主要威脅的安全問題也各不相同，健康醫療行業應盡快建立健全的網絡安全體系，以應對數字時代下的安全挑戰。

網絡安全形勢日漸復雜僵木蠕毒等安全問題明顯抬頭

《報告》中指出，眼下我國健康醫療行業在信息技術發展、政府政策及疫情的多重推動下，已經進入了數字化轉型進程中的重要時期，數字醫療領域的網絡安全問題呈現多元化發展態勢。一方面，安全漏洞、木馬、病毒、網站篡改等傳統安全問題仍在不斷威脅著健康醫療行業的網絡安全；另一方面，隨著行業在線業務的快速發展，醫療業務和數據上云也帶來了新的安全挑戰。

通過對資產脆弱性、安全漏洞、僵木蠕毒及網站篡改等四類安全問題進行分析比對，《報告》展示了現階段健康醫療行業在網絡安全防護方面取得的階段性成果和不足之處：高危端口、敏感服務暴露及應用服務版本過低的風險均大幅下降，特別是高危端口，所涉及的醫療單位數量同比下降了42．85％；安全漏洞問題也得到了一定程度上的修復，涉及單位數量從2019年的1302家下降到了653家。

安全漏洞風險級別分布對比圖

但僵木蠕毒和網站篡改這兩類安全問題卻呈現出了明顯的抬頭趨勢，網站篡改涉及單位數量漲幅超過了70％；而以勒索病毒為首的僵木蠕毒仍是各省醫療單位需要面對的主要安全問題，《2019年數據泄露事件調查報告》中顯示，勒索軟件攻擊已連續第二年占據2019年醫療保健領域所有惡意軟件事件的70％以上。

通用僵惡蠕毒惡意文件感染單位變化圖

互聯網醫院、私立醫院亦存在安全問題亟需建立完整健全的網絡安全體系

在新基建和產業上云趨勢的共同推動下，在疫情期間成為科技“戰疫”先鋒的互聯網醫院迎來新一輪的發展契機。然而互聯網醫院建設必須依托于實體醫療機構的特點，也決定了互聯網醫院將存在與傳統醫院同樣的網絡安全問題，其網絡環境也會更為復雜。

《報告》中將互聯網醫院和傳統醫院的網絡安全形勢進行了對比。總體來看，互聯網醫院在資產脆弱性防護和網站篡改這兩個安全問題上的表現優于傳統醫院；但由于業務系統開放在公共互聯網，將會承受更多的網絡攻擊壓力，受到僵木蠕毒等惡意程序攻擊、被網絡黑產通過安全漏洞入侵的風險更高。

互聯網醫院和非互聯網醫院風險占全部醫院風險比例圖

此外，私立醫院作為我國醫療衛生資源的中堅陣地，近年來也在加快業務上線的節奏，以應對時下日益增長的在線醫療需求。由于私立醫院與公立醫院所采用的業務接口不同，在各安全問題上的表現存在一定差異：雖然私立醫院的總體風險評分略高于公立醫院，但網站篡改、安全漏洞防護這兩個問題上的表現則遜于后者。

公立醫院和私立醫院風險占全部醫院風險比例圖

隨著健康醫療行業數字化轉型進程的不斷推進，國家對于行業網絡安全的重視程度和監管力度在逐步增強，《數據安全法》、《個人信息保護法》及《關于做好信息化支撐常態化疫情防控工作的通知》等相關法律法規和規范性文件相繼出臺，均要求健康醫療行業建立健全、統一的網絡安全標準體系。

最后，《報告》為健康醫療行業提供了網絡安全體系建設的安全工作思路和建議，并對服務于健康醫療行業的安全服務上提出了要求。主管部門應重點推動行業規范發展，進一步健全行業的安全標準體系和規范；醫療機構則需持續改進自身安全建設，以應對新技術、新應用、新場景下的安全問題；對于安全服務商而言，應加快產品研發速度并提升服務質量，做好網絡安全的支撐和保障工作。