正在閱讀:

史上最慘,損失已超50億美元,醫(yī)療行業(yè)必須做好這件事

掃一掃下載界面新聞APP

史上最慘,損失已超50億美元,醫(yī)療行業(yè)必須做好這件事

醫(yī)療史上最嚴(yán)重的網(wǎng)絡(luò)安全事故就這樣發(fā)生了。

圖片來源:界面新聞 范劍磊

文|動(dòng)脈網(wǎng)

2024年剛一開年,本就表現(xiàn)不佳的醫(yī)療行業(yè)網(wǎng)絡(luò)安全紀(jì)錄再一次被刷新——聯(lián)合健康旗下Change Healthcare所遭遇的數(shù)據(jù)勒索事件已被認(rèn)為是迄今為止美國醫(yī)療行業(yè)最嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難。

這起網(wǎng)絡(luò)安全事件的影響范圍之廣、影響程度之深,影響時(shí)間之長史上罕有,以至于美國國務(wù)院辦公廳也在3月27日公開懸賞1000萬美元,鼓勵(lì)知情者為抓捕導(dǎo)致本次事件的黑客提供信息。

這一嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難事件為何創(chuàng)造了歷史,究竟可以給我們帶來什么樣的思考和借鑒?動(dòng)脈網(wǎng)對(duì)行業(yè)專家進(jìn)行了深入了解,希望可以為行業(yè)參考。

醫(yī)療史上最大的網(wǎng)絡(luò)安全災(zāi)難

Change Healthcare成立于2006年,并于2019年上市。到2021年,Change Healthcare已成為全美最大的商業(yè)處方處理商,每年需要處理150億筆交易,大約占全美線上處方的三分之一。其支付結(jié)算網(wǎng)絡(luò)覆蓋全美約90萬名醫(yī)生、11.8萬名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實(shí)驗(yàn)室。

2021年,聯(lián)合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯(lián)合健康成立以來金額最大的收購案,一度導(dǎo)致美國司法部的反壟斷訴訟。雖然最后獲得了放行,但公眾一直質(zhì)疑此次收購的合理性。

從2024年2月21日開始,Change Healthcare的支付網(wǎng)絡(luò)遭到黑客攻擊,導(dǎo)致遍布全美的藥店及醫(yī)療機(jī)構(gòu)無法開具處方,更無法進(jìn)行保險(xiǎn)結(jié)算。出于安全考慮,美國醫(yī)院協(xié)會(huì)(AHA)建議所有使用Change Healthcare結(jié)算網(wǎng)絡(luò)的醫(yī)療機(jī)構(gòu)考慮主動(dòng)斷開結(jié)算網(wǎng)絡(luò)。至此,全美約1/3的醫(yī)療支付結(jié)算網(wǎng)絡(luò)徹底癱瘓。

一周后的2月28日,曾經(jīng)在去年對(duì)米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對(duì)本次事件負(fù)責(zé),并聲稱已竊取高達(dá)8TB的數(shù)據(jù),包括患者個(gè)人信息及企業(yè)數(shù)據(jù)。黑客組織要求聯(lián)合健康支付醫(yī)療行業(yè)創(chuàng)紀(jì)錄的2200萬美元贖金,否則將會(huì)把竊取全部公開。

聯(lián)合健康很快承認(rèn)了黑客組織的說法。隨后,據(jù)外媒報(bào)道一個(gè)與AlphV關(guān)聯(lián)的比特幣地址在3月1日的單筆交易中收到了價(jià)值2200萬美元的比特幣。盡管聯(lián)合健康拒絕承認(rèn),但諸多分析認(rèn)為,基于區(qū)塊鏈的特點(diǎn),這一交易極有可能是聯(lián)合健康支付的贖金。

結(jié)算網(wǎng)絡(luò)的中斷導(dǎo)致了大量的不便。各方都無法在線上取得處方,也無法通過保險(xiǎn)進(jìn)行結(jié)算支付?;颊咧荒茏再M(fèi)支付買藥,更不要提享受應(yīng)有的優(yōu)惠。不少醫(yī)療機(jī)構(gòu)無法得到保險(xiǎn)支付,大型醫(yī)療機(jī)構(gòu)尚且有有現(xiàn)金流支撐,社區(qū)醫(yī)生則只能動(dòng)用存款乃至借款勉強(qiáng)應(yīng)付開支。

迫于無奈,各方都采取了不少臨時(shí)措施。比如,美國衛(wèi)生與公眾服務(wù)部(HHS)要求醫(yī)保部門在結(jié)算網(wǎng)絡(luò)中斷期間取消或放寬事先授權(quán)要求,并向受攻擊影響最大的醫(yī)療機(jī)構(gòu)提供預(yù)付款。此外,部分地區(qū)管理機(jī)構(gòu)也要求接受紙質(zhì)或傳真的報(bào)銷,并延長報(bào)銷申請(qǐng)時(shí)限。

聯(lián)合健康也從3月1日起啟動(dòng)了臨時(shí)資金援助計(jì)劃,在支付結(jié)算完全恢復(fù)前為受到影響的醫(yī)生和醫(yī)療機(jī)構(gòu)提供資金補(bǔ)助,覆蓋醫(yī)生和醫(yī)療機(jī)構(gòu)同期歷史支付水平與網(wǎng)絡(luò)中斷后付款的差額。截至4月3日,聯(lián)合健康宣稱已提供了近47億美元的補(bǔ)助。

然而,這并不能覆蓋所有損失。因?yàn)闊o論何種替代方案都需要大幅改變工作流程,從而增加大量額外成本。據(jù)外媒報(bào)道,一名受影響的醫(yī)生表示,這次事件導(dǎo)致其所需額外支付的工資支出高達(dá)5萬美元;另一位醫(yī)生則估計(jì),這已導(dǎo)致10萬美元的額外成本。

根據(jù)估算,單是醫(yī)生和醫(yī)療機(jī)構(gòu)每天的損失就超過1億美元,給流動(dòng)性本就十分緊張的醫(yī)療機(jī)構(gòu)帶來了嚴(yán)重的財(cái)務(wù)挑戰(zhàn)。

