2020年第一季度,医疗信息安全行业延续了2019年的火热态势。
在资本端,信息安全领域企业融资势头不减,其中两家企业完成B+轮融资,融资金额均过亿元;在政策端,监管方也频频发力,如1月1日正式实施的《密码法》、2月5日国家卫健委办公厅下发《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》等法律法规,为信息网络安全“保驾护航”;在市场端,也不乏后来者。
医疗信息安全火爆的原因是什么?发展中存在哪些问题?未来的可能趋势是很什么?带着这些问题,动脉网对我国医疗信息安全的发展现状、相应对策、市场容量和参与者进行了梳理。
医疗行业的 “老大难问题”
新冠肺炎疫情期间,一些黑客组织也以“新冠肺炎”话题为诱饵,对医疗机构、医护人员的电脑发起网络攻击,从而达到勒索、窃取信息等目的。数据泄露问题是信息化时代常见的安全问题,大部分行业都屡见不鲜,但数据窃取事件也屡禁不止。
2019年5月初,美国最大的临床前CRO公司查尔斯河(Charles River Laboratories)称,其约1%的客户数据被盗了。无独有偶,这个月的最后一天,全球临床诊断巨头Quest宣布,截止当日,该公司旗下有近1200万患者的财务、医疗和个人信息数据等因黑客攻击而泄露。
2019年7月31日,中国信通院安全研究所与腾讯智慧安全联合发布了《2019健康医疗行业网络安全观测报告》。《报告》称,健康医疗行业面临的网络安全风险类型主要集中表现在三大方面:
其一,以勒索病毒为代表的僵木蠕等恶意程序风险。在15339家健康医疗相关单位的观测样本中,发现存在“僵木蠕”等恶意程序的单位共计1029家,其中受勒索病毒影响的单位共计136家。这些恶意程序可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。
1989年出现的“艾滋病信息木马”,被普遍认为是最早期的勒索软件。该木马隐藏磁盘的多个目录,对C盘的全部文件名加密,以至于系统无法启动。屏幕显示文字称,用户的软件许可已过期,需邮寄189美元才能解锁系统。
我国首款勒索软件是于2006年出现的Redplus勒索木马。该木马隐藏用户文档,然后弹出窗口勒索赎金,金额从70元至200元不等。
勒索病毒是一种流行的木马,通过骚扰、恐吓甚至采用绑架用户文件等方式,使用户数据资产或计算资源无法正常使用,并以此为条件向用户勒索钱财。主要传播形式包括利用软件漏洞、RDP弱口令暴力破解、钓鱼邮件、网页挂马等。
这种病毒利用各种加密算法对文件进行加密后,向文件所有者索要赎金。如果感染者拒付赎金,就无法获得加密的私钥,无法恢复文件。
现今,勒索软件仍然是一项流行性安全威胁。为了攻击大型企业和组织,勒索软件不断研究新型变体,企业机密文件和数据的安全风险与日俱增。
其二,安全隐患带来的大数据泄露风险。观测样本中,有6446家单位的应用服务(如数据库服务、FTP服务、打印机服务等)端口暴露在公共互联网,其中375家单位的应用服务使用了极简易密码,攻击者可通过公共互联网轻易获取这些服务的控制权,这可能引发批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。
其三,网站篡改风险。对样本观测后发现,有4546家单位网站存在安全隐患,其中261家单位网站已有被恶意篡改的记录。医疗行业的网站同政府网站、教育机构网站等都是境外机构的重点攻击对象,且网站篡改手法多变。
医疗系统攻击也是较为常见的医疗信息安全事故类型。《法制日报》曾报道,2017年,我国某部委医疗服务信息系统遭“黑客”入侵,超过7亿条公民信息遭泄露,超8000万条公民信息被贩卖。几乎是同一时间,太平洋彼岸也发生了一起大规模的涉及公众隐私信息的泄露事件。
