2020年,医疗卫生行业遭受网络攻击数量同比增长5倍,占据全球APT活动事件的23.7%,医疗行业网络安全建设将长期面临挑战。近日,成渝地区双城经济圈智慧医疗融合发展坛上,医疗行业的网络安全成为热议话题,安全专家表示,医疗行业的网络安全正在迎来全新挑战:漏洞问题凸显、利用疫情热点做诱饵,数据安全防不胜防……
医疗行业安全漏洞问题凸显 网络安全“急诊数据”不容乐观
“作为网络安全行业的龙头企业,奇安信安服团队在全国660起网络安全应急响应事件中,有90起发生在医疗卫生行业,仅排在所有政府部门之后,其中大部分导致系统或网络不可用以及数据丢失,危害严重。”奇安信集团卫生行业部总经理王国强透露,2019年1-12月,补天漏洞响应平台共收录全国医疗卫生行业相关网站的安全漏洞2237个,近半数是高危漏洞。
卫生健康领域网络安全漏洞层出不穷。2020年4月,世界卫生组织发表声明称遭受网络攻击数量同比增长5倍。根据补天漏洞响应平台所收录数据看到,2020年共收录医疗卫生行业漏洞共1999个,其中高危漏洞占比为47.1%。奇安信集团发布网络安全系列报告指出,2020年,医疗卫生行业成为全球APT活动关注的首要目标,全球23.7%的APT活动事件与医疗卫生行业相关。
如今,现有的医疗技术系统变得越来越复杂,医院工作人员更依赖移动设备和监控设备,联网医疗设备的数量已经超过了移动计算设备。奇安信卫生行业部熊明艳则指出,目前智慧医院数据安全建设面临分类难、识别难、追责难、监测难四大艰难现状。医疗卫生作为保障民生的支撑性行业,其网络安全往往牵一发而动全身。
国家立法监管医卫行业 网络安全合规面临新形势
从2016年至今,国家相继出台了不少医疗健康数据安全政策进行规范,包括《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《互联网医院管理办法》、《数据安全法》等法律法规。
在不久前的中国互联网大会上,据消息人士透露,全国医疗机构网络信息安全管理办法正在起草中,不久将会出台。新冠疫情爆发后,国内开始重视医疗健康数据的价值,希望通过立法、加强监管等多维度方式提升医疗健康数据的整体安全水平。
熊明艳提到,目前医院高价值数据类型已不再局限于统计方的数据,同时患者隐私信息、科研测试数据、第三方交互结算数据都将是数据保护重点。
在近几年的发展中,医疗行业的网络安全合法合规有所落实,但在网络攻击的大环境肆虐下,王国强认为医疗行业网络安全建设正在面临并仍将长期面临四个困难:
‘冗杂老乱’系统难以进行安全规划整改;新技术、新应用的智慧医院网络安全框架构建困难;体系化、责任化的安全处置流程难落地;标准建制的运营团队难搭建。
医疗网安市场需要新举措 未来五年将高速增长
医疗行业急需新举措应对网络攻击,减少行业数据安全损失。根据奇安信的经验,从医疗行业治理层开始,需要将安全工作纳入核心业务顶层规划,以系统工程的思路进行医院网络安全规划设计。同时,管理层应基于数据支撑的效果型闭环管理,建立网络安全评价体系。在执行层面,要从零散建设演进到面向业务的体系化建设,建设整体框架,提升运营成熟度,保证持续性的安全运营。
医疗行业网络安全市场规模将高速增长。工信部7月发布了“网络安全产业高质量发展三年行动计划”,计划中表示至2023年,网络安全技术创新能力需要明显提高,网络安全人才队伍将日益壮大,网络安全的产业规模应超过2500亿元,年复合增长率预计超过15%。此外,根据英国ResearchAndMarkets公司的调查报告,在2021年至2026年的预测期内,医疗行业网络安全市场将发展迅速,复合年增长率将高达15.6%。