美國醫(yī)院協(xié)會(huì)的統(tǒng)計(jì)顯示,94%的受訪醫(yī)院正在經(jīng)歷網(wǎng)絡(luò)攻擊的財(cái)務(wù)影響,82%的醫(yī)院表示服務(wù)中斷影響了他們的現(xiàn)金流,有三成醫(yī)院表示受影響收入達(dá)一半以上。此外,近3/4的受訪醫(yī)院表示服務(wù)中斷已經(jīng)對(duì)患者治療產(chǎn)生直接影響。

這種不滿自然而然導(dǎo)致了大量針對(duì)聯(lián)合健康的指責(zé)和訴訟。與此同時(shí),要求拆分聯(lián)合健康的言論也日益高漲。聯(lián)合健康的股價(jià)也因此受到嚴(yán)重影響,2月21日其收盤價(jià)還在521.97美元,此后一路下滑,最低曾跌至439.2美元。雖然第一季度財(cái)報(bào)公布后一度回升至501的水平,但此后又開始下跌。

在距離事發(fā)超過3周時(shí)間后,Change Healthcare的網(wǎng)絡(luò)終于陸續(xù)開始恢復(fù)。從3月15日開始,平臺(tái)的核心功能陸續(xù)恢復(fù),開始處理積壓的140億美元的報(bào)銷。但直到4月底,平臺(tái)仍未完全恢復(fù),部分功能仍處于不可用狀態(tài)。顯然,這種修復(fù)工作并沒有想象中那么容易。

另一方面,原本以為已經(jīng)完結(jié)的數(shù)據(jù)泄露事件又迎來了戲劇性的升級(jí)。一般來說,有組織的數(shù)據(jù)勒索事件會(huì)有多個(gè)組織參與,各自具有明確的分工,并按照事前約定共享贖金。但一個(gè)名為RansomHub的黑客組織在4月初聲明,AlphV已經(jīng)卷款跑路,并未向他們支付應(yīng)有的份額,要求聯(lián)合健康支付贖金。

隨后,該組織于4月中旬在暗網(wǎng)上公開展示了一些文件證明其所言不虛,其中包含電子賬單、保險(xiǎn)記錄和醫(yī)療信息在內(nèi)的患者個(gè)人信息,以及Change Healthcare與合作伙伴的合同協(xié)議。

目前,聯(lián)合健康還未回應(yīng),事態(tài)將如何發(fā)展令人關(guān)注。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀堪憂,投入不足是核心

一個(gè)顯而易見的問題是,Change Healthcare及其背后的聯(lián)合健康毫無疑問是全球醫(yī)療行業(yè)的巔峰所在,理論上其網(wǎng)絡(luò)安全防護(hù)水平即使在全行業(yè)也應(yīng)屬于頂尖水平。那么,為什么這樣的巨頭也難以防范網(wǎng)絡(luò)攻擊?

深信服安全產(chǎn)品高級(jí)專家文槿奕向動(dòng)脈網(wǎng)介紹到,本次聯(lián)合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段,非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統(tǒng)對(duì)核心數(shù)據(jù)進(jìn)行加密鎖定,使目標(biāo)無法使用數(shù)據(jù),導(dǎo)致業(yè)務(wù)停滯。其二是入侵后對(duì)目標(biāo)服務(wù)器和網(wǎng)絡(luò)進(jìn)行過飽和DDoS攻擊,使被侵入的服務(wù)器和網(wǎng)絡(luò)完全陷入癱瘓。部分案例中,黑客甚至還會(huì)對(duì)目標(biāo)高層人員及客戶進(jìn)行持續(xù)騷擾。其三,黑客在加密數(shù)據(jù)之前早已將其進(jìn)行竊取,并威脅將其進(jìn)行公開?!?/p>

“這種針對(duì)性很強(qiáng)的入侵往往準(zhǔn)備充分,部分案例準(zhǔn)備過程甚至可以年計(jì)。即使是聯(lián)合健康這樣的巨頭也是防不勝防,不支付贖金直接面臨業(yè)務(wù)停擺,即使能夠恢復(fù)業(yè)務(wù),也會(huì)因核心數(shù)據(jù)的泄密公開導(dǎo)致巨大的法律風(fēng)險(xiǎn),導(dǎo)致巨大的經(jīng)濟(jì)損失及長期品牌信譽(yù)度的喪失。因此,企業(yè)進(jìn)退兩難?!蔽拈绒缺硎?。

令人擔(dān)憂的是,醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網(wǎng)絡(luò)安全公司Emsisoft的報(bào)告顯示,2023年,美國醫(yī)療行業(yè)遭受網(wǎng)絡(luò)攻擊46次,比2022年的25次接近翻番。這些攻擊影響了多達(dá)141家醫(yī)療機(jī)構(gòu),受到影響的人群約占美國人口的三分之一。

黑客們的胃口也越來越大,要求的贖金數(shù)量迅速增加。2018年,美國醫(yī)療行業(yè)平均每次數(shù)據(jù)勒索被要求的贖金還只有5000美元,2023年這一數(shù)字已經(jīng)一舉達(dá)到150萬美元,幾年間提升了300倍!

事實(shí)上,這不過只是冰山一角,還有多得多的未被公開的網(wǎng)絡(luò)攻擊事件。

國內(nèi)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀同樣不容樂觀。近年來,坊間不時(shí)傳聞國內(nèi)醫(yī)療機(jī)構(gòu)因遭到數(shù)據(jù)勒索,不得已支付贖金。

對(duì)于國內(nèi)醫(yī)療行業(yè)面臨的巨大的網(wǎng)絡(luò)安全挑戰(zhàn),中電通商數(shù)字技術(shù)(上海)有限公司副總經(jīng)理徐輝在與動(dòng)脈網(wǎng)交流時(shí)認(rèn)為主要有幾個(gè)原因。

最為重要的原因是資金預(yù)算的不足?!翱赡芤欢€城市大三甲醫(yī)院的投入相對(duì)會(huì)充足一些,但基層乃至偏遠(yuǎn)山區(qū)的二級(jí)醫(yī)療機(jī)構(gòu)能把正常的醫(yī)療業(yè)務(wù)支撐起來就頗為吃力了。在網(wǎng)絡(luò)安全的投入上明顯得不到足夠的資金支撐?!彼硎尽?/p>

徐輝認(rèn)為,在人才分布上各地也不均衡。他提到,網(wǎng)絡(luò)安全及數(shù)據(jù)安全是新興行業(yè),相應(yīng)的專業(yè)人員奇缺,基本聚集在經(jīng)濟(jì)水平較高的一二線城市:“這些技術(shù)力量較難下沉到三四線城市,這些醫(yī)院想找安全企業(yè)咨詢和交流都不是一件容易的事?!?/p>