美国医疗设备公司Patient Home Monitoring的医疗数据存储纪录遭破解泄露,导致47.5GB的数据泄露,包含多达31.5万份PDF档案,涉及近15万患者的个人基础信息、医生和病例记录以及血液检查结果等隐私信息。
2018年7月26日,美国国家反情报与安全中心发布报告称,黑客对“生物材料、生物制药以及新疫苗和药物”特别“感兴趣”,对获取先进医疗设备、传染病治疗和转基因生物的信息非常“有意向”。同时,生物技术也被列为黑客攻击的重大目标之一。
深信服医疗事业部副总经理钟一鸣从数据的全生命周期角度分析了数据存在哪些安全隐患:
虽然我国医疗数据信息泄露事件在公众视野下暴露的较少,但平静的海面下暗潮在涌动。
疫情是医疗网络系统的一次大考
在疫情期间,医疗机构作为“抗疫”的最前线,在网络空间的战场上同样面临着严峻的安全威胁与考验。数据显示,疫情期间的医院攻击事件,其中有多起事件是利用冠状病毒热点事件,通过钓鱼软件、恶意链接等方式诱导攻击目标打开、下载并启用攻击文件。一旦电脑被感染,病毒会进行横向移动,感染更多网络中的机器。
据盛邦安全监测数据显示,2020年初以来,部分疫情灾区的webshell日攻击流量达到104万条,其中有效攻击量近6000条,相比较2019年的平均日攻击流量上升5个百分点,有效攻击数量上升15个百分点;与此同时,多家医疗机构接连中招勒索病毒的消息不绝于耳。
为什么黑客“钟爱”医疗数据?
第一,医疗数据“太值钱”。随着科技的进步,人工智能、大数据在医疗领域的应用范围也越来越广。医疗大数据的数据质量和安全问题,也对医学的发展起着重要的作用。医疗行为本身就决定了医疗数据的真实性。医疗数据因为包含患者的姓名、年龄、居住地址、电话、病史、银行账户等信息,蕴含着重要的财富价值,成为了不良黑客的香饽饽。
第二,医疗数据覆盖面广。上海申康医院发展中心医联中心主任何萍曾接受采访时说,从微观上看,医疗信息包含了患者个体患病情况、生物组学等数据;从宏观上看,则包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。所以,医疗数据能否安全使用,关乎社会稳定、国家安全。
第三,操作系统过时的医疗设备也是网络攻击者的重要途径。很多医疗设备质量优质,运行时间长,有些能够保证运行十年以上。但是,这也有可能使医院“遗忘”了它们的存在。医疗设备操作系统过时,便会产生安全漏洞,网络攻击者便有了可乘之机。透过那些“漏洞”看向医疗设备内部,网络攻击者发现的不是零件、电路板,而是一座座装满了钱财的库房。
除了上述的内部原因之外,一些恐怖组织、黑客组织、黑产等经济犯罪团伙、极端个人,出于一些个人或利益原因也可能会实施网络攻击。
中国信息通信研究院安全研究发布的《2020数字医疗:疫情防控期间网络安全风险研究报告》显示,疫情期间,医疗服务认证暴力破解攻击态势持续严峻,黑客曾对医疗行业的暴力破解攻击达到了单日 80 万次的高峰。
此次疫情中,医疗领域面临的网络安全风险包括:
外联第三方机构的安全威胁。为了便于访问医院网络的其他分支,医疗设备接入的操作系统都保留了许多不同类型的敏感信息。钟一鸣表示,外联机构在单位的设置上都是可信的机构,例如上级主管单位、兄弟医院、下级单位等。但从网络攻击的角度来说,这些外联机构的网络都不在医院自身可以管理的安全范围内,因此也属于非可信网络,医院也应加强防护。
据腾讯智慧安全御见威胁情报中心分析发现,国内多家三家医院接入的第三方医疗服务平台存在严重逻辑漏洞。而这些平台都汇集了全国多个省市的数百家大型三家医院在内的医疗资源,一旦被不法黑客攻击,平台上所有医院都将受到影响。