尤其投入不足嚴(yán)重制約了醫(yī)療機(jī)構(gòu)的安全能力。美創(chuàng)科技數(shù)據(jù)安全技術(shù)專家彭克建在與動(dòng)脈網(wǎng)的交流中就提到多數(shù)醫(yī)院投在網(wǎng)絡(luò)安全上的預(yù)算極為有限:“除了少數(shù)知名醫(yī)院具有比較好的信息化能力,多數(shù)醫(yī)院信息科人手嚴(yán)重不足。有的醫(yī)院總共就只有兩三個(gè)人,專業(yè)能力也參差不齊,維持信息化系統(tǒng)運(yùn)維就已經(jīng)頗為吃力,更不要說顧及網(wǎng)絡(luò)和數(shù)據(jù)安全?!?/p>

“醫(yī)院需要合規(guī)的要求很多,每年信息化的投入80-90%都需要花在保障業(yè)務(wù)運(yùn)營上?;ㄔ诎踩系念A(yù)算很少,基本就是必需的等保測(cè)試費(fèi)用。除此之外,想要做更多的安全保護(hù)建設(shè)和升級(jí)基本上就不太可能了。”他表示。

“舉個(gè)例子,堡壘機(jī)是必須的安全機(jī)制。正常情況下,第三方運(yùn)維人員登錄醫(yī)院服務(wù)器資源必須通過堡壘機(jī)分配獲得賬號(hào),實(shí)現(xiàn)安全可控的訪問。不過,我們發(fā)現(xiàn)不少醫(yī)院的堡壘機(jī)除了在等保測(cè)試和檢查時(shí)開啟,平時(shí)很少啟用。由于醫(yī)院信息系統(tǒng)較多,幾十個(gè)業(yè)務(wù)系統(tǒng)可能涉及不同的企業(yè)。運(yùn)維人員會(huì)覺得堡壘機(jī)的賬號(hào)分配及權(quán)限管理增加了很多工作量,加之設(shè)置的確需要一定的專業(yè)知識(shí),所以,部分醫(yī)院很少啟用堡壘機(jī)。”他補(bǔ)充道。

彭克建進(jìn)一步表示,多數(shù)醫(yī)院缺乏網(wǎng)絡(luò)和數(shù)據(jù)安全防患于未然的思維:“不少醫(yī)院是采取輪崗方式?jīng)Q定分管信息化的領(lǐng)導(dǎo),會(huì)覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后,醫(yī)院才會(huì)有所動(dòng)作。比如遭遇數(shù)據(jù)勒索,尋求解決方案并部署相應(yīng)的產(chǎn)品?!?/p>

在具體的技術(shù)細(xì)節(jié)上,文槿奕則提出了獨(dú)到的見解,認(rèn)為忽視端側(cè)防御是目前醫(yī)療行業(yè)存在的通?。骸昂芏噌t(yī)院還是傳統(tǒng)思維,希望能夠加固它們的邊界,對(duì)態(tài)勢(shì)感知、防火墻等網(wǎng)關(guān)測(cè)的安全層層加固。它們希望盡可能把網(wǎng)絡(luò)威脅擋在‘墻’外。對(duì)于網(wǎng)絡(luò)安全最后一公里的端側(cè)安全,雖然這兩年稍微有所改善,但起碼毛估不少于2/3的醫(yī)療客戶實(shí)際上是比較忽略的?!?/p>

“我見過很多客戶要么什么都不裝,要么只是裝一個(gè)最基礎(chǔ)的傳統(tǒng)殺毒軟件。傳統(tǒng)殺毒軟件基于庫及規(guī)則的簡(jiǎn)單對(duì)比來識(shí)別威脅,對(duì)于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統(tǒng)殺軟檢測(cè),還極有可能直接卸載掉殺軟,讓端側(cè)失去防護(hù),基本就等同于什么都不裝了。”

堡壘往往是從內(nèi)部被攻破,幾千年前的特洛伊木馬如此,如今的網(wǎng)絡(luò)安全依然如此。

“傳統(tǒng)的‘重網(wǎng)輕端’的防御思路已經(jīng)不可取了。這次聯(lián)合健康被入侵成功很大可能就是從端側(cè)投毒成功。企業(yè)規(guī)模越大,端側(cè)設(shè)備的數(shù)量也更龐大,更分散。要應(yīng)對(duì)這些新威脅,也需要把端點(diǎn)安全,尤其是服務(wù)器端進(jìn)行統(tǒng)一加固?!?/p>

文槿奕認(rèn)為,導(dǎo)致“重網(wǎng)輕端”思路的原因主要有三類。第一類是因?yàn)獒t(yī)院信息人員對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還停留在過往,對(duì)這類思路比較認(rèn)同。

第二類是因?yàn)獒t(yī)院規(guī)模較大,包括PC和服務(wù)器在內(nèi)的端點(diǎn)數(shù)非常多,運(yùn)維管理非常困難?!八X得這種方式還會(huì)加大日常安全運(yùn)維的難度。原來的方式下,醫(yī)生說電腦很卡,信息科派人過去看一下,或者裝個(gè)殺毒軟件就可以了。加強(qiáng)端側(cè)安全會(huì)提升對(duì)運(yùn)維的要求,搞不好會(huì)把一些業(yè)務(wù)相關(guān)的進(jìn)程直接做隔離,進(jìn)而影響業(yè)務(wù)——畢竟醫(yī)院那么多信息化系統(tǒng),質(zhì)量和來源參差不齊。這對(duì)于信息科來說反而就有點(diǎn)吃力不討好了。”

第三類則是出于成本的考慮。一方面,端點(diǎn)安全投入成本不低;另一方面,部署對(duì)于運(yùn)維來說也是一大難題。“大三甲醫(yī)院的PC和服務(wù)器等端側(cè)數(shù)量龐大。先不考慮安全方案的費(fèi)用,僅僅怎么去做一個(gè)批量的快捷部署安裝,怎么保證安裝部署之后不會(huì)影響業(yè)務(wù)都是需要考慮的。醫(yī)院的電腦可能很多年都沒有更新了,光硬件更新也是一筆不小的費(fèi)用?!?/p>

不難發(fā)現(xiàn),后兩類原因本質(zhì)上還是因?yàn)橥度氩蛔闼鶎?dǎo)致。

“大多數(shù)醫(yī)院還是只滿足國家政策強(qiáng)制要求的等保合規(guī),其實(shí)也只是要求他去裝個(gè)最基礎(chǔ)的殺毒軟件而已。滿足這樣的要求就好,只要沒有出安全事件。” 文槿奕補(bǔ)充道。

三級(jí)等保只能滿足基礎(chǔ),多管齊下方可保網(wǎng)絡(luò)安全

顯然,等保合規(guī)可能是目前醫(yī)院在安全上投資的為數(shù)不多的動(dòng)力。那它是否足以滿足網(wǎng)絡(luò)安全的需要呢?

對(duì)于醫(yī)院來說,通過等保是強(qiáng)制性要求。早在2011年12月,前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》,要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開展定級(jí)工作,并明確重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于三級(jí)。這也就是俗稱的等保1.0。

2019年5月,國家市場(chǎng)監(jiān)督總局和國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T22239-2019)》,并于 2019年12月開始實(shí)施,標(biāo)志著我國進(jìn)入等保2.0時(shí)代。相比等保1.0,等保2.0的要求更加細(xì)化,所包含的系統(tǒng)也更加廣泛。

2020年底發(fā)布的《三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)(2020年版)》則開始進(jìn)一步對(duì)安全實(shí)施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件,造成嚴(yán)重后果”將直接延期一年評(píng)審。延期期間醫(yī)院原等次取消,按照“未定等”管理。

這些規(guī)定有效地推動(dòng)了醫(yī)院對(duì)網(wǎng)絡(luò)安全的重視,尤其是三級(jí)醫(yī)院。在CHIMA《2021-2022年度中國醫(yī)院信息化狀況調(diào)查》中,調(diào)查樣本中三級(jí)醫(yī)院有86.4%的比例通過等保三級(jí)評(píng)測(cè)。

不過,三級(jí)以下醫(yī)院卻只有22.22%通過等保三級(jí)評(píng)測(cè)。平均來看,通過等保三級(jí)評(píng)測(cè)的醫(yī)院僅有63.56%。全面推動(dòng)三級(jí)等保,顯然還需要更多的時(shí)間。

此外,就目前的情況而言,多數(shù)醫(yī)院對(duì)于等保僅僅以最低限度的通過為標(biāo)準(zhǔn),違背了等級(jí)保護(hù)的初衷。這其中,僅有一個(gè)系統(tǒng)通過三級(jí)等保的醫(yī)院占比最多,達(dá)到18.66%;兩個(gè)系統(tǒng)通過三級(jí)等保的醫(yī)院占比為15.15%,緊隨其后。

當(dāng)然也有好消息——有14.11%的醫(yī)院已有5個(gè)系統(tǒng)通過三級(jí)等保,對(duì)比一年前接近翻番。

即便如此,三級(jí)等保也只是滿足了最為基本的網(wǎng)絡(luò)安全要求。彭克建對(duì)此表示:“醫(yī)院滿足三級(jí)等保做到了網(wǎng)絡(luò)安全基本要求。最近幾年數(shù)字化的進(jìn)程非???,新業(yè)務(wù)、新場(chǎng)景也很多,坦率地說,三級(jí)等保是合規(guī)基線,需要充分考慮業(yè)務(wù)場(chǎng)景帶來的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn),構(gòu)建一個(gè)多層次的安全防護(hù)?!?/p>

安恒信息數(shù)據(jù)安全產(chǎn)品總監(jiān)林鷺也表達(dá)了同樣的觀點(diǎn):“三級(jí)等??梢蕴峁┗镜陌踩芰?。從法律及合規(guī)的角度來講,三級(jí)等保對(duì)醫(yī)院也是必須的。但我覺得單單三級(jí)等保并不能保證醫(yī)院能夠應(yīng)對(duì)諸如數(shù)據(jù)勒索等新型的網(wǎng)絡(luò)攻擊?!?/p>

“等保測(cè)評(píng)其實(shí)是針對(duì)于某個(gè)組織的某個(gè)系統(tǒng)進(jìn)行等保定級(jí)。它不是對(duì)于一個(gè)醫(yī)院整體安全的等級(jí)測(cè)評(píng)。對(duì)于黑客而言,他并不需要從你等保級(jí)別最高,也就是通過三級(jí)等保的系統(tǒng)來突破。他往往是從你對(duì)外暴露最多的保護(hù)級(jí)別最低的系統(tǒng)來突破,隨后慢慢滲透到核心系統(tǒng)。這也就是我們安全里面講的一個(gè)木桶原理?!?/p>

林鷺表示,目前的三級(jí)等保已經(jīng)是在考慮實(shí)際落地和投入成本后的最優(yōu)解,要從整個(gè)組織的層面進(jìn)行規(guī)定,又或者在短期內(nèi)要求醫(yī)院所有系統(tǒng)通過并不現(xiàn)實(shí)。“畢竟每年的信息化投入是有限的。這些系統(tǒng)不僅建設(shè)和維護(hù)需要花錢,等保測(cè)評(píng)同樣也需要花錢。我們所知三級(jí)等保根據(jù)地區(qū)的不同價(jià)格不一樣,大概每年需要5-8萬元。醫(yī)院幾十個(gè)系統(tǒng)下來一年光等保測(cè)評(píng)費(fèi)用都需要百萬級(jí)別。目前來看,全面覆蓋是不太現(xiàn)實(shí)的?!?/p>

從技術(shù)上而言,加強(qiáng)網(wǎng)絡(luò)安全的措施可謂老生常談,比如定期數(shù)據(jù)備份、安全意識(shí)培訓(xùn)、及時(shí)升級(jí)補(bǔ)丁和更新管理、網(wǎng)絡(luò)分段、存取控制、重視電子郵件和網(wǎng)絡(luò)安全、端點(diǎn)保護(hù)、制定事件響應(yīng)計(jì)劃、定期安全審計(jì)、定期進(jìn)行備份測(cè)試和驗(yàn)證等。

通過實(shí)施這些緩解策略,醫(yī)院可以增強(qiáng)其抵御勒索軟件攻擊的能力,并將對(duì)其運(yùn)營和數(shù)據(jù)的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行,才是問題的關(guān)鍵。