移动医疗产品也有隐患。根据前瞻研究产业院数据,预计2020年行业整体规模将有望突破500亿元。用户使用移动医疗APP的目的主要为搜索相关信息、咨询问诊、预约挂号、学习保健知识以及管理慢性疾病等。
移动医疗APP主要面临的安全风险包括APP反编译破解,如系统键盘和输入法攻击、本地数据破解、WIFI钓鱼、网络监听、调试攻击、内存攻击等,这些会导致用户个人隐私信息被窃取和泄露。而这些患者的基本信息、社保号、交易信息、电子病历、诊疗数据等都成为犯罪分子非法获利的重要途径。此外,还面临着APP监管难的问题。
近日,国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,共20余款移动应用存在涉嫌隐私不合规行为,其中包括未向用户明示申请的全部隐私权限,未说明收集使用个人信息规则,以及为提供有效的更正、删除个人信息及注销用户账号功能。
新技术,新风险。云计算在医疗数据的储存管理等领域的应用,让医疗数据和信息系统逐步实现数字化和中心化转型,但也加剧了信息安全问题导致平台故障、业务中断和数据丢失的风险;大数据技术的应用有助于对医疗数据更加高效合理的分析利用和前瞻预警,但数据的集中也极易成为黑客的攻击目标,隐私和数据泄露等问题正日渐凸显;物联网在医疗行业应用广泛,而一旦IoT设备中的安全漏洞被利用,可能会导致信息被监听或截获,造成难以估量的严重后果。
美创科技解决方案总监蔡毅介绍,疫情期间,全国使用“健康码”通行,里面包含了大量的个人敏感信息,而且这些信息的单体价值非常高。这类数据会保存在何处?“是由技术公司还是国家数据管理中心统一保管?”这一过程中是否会出现数据的泄露、滥用等违规行为,监管部门也需要重点关注。
以江苏省为例,在全省范围内互认的“苏康码”上线之前,江苏省13市采用各自的健康码,并只在所属市内通用。苏州市采用“苏城码”,南京市为“宁归来”,南通市为“易来通”,宿迁市采用“宿康码”等。“苏康码”上线前,市民每到一市需要新申请一张“健康码”,不仅徒增市民麻烦,而且数据散落在各市,使用价值低的同时,还不易保存,且存在被泄露的危险。
网络安全保护,国家一直在行动
信息安全等级保护是对信息及信息载体按照重要性等级分别进行保护的一种工作,国际应用广泛。为了对不同领域的信息安全工作进行指导,我国相关部门和专家结合我国信息领域的实际情况,开始了研究。
我国信息安全等级保护具体实施过程(资料来源网络,动脉网制图)
1994年,国务院正式下发《中华人民共和国计算机信息系统安全保护条例》,首次提出信息安全等级保护的概念。随后的十余年内,我国陆续出台了一系列的政策法规。
信息安全等级保护的政策发展历程(资料来源网络,动脉网制图)
2000年11月10日,国家发改委产业化项目《计算机信息系统安全保护等级评估认证体系及互联网网络电子身份认证管理与安全保护平台建设》工程(“1110工程”)实施。该工程于2008年7月18日成功验收,制定了20余项信息安全等级保护相关标准,为进一步完善我国信息安全标准体系奠定了基础。
2004年至2006年,公安部联合四部委开展涉及65117家单位,共115319个信息系统的等级保护基础调查和等级保护试点工作,为全面开展等级保护工作奠定基础。
2007年,四部门相继出台两项政策后,于 7月20日,召开全国重要信息系统安全等级保护定级工作部署专题电视电话会议。这一会议也标志着信息安全等级保护制度正式开始实施。
在我国信息网络安全发展史上,2016年是一个极为重要的时间节点。这一年,《网络安全法》出台,让等级保护已上升至法律层面,也标志着等级保护进入了2.0阶段。
相比“等保1.0”,等保2.0不仅仅是一个标准版本更新的概念。
亚信安全认为,在等保1.0时代,数据就是等级保护安全建设的核心内容,其主要划归在“技术要求-数据安全及备份恢复”条款、“技术要求-应用安全”和“技术要求-主机安全”的要求中。
2019年5月,国家发布了《网络安全等级保护制度2.0标准》,并于2019年12月1日实施。该标准针对云计算、物联网、移动互联网、工业控制、大数据新技术等新兴技术对安全标准提出了新的要求,并将遵循的法律条文从原本1.0标准的国务院147号令提高到《网络安全法》。
在等保2.0时代,国家加强了对个人信息的保护,提出了未授权概念,不允许在未授权的账户运营的情况下去访问和使用个人的用户数据。“等保2.0对个人信息的保护更加明确。”亚信安全认为,这是等保2.0给医疗数据安全带来的另一变革。
“进入等保2.0时代,监管机构对云、大、物、移提出了更高的安全合规要求。同样,医疗行业的信息安全也增加了许多新的防护重点和方向。”盛邦安全常务副总裁韩卫东举例说到,在等保2.0背景下,医疗行业的信息安全工作更加关注数据的完整性和私密性,具体可涉及个人信息保护、数据传输与储存的安全、移动应用和物联网设备的管控等领域的问题与挑战。整体来说,等保2.0对医疗行业的信息网络安全工作提出了更高、更细化的要求以及更广泛的新技术应用空间。
除等级保护2.0对数据安全的要求外,2018年,国家卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》也规定了承载健康医疗大数据的平台必须通过等级保护(未规定级别),一般引入大数据技术的医院都是三级甲等医院,基本以三级等保为主。因此医疗机构的数据安全越发重要。
这一《办法》也被普遍认为是《网络安全法》在医疗行业内的细化。
2019年5月,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护系列国家标准。系列标准的发布对保障和促进医疗行业信息化发展,提升各医疗机构网络安全保护能力具有重要的指导意义。
2020年1月1日,我国密码领域的首部法律《密码法》正式实施,患者、医院、医疗企业等可以依法使用商业密码保护网络与信息安全。
2020年2月5日,国家卫健委下发《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》。其中特别指出“加强网络信息安全工作,以防攻击、防病毒、防篡改、防瘫痪、防泄密为重点,畅通信息收集发布渠道,保障数据规范使用,切实保护个人隐私安全,防范网络安全突发事件,为疫情防控工作提供可靠支撑。”
“信息安全是医疗数字化平台转型成功的基础。” 盛邦安全常务副总裁韩卫东认为,疫情这一突发事件,倒逼着行业加速完成医疗数字化的业务升级和实质性转变,比如结合新技术应用的自上而下的整体疾控体系的重构、医疗数字化统一平台建设的加速、互联网技术加持的智慧医疗的建成以及整个社会公共卫生管理和应急管理系统的进一步完善等。
信息安全从业者与不法黑客的对决
国内外健康医疗行业网络安全保护的缺失导致相关市场规模高速增长。据Global Market Insights的调查,2018年医疗保健网络安全市场规模为82亿美元,预计到2025年的复合年增长率为19.1%。
据相关机构数据统计,2019年中国医疗行业ICT市场规模超400亿元,安全占比约10%;今年即使在发生疫情导致各方预算紧缩的情况下,盛邦安全常务副总裁韩卫东预计,2020年的医疗行业市场规模和安全建设投入仍将有一定程度的提升。