對(duì)于如何幫助醫(yī)療行業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn),徐輝給出了幾點(diǎn)思考。他認(rèn)為,首先需要健全醫(yī)療行業(yè)領(lǐng)域的安全管理制度和流程,除了加強(qiáng)整個(gè)技術(shù)防范的措施,更要建立相關(guān)的安全管理的體系和能力。

“說到底,三分技術(shù)七分管理,健全整個(gè)安全管理制度和流程機(jī)制非常關(guān)鍵。雖然三級(jí)等保只提供基礎(chǔ)的安全能力,但它在管理上有14個(gè)方面300多項(xiàng)要求,對(duì)于醫(yī)院管理制度的建立是有很大指導(dǎo)意義的?!彼硎?。

其次,徐輝認(rèn)為涉及安全的各方,包括政府部門、行業(yè)協(xié)會(huì)、服務(wù)企業(yè)和醫(yī)療機(jī)構(gòu)都需要加強(qiáng)合作:“我們說加強(qiáng)合作,不是指單純站在各自的立場(chǎng)以單一維度去看這件事。比如,我們從事網(wǎng)絡(luò)安全和數(shù)據(jù)安全的服務(wù)企業(yè)對(duì)醫(yī)療行業(yè)的理解是不足的,需要結(jié)合場(chǎng)景實(shí)踐、法律合規(guī)和醫(yī)院管理。黑客的核心是數(shù)據(jù),數(shù)據(jù)是在不斷流動(dòng)的,動(dòng)態(tài)性很強(qiáng),很難靠單一維度理清楚,需要各方共同梳理,找到合理有效的解決方案?!?/p>

“醫(yī)療行業(yè)所擁有的高凈值數(shù)據(jù),才是數(shù)據(jù)勒索的核心目標(biāo)。所以,我國在《網(wǎng)絡(luò)安全法》以后又迅速出臺(tái)了《數(shù)據(jù)安全法》,對(duì)原有網(wǎng)絡(luò)安全無法覆蓋的部分進(jìn)行了擴(kuò)展延伸。除了現(xiàn)有的網(wǎng)絡(luò)安全三級(jí)等保,數(shù)據(jù)安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)可能會(huì)在6月出臺(tái),相信后續(xù)還會(huì)有更多的政策規(guī)范和行業(yè)標(biāo)準(zhǔn)密集發(fā)布?!彼a(bǔ)充說道。

徐輝進(jìn)一步提到,目前,數(shù)據(jù)安全的頂層設(shè)計(jì)在行業(yè)適配層面做的不夠,其基礎(chǔ)是數(shù)據(jù)的分級(jí)分類,這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同,需要非常強(qiáng)的技術(shù)和行業(yè)的適配結(jié)合。從每個(gè)醫(yī)院的角度,其對(duì)數(shù)據(jù)的使用、管理、流程都不一致。因此,需要在細(xì)節(jié)標(biāo)準(zhǔn)去更加細(xì)化。

寫在最后

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全及更進(jìn)一步的數(shù)據(jù)安全,無疑是一個(gè)巨大而長期的挑戰(zhàn),需要各方面的共同努力。動(dòng)脈網(wǎng)一直持續(xù)關(guān)注醫(yī)療行業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全,也希望本文能夠拋磚引玉,歡迎行業(yè)人士提供話題和線索。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。

評(píng)論

暫無評(píng)論哦,快來評(píng)價(jià)一下吧!

下載界面新聞

微信公眾號(hào)

微博

史上最慘,損失已超50億美元,醫(yī)療行業(yè)必須做好這件事

醫(yī)療史上最嚴(yán)重的網(wǎng)絡(luò)安全事故就這樣發(fā)生了。

圖片來源:界面新聞 范劍磊

文|動(dòng)脈網(wǎng)

2024年剛一開年,本就表現(xiàn)不佳的醫(yī)療行業(yè)網(wǎng)絡(luò)安全紀(jì)錄再一次被刷新——聯(lián)合健康旗下Change Healthcare所遭遇的數(shù)據(jù)勒索事件已被認(rèn)為是迄今為止美國醫(yī)療行業(yè)最嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難。

這起網(wǎng)絡(luò)安全事件的影響范圍之廣、影響程度之深,影響時(shí)間之長史上罕有,以至于美國國務(wù)院辦公廳也在3月27日公開懸賞1000萬美元,鼓勵(lì)知情者為抓捕導(dǎo)致本次事件的黑客提供信息。

這一嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難事件為何創(chuàng)造了歷史,究竟可以給我們帶來什么樣的思考和借鑒?動(dòng)脈網(wǎng)對(duì)行業(yè)專家進(jìn)行了深入了解,希望可以為行業(yè)參考。

醫(yī)療史上最大的網(wǎng)絡(luò)安全災(zāi)難

Change Healthcare成立于2006年,并于2019年上市。到2021年,Change Healthcare已成為全美最大的商業(yè)處方處理商,每年需要處理150億筆交易,大約占全美線上處方的三分之一。其支付結(jié)算網(wǎng)絡(luò)覆蓋全美約90萬名醫(yī)生、11.8萬名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實(shí)驗(yàn)室。

2021年,聯(lián)合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯(lián)合健康成立以來金額最大的收購案,一度導(dǎo)致美國司法部的反壟斷訴訟。雖然最后獲得了放行,但公眾一直質(zhì)疑此次收購的合理性。

從2024年2月21日開始,Change Healthcare的支付網(wǎng)絡(luò)遭到黑客攻擊,導(dǎo)致遍布全美的藥店及醫(yī)療機(jī)構(gòu)無法開具處方,更無法進(jìn)行保險(xiǎn)結(jié)算。出于安全考慮,美國醫(yī)院協(xié)會(huì)(AHA)建議所有使用Change Healthcare結(jié)算網(wǎng)絡(luò)的醫(yī)療機(jī)構(gòu)考慮主動(dòng)斷開結(jié)算網(wǎng)絡(luò)。至此,全美約1/3的醫(yī)療支付結(jié)算網(wǎng)絡(luò)徹底癱瘓。

一周后的2月28日,曾經(jīng)在去年對(duì)米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對(duì)本次事件負(fù)責(zé),并聲稱已竊取高達(dá)8TB的數(shù)據(jù),包括患者個(gè)人信息及企業(yè)數(shù)據(jù)。黑客組織要求聯(lián)合健康支付醫(yī)療行業(yè)創(chuàng)紀(jì)錄的2200萬美元贖金,否則將會(huì)把竊取全部公開。