动脉网此前文章《2019医疗信息化中标数据分析,最高中标金额近1.2亿元,三级医院需求占六成》介绍,2019年公立医疗机构全年采购情况中,信息安全项目占信息化采购项目数量中的第二位,共计459个,占比11.4%,仅次于院端信息化。
2016年,卫健委发布的《2016三级综合医院评审标准考评办法(完整版)》再次强调,三级医院重要的业务系统必须达到等级保护测评三级测评才能满足三级医院评审标准中对网络安全的要求,首次对三级医院的信息安全提出了强制要求。
到了2018年,卫健委《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定了承载健康医疗大数据的平台必须通过等级保护。由于一般引入大数据技术的医院都是三级甲等医院,因此其等级保护测评主要以三级测评为主。与此同时,《互联网医院管理办法(试行)》也规定承载互联网医院的平台必须通过等级保护测评三级测评。
《网络安全法》也强制性规定未通过等保2.0测试将违反法律。正因为此,很多尚未通过测评的二级医院纷纷在年内采购了信息安全项目以期满足新版等保测评的要求。在政策的强力推动下,还未满足新标准的医疗机构对信息安全项目的需求自然水涨船高。
动脉网分析,随着2020年全国启动二级医院绩效考核,以及新冠肺炎疫情中表现出对医疗资源的挤兑,二级医院的信息化进程可能在2020年有一个加速。
抗疫还未结束,全国经营生产活动效率的下降是必然趋势,项目招投标及后续交付都会受到影响。深信服医疗事业部副总经理钟一鸣认为,从短期经营业绩的方面来看,网络安全行业必然会产生较大影响。但数字化时代,智慧城市建设是大势所趋,智慧城市的建设会加大对IT基础设施的需求。因此,也会带动整体网络安全需求的提升。从中远期来说,整个行业还是会处于上升阶段。
美创科技解决方案总监蔡毅表示,医院信息网络安全市场规模只会越来越大。受到疫情影响,个人隐私信息和数据的保护意识会逐渐增强。疫情也加速了医疗行业的数字化转型,如互联网医院建设、医共体建设、医院的数字化转型会加快。加速了数据的互联互通和数据共享,也就是说数据流动的场景会急剧增加。随着医疗行业数字化转型提速,医院信息化投入也会加大,信息安全建设比重也会水涨船高。此外,新技术的应用,也会带来新的安全市场。
2020年3月,企业级信息安全市场专业咨询机构“安全牛”发布了“2020年中国网络安全行业全景图”。该全景图共分为16类一级安全领域(实际收录15类),100类二级细分领域(实际收录88类)。动脉网整理如下:
上述表格中的每个细分领域都不乏掘金者,技术从业者们从自身优势出发,与信息安全较劲,在数个甚至数十个安全细分领域中填补安全漏洞。基于此,动脉网整理了46家业务涉及到医疗行业网络安全解决方案的信息安全企业:
从表格可以看到,在被称为“资本寒冬”的2019年里,信息安全领域融资事件频繁发生。
安芯网盾、梆梆安全、联创科技相继完成融资,迪普科技、安恒信息也分别在创业板、科创板上市。观安在第一季度完成超1亿元B+轮融资,为这一领域开了个好头,奇安信在9月完成了15亿元的Pre-IPO融资。
2020年第一季度已过,信息安全领域企业表现亮眼。一方面,融资势头不减,天空卫士、指掌易皆拿到亿元级B+轮融资,通付盾也紧随其后,完成股权融资;另一方面,针对疫情期间,不法分子“钻”网络安全的漏洞,信息安全企业也是启动紧急驰援行动,积极提供设备、人员和技术的支持。
美创科技基于其数据安全和数据治理的能力,宣布自2月4日起,直到国家宣布疫情结束,期间免费为各行业企业提供从防勒索、数据库审计、运维一体机、数据脱敏等产品服务,以及数据库运维和服务器安全远程服务。