聯(lián)合健康很快承認(rèn)了黑客組織的說法。隨后,據(jù)外媒報(bào)道一個(gè)與AlphV關(guān)聯(lián)的比特幣地址在3月1日的單筆交易中收到了價(jià)值2200萬美元的比特幣。盡管聯(lián)合健康拒絕承認(rèn),但諸多分析認(rèn)為,基于區(qū)塊鏈的特點(diǎn),這一交易極有可能是聯(lián)合健康支付的贖金。

結(jié)算網(wǎng)絡(luò)的中斷導(dǎo)致了大量的不便。各方都無法在線上取得處方,也無法通過保險(xiǎn)進(jìn)行結(jié)算支付。患者只能自費(fèi)支付買藥,更不要提享受應(yīng)有的優(yōu)惠。不少醫(yī)療機(jī)構(gòu)無法得到保險(xiǎn)支付,大型醫(yī)療機(jī)構(gòu)尚且有有現(xiàn)金流支撐,社區(qū)醫(yī)生則只能動(dòng)用存款乃至借款勉強(qiáng)應(yīng)付開支。

迫于無奈,各方都采取了不少臨時(shí)措施。比如,美國衛(wèi)生與公眾服務(wù)部(HHS)要求醫(yī)保部門在結(jié)算網(wǎng)絡(luò)中斷期間取消或放寬事先授權(quán)要求,并向受攻擊影響最大的醫(yī)療機(jī)構(gòu)提供預(yù)付款。此外,部分地區(qū)管理機(jī)構(gòu)也要求接受紙質(zhì)或傳真的報(bào)銷,并延長報(bào)銷申請(qǐng)時(shí)限。

聯(lián)合健康也從3月1日起啟動(dòng)了臨時(shí)資金援助計(jì)劃,在支付結(jié)算完全恢復(fù)前為受到影響的醫(yī)生和醫(yī)療機(jī)構(gòu)提供資金補(bǔ)助,覆蓋醫(yī)生和醫(yī)療機(jī)構(gòu)同期歷史支付水平與網(wǎng)絡(luò)中斷后付款的差額。截至4月3日,聯(lián)合健康宣稱已提供了近47億美元的補(bǔ)助。

然而,這并不能覆蓋所有損失。因?yàn)闊o論何種替代方案都需要大幅改變工作流程,從而增加大量額外成本。據(jù)外媒報(bào)道,一名受影響的醫(yī)生表示,這次事件導(dǎo)致其所需額外支付的工資支出高達(dá)5萬美元;另一位醫(yī)生則估計(jì),這已導(dǎo)致10萬美元的額外成本。

根據(jù)估算,單是醫(yī)生和醫(yī)療機(jī)構(gòu)每天的損失就超過1億美元,給流動(dòng)性本就十分緊張的醫(yī)療機(jī)構(gòu)帶來了嚴(yán)重的財(cái)務(wù)挑戰(zhàn)。

美國醫(yī)院協(xié)會(huì)的統(tǒng)計(jì)顯示,94%的受訪醫(yī)院正在經(jīng)歷網(wǎng)絡(luò)攻擊的財(cái)務(wù)影響,82%的醫(yī)院表示服務(wù)中斷影響了他們的現(xiàn)金流,有三成醫(yī)院表示受影響收入達(dá)一半以上。此外,近3/4的受訪醫(yī)院表示服務(wù)中斷已經(jīng)對(duì)患者治療產(chǎn)生直接影響。

這種不滿自然而然導(dǎo)致了大量針對(duì)聯(lián)合健康的指責(zé)和訴訟。與此同時(shí),要求拆分聯(lián)合健康的言論也日益高漲。聯(lián)合健康的股價(jià)也因此受到嚴(yán)重影響,2月21日其收盤價(jià)還在521.97美元,此后一路下滑,最低曾跌至439.2美元。雖然第一季度財(cái)報(bào)公布后一度回升至501的水平,但此后又開始下跌。

在距離事發(fā)超過3周時(shí)間后,Change Healthcare的網(wǎng)絡(luò)終于陸續(xù)開始恢復(fù)。從3月15日開始,平臺(tái)的核心功能陸續(xù)恢復(fù),開始處理積壓的140億美元的報(bào)銷。但直到4月底,平臺(tái)仍未完全恢復(fù),部分功能仍處于不可用狀態(tài)。顯然,這種修復(fù)工作并沒有想象中那么容易。

另一方面,原本以為已經(jīng)完結(jié)的數(shù)據(jù)泄露事件又迎來了戲劇性的升級(jí)。一般來說,有組織的數(shù)據(jù)勒索事件會(huì)有多個(gè)組織參與,各自具有明確的分工,并按照事前約定共享贖金。但一個(gè)名為RansomHub的黑客組織在4月初聲明,AlphV已經(jīng)卷款跑路,并未向他們支付應(yīng)有的份額,要求聯(lián)合健康支付贖金。

隨后,該組織于4月中旬在暗網(wǎng)上公開展示了一些文件證明其所言不虛,其中包含電子賬單、保險(xiǎn)記錄和醫(yī)療信息在內(nèi)的患者個(gè)人信息,以及Change Healthcare與合作伙伴的合同協(xié)議。

目前,聯(lián)合健康還未回應(yīng),事態(tài)將如何發(fā)展令人關(guān)注。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀堪憂,投入不足是核心

一個(gè)顯而易見的問題是,Change Healthcare及其背后的聯(lián)合健康毫無疑問是全球醫(yī)療行業(yè)的巔峰所在,理論上其網(wǎng)絡(luò)安全防護(hù)水平即使在全行業(yè)也應(yīng)屬于頂尖水平。那么,為什么這樣的巨頭也難以防范網(wǎng)絡(luò)攻擊?

深信服安全產(chǎn)品高級(jí)專家文槿奕向動(dòng)脈網(wǎng)介紹到,本次聯(lián)合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段,非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統(tǒng)對(duì)核心數(shù)據(jù)進(jìn)行加密鎖定,使目標(biāo)無法使用數(shù)據(jù),導(dǎo)致業(yè)務(wù)停滯。其二是入侵后對(duì)目標(biāo)服務(wù)器和網(wǎng)絡(luò)進(jìn)行過飽和DDoS攻擊,使被侵入的服務(wù)器和網(wǎng)絡(luò)完全陷入癱瘓。部分案例中,黑客甚至還會(huì)對(duì)目標(biāo)高層人員及客戶進(jìn)行持續(xù)騷擾。其三,黑客在加密數(shù)據(jù)之前早已將其進(jìn)行竊取,并威脅將其進(jìn)行公開?!?/p>

“這種針對(duì)性很強(qiáng)的入侵往往準(zhǔn)備充分,部分案例準(zhǔn)備過程甚至可以年計(jì)。即使是聯(lián)合健康這樣的巨頭也是防不勝防,不支付贖金直接面臨業(yè)務(wù)停擺,即使能夠恢復(fù)業(yè)務(wù),也會(huì)因核心數(shù)據(jù)的泄密公開導(dǎo)致巨大的法律風(fēng)險(xiǎn),導(dǎo)致巨大的經(jīng)濟(jì)損失及長期品牌信譽(yù)度的喪失。因此,企業(yè)進(jìn)退兩難。”文槿奕表示。

令人擔(dān)憂的是,醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網(wǎng)絡(luò)安全公司Emsisoft的報(bào)告顯示,2023年,美國醫(yī)療行業(yè)遭受網(wǎng)絡(luò)攻擊46次,比2022年的25次接近翻番。這些攻擊影響了多達(dá)141家醫(yī)療機(jī)構(gòu),受到影響的人群約占美國人口的三分之一。

黑客們的胃口也越來越大,要求的贖金數(shù)量迅速增加。2018年,美國醫(yī)療行業(yè)平均每次數(shù)據(jù)勒索被要求的贖金還只有5000美元,2023年這一數(shù)字已經(jīng)一舉達(dá)到150萬美元,幾年間提升了300倍!

事實(shí)上,這不過只是冰山一角,還有多得多的未被公開的網(wǎng)絡(luò)攻擊事件。

國內(nèi)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀同樣不容樂觀。近年來,坊間不時(shí)傳聞國內(nèi)醫(yī)療機(jī)構(gòu)因遭到數(shù)據(jù)勒索,不得已支付贖金。

對(duì)于國內(nèi)醫(yī)療行業(yè)面臨的巨大的網(wǎng)絡(luò)安全挑戰(zhàn),中電通商數(shù)字技術(shù)(上海)有限公司副總經(jīng)理徐輝在與動(dòng)脈網(wǎng)交流時(shí)認(rèn)為主要有幾個(gè)原因。

最為重要的原因是資金預(yù)算的不足?!翱赡芤欢€城市大三甲醫(yī)院的投入相對(duì)會(huì)充足一些,但基層乃至偏遠(yuǎn)山區(qū)的二級(jí)醫(yī)療機(jī)構(gòu)能把正常的醫(yī)療業(yè)務(wù)支撐起來就頗為吃力了。在網(wǎng)絡(luò)安全的投入上明顯得不到足夠的資金支撐。”他表示。

徐輝認(rèn)為,在人才分布上各地也不均衡。他提到,網(wǎng)絡(luò)安全及數(shù)據(jù)安全是新興行業(yè),相應(yīng)的專業(yè)人員奇缺,基本聚集在經(jīng)濟(jì)水平較高的一二線城市:“這些技術(shù)力量較難下沉到三四線城市,這些醫(yī)院想找安全企業(yè)咨詢和交流都不是一件容易的事。”

尤其投入不足嚴(yán)重制約了醫(yī)療機(jī)構(gòu)的安全能力。美創(chuàng)科技數(shù)據(jù)安全技術(shù)專家彭克建在與動(dòng)脈網(wǎng)的交流中就提到多數(shù)醫(yī)院投在網(wǎng)絡(luò)安全上的預(yù)算極為有限:“除了少數(shù)知名醫(yī)院具有比較好的信息化能力,多數(shù)醫(yī)院信息科人手嚴(yán)重不足。有的醫(yī)院總共就只有兩三個(gè)人,專業(yè)能力也參差不齊,維持信息化系統(tǒng)運(yùn)維就已經(jīng)頗為吃力,更不要說顧及網(wǎng)絡(luò)和數(shù)據(jù)安全?!?/p>

“醫(yī)院需要合規(guī)的要求很多,每年信息化的投入80-90%都需要花在保障業(yè)務(wù)運(yùn)營上?;ㄔ诎踩系念A(yù)算很少,基本就是必需的等保測(cè)試費(fèi)用。除此之外,想要做更多的安全保護(hù)建設(shè)和升級(jí)基本上就不太可能了?!彼硎尽?/p>

“舉個(gè)例子,堡壘機(jī)是必須的安全機(jī)制。正常情況下,第三方運(yùn)維人員登錄醫(yī)院服務(wù)器資源必須通過堡壘機(jī)分配獲得賬號(hào),實(shí)現(xiàn)安全可控的訪問。不過,我們發(fā)現(xiàn)不少醫(yī)院的堡壘機(jī)除了在等保測(cè)試和檢查時(shí)開啟,平時(shí)很少啟用。由于醫(yī)院信息系統(tǒng)較多,幾十個(gè)業(yè)務(wù)系統(tǒng)可能涉及不同的企業(yè)。運(yùn)維人員會(huì)覺得堡壘機(jī)的賬號(hào)分配及權(quán)限管理增加了很多工作量,加之設(shè)置的確需要一定的專業(yè)知識(shí),所以,部分醫(yī)院很少啟用堡壘機(jī)。”他補(bǔ)充道。

彭克建進(jìn)一步表示,多數(shù)醫(yī)院缺乏網(wǎng)絡(luò)和數(shù)據(jù)安全防患于未然的思維:“不少醫(yī)院是采取輪崗方式?jīng)Q定分管信息化的領(lǐng)導(dǎo),會(huì)覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后,醫(yī)院才會(huì)有所動(dòng)作。比如遭遇數(shù)據(jù)勒索,尋求解決方案并部署相應(yīng)的產(chǎn)品。”