疫情期间,亚信安全迅速启动紧急驰援武汉行动,第一时间在武汉成立专家支持小组,展开对武汉火神山医院的网络安全保障工作。另外,亚信安全负责国家“互联网+监管”平台和国家政务服务平台统一身份认证两个项目团队,在客户现场进行技术支持和运营维护,其中国家“互联网+监管”平台承载着疫情分析的使命,在短短5天时间内紧急上线了疫情分析系统。
在此次新冠疫情期间,武汉市政府推出“武汉市长专线”,向公众提供了在线问诊、智能疫情助理等抗疫专属服务,日均专线服务次数从5000次激增至10000次以上。“武汉市长专线”部署于电信天翼云上,作为电信天翼云的重要合作伙伴,深信服携手天翼云为“武汉市长专线”业务提供了可靠、稳定的vSSL VPN服务,全力驰援抗击疫情第一线。
为了应对未知漏洞攻击,奇安信于2020年1月发布了业界首款第三代安全引擎“天狗”。3月,盛邦安全推出了WebRAY烽火台监测预警平台免费服务、网络空间测绘平台资源,以及针对医疗行业的勒索病毒安全解决方案(哨兵解决方案),助力医疗行业用户打赢“无接触”网络战“疫”。
事实上,疫情期间,伴生的网络威胁对各行各业都是一次严峻考验,信息安全领域中的每一家企业都没有置身事外,而是利用自身所长,在疫情的灰霾之下,与黑暗搏斗。
解外患,除内忧
美创科技解决方案总监蔡毅认为,随着新基建的关注度日益提高,以及数据成为继土地、劳动力、资本、技术后第五大市场生产要素,数据的独特地位和价值驱动着行业重新审视数据的安全问题。“所以,首当其冲的是安全架构,当传统的网络边界模糊消失的时候,我们需要基于新视角对安全架构做演进。”
美创科技首先定义了一个明确的保护目标即数据,从资产、入侵、风险三个视角看数据安全并做好数据安全防护。从而解决黑客攻击、勒索软件、社会工程等外患,防范由于软件开发人员、高权限人员等内部因素导致内部数据安全等内忧。
医院内部威胁主要原因可能包括,利益驱使内部员工窃取敏感数据;BYOD设备遗失导致敏感信息泄露。基于多年医疗行业服务经验,亚信安全建议医院应该从上而下进行数据管控,从数据收集到二次使用,建立严格可控的安全体系。
这一结论得到了数据的支撑。2018年,威瑞森发布的《受保护健康信息泄露报告》表明,受访医疗提供商遭遇的数据泄露中,有57.5%都是内部人导致的,只有42%是外部攻击者所为。外部攻击可用技术预防,但内部人员问题的确是防不胜防。
盛邦安全常务副总裁韩卫东表示,相对于其他行业来说,医疗行业对信息安全的关注度和重视程度仍然不够,风险意识仍然薄弱,监管力度也仍然不足,行业整体缺乏完整的安全体系建设和包括应急响应在内的一套完整、成熟的流程制度,尤其是中基层医疗机构,由于无法做到专人专职,在体系化建设和专业技术能力支撑方面存在加大的缺口。
城墙最容易攻破的地方不是外部而是内部。网络安全也是如此,深信服医疗事业部副总经理钟一鸣将内部人员的网络安全意识比喻为组织网络安全这个“木桶”中最重要的那块木板。“它的长短决定了组织的网络安全到底能够达到什么样的水平。”
因此,加强人员网络安全意识培训,落实网络安全管理制度是网络安全保护建设中容易被忽视却也是非常重要的一个环节。
感谢以下嘉宾接受采访并提供相关信息(排名不分先后):亚信安全的小伙伴、深信服医疗事业部副总经理钟一鸣、美创科技解决方案总监蔡毅、盛邦安全常务副总裁韩卫东。
本文参考资料:
2019健康医疗行业网络安全观测报告
中国信通院:《2020数字医疗:疫情防控期间网络安全风险研究报告》
经济参考报:医疗行业信息安全敲警钟,黑客攻击或致大量公民个人信息泄露
腾讯智慧安全:《医疗互联网服务敏感数据泄露风险调查报告》
虎嗅APP:医疗数据更值钱?医疗数字化面临数据泄露的隐患
安全牛:中国网络安全行业全景图(2020年3月第七版)发布