在具體的技術(shù)細(xì)節(jié)上,文槿奕則提出了獨(dú)到的見解,認(rèn)為忽視端側(cè)防御是目前醫(yī)療行業(yè)存在的通?。骸昂芏噌t(yī)院還是傳統(tǒng)思維,希望能夠加固它們的邊界,對(duì)態(tài)勢(shì)感知、防火墻等網(wǎng)關(guān)測(cè)的安全層層加固。它們希望盡可能把網(wǎng)絡(luò)威脅擋在‘墻’外。對(duì)于網(wǎng)絡(luò)安全最后一公里的端側(cè)安全,雖然這兩年稍微有所改善,但起碼毛估不少于2/3的醫(yī)療客戶實(shí)際上是比較忽略的?!?/p>

“我見過很多客戶要么什么都不裝,要么只是裝一個(gè)最基礎(chǔ)的傳統(tǒng)殺毒軟件。傳統(tǒng)殺毒軟件基于庫及規(guī)則的簡(jiǎn)單對(duì)比來識(shí)別威脅,對(duì)于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統(tǒng)殺軟檢測(cè),還極有可能直接卸載掉殺軟,讓端側(cè)失去防護(hù),基本就等同于什么都不裝了?!?/p>

堡壘往往是從內(nèi)部被攻破,幾千年前的特洛伊木馬如此,如今的網(wǎng)絡(luò)安全依然如此。

“傳統(tǒng)的‘重網(wǎng)輕端’的防御思路已經(jīng)不可取了。這次聯(lián)合健康被入侵成功很大可能就是從端側(cè)投毒成功。企業(yè)規(guī)模越大,端側(cè)設(shè)備的數(shù)量也更龐大,更分散。要應(yīng)對(duì)這些新威脅,也需要把端點(diǎn)安全,尤其是服務(wù)器端進(jìn)行統(tǒng)一加固?!?/p>

文槿奕認(rèn)為,導(dǎo)致“重網(wǎng)輕端”思路的原因主要有三類。第一類是因?yàn)獒t(yī)院信息人員對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還停留在過往,對(duì)這類思路比較認(rèn)同。

第二類是因?yàn)獒t(yī)院規(guī)模較大,包括PC和服務(wù)器在內(nèi)的端點(diǎn)數(shù)非常多,運(yùn)維管理非常困難?!八X得這種方式還會(huì)加大日常安全運(yùn)維的難度。原來的方式下,醫(yī)生說電腦很卡,信息科派人過去看一下,或者裝個(gè)殺毒軟件就可以了。加強(qiáng)端側(cè)安全會(huì)提升對(duì)運(yùn)維的要求,搞不好會(huì)把一些業(yè)務(wù)相關(guān)的進(jìn)程直接做隔離,進(jìn)而影響業(yè)務(wù)——畢竟醫(yī)院那么多信息化系統(tǒng),質(zhì)量和來源參差不齊。這對(duì)于信息科來說反而就有點(diǎn)吃力不討好了?!?/p>

第三類則是出于成本的考慮。一方面,端點(diǎn)安全投入成本不低;另一方面,部署對(duì)于運(yùn)維來說也是一大難題?!按笕揍t(yī)院的PC和服務(wù)器等端側(cè)數(shù)量龐大。先不考慮安全方案的費(fèi)用,僅僅怎么去做一個(gè)批量的快捷部署安裝,怎么保證安裝部署之后不會(huì)影響業(yè)務(wù)都是需要考慮的。醫(yī)院的電腦可能很多年都沒有更新了,光硬件更新也是一筆不小的費(fèi)用。”

不難發(fā)現(xiàn),后兩類原因本質(zhì)上還是因?yàn)橥度氩蛔闼鶎?dǎo)致。

“大多數(shù)醫(yī)院還是只滿足國家政策強(qiáng)制要求的等保合規(guī),其實(shí)也只是要求他去裝個(gè)最基礎(chǔ)的殺毒軟件而已。滿足這樣的要求就好,只要沒有出安全事件?!?文槿奕補(bǔ)充道。

三級(jí)等保只能滿足基礎(chǔ),多管齊下方可保網(wǎng)絡(luò)安全

顯然,等保合規(guī)可能是目前醫(yī)院在安全上投資的為數(shù)不多的動(dòng)力。那它是否足以滿足網(wǎng)絡(luò)安全的需要呢?

對(duì)于醫(yī)院來說,通過等保是強(qiáng)制性要求。早在2011年12月,前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》,要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開展定級(jí)工作,并明確重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于三級(jí)。這也就是俗稱的等保1.0。

2019年5月,國家市場(chǎng)監(jiān)督總局和國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求(GB/T22239-2019)》,并于 2019年12月開始實(shí)施,標(biāo)志著我國進(jìn)入等保2.0時(shí)代。相比等保1.0,等保2.0的要求更加細(xì)化,所包含的系統(tǒng)也更加廣泛。

2020年底發(fā)布的《三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)(2020年版)》則開始進(jìn)一步對(duì)安全實(shí)施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件,造成嚴(yán)重后果”將直接延期一年評(píng)審。延期期間醫(yī)院原等次取消,按照“未定等”管理。

這些規(guī)定有效地推動(dòng)了醫(yī)院對(duì)網(wǎng)絡(luò)安全的重視,尤其是三級(jí)醫(yī)院。在CHIMA《2021-2022年度中國醫(yī)院信息化狀況調(diào)查》中,調(diào)查樣本中三級(jí)醫(yī)院有86.4%的比例通過等保三級(jí)評(píng)測(cè)。

不過,三級(jí)以下醫(yī)院卻只有22.22%通過等保三級(jí)評(píng)測(cè)。平均來看,通過等保三級(jí)評(píng)測(cè)的醫(yī)院僅有63.56%。全面推動(dòng)三級(jí)等保,顯然還需要更多的時(shí)間。

此外,就目前的情況而言,多數(shù)醫(yī)院對(duì)于等保僅僅以最低限度的通過為標(biāo)準(zhǔn),違背了等級(jí)保護(hù)的初衷。這其中,僅有一個(gè)系統(tǒng)通過三級(jí)等保的醫(yī)院占比最多,達(dá)到18.66%;兩個(gè)系統(tǒng)通過三級(jí)等保的醫(yī)院占比為15.15%,緊隨其后。

當(dāng)然也有好消息——有14.11%的醫(yī)院已有5個(gè)系統(tǒng)通過三級(jí)等保,對(duì)比一年前接近翻番。

即便如此,三級(jí)等保也只是滿足了最為基本的網(wǎng)絡(luò)安全要求。彭克建對(duì)此表示:“醫(yī)院滿足三級(jí)等保做到了網(wǎng)絡(luò)安全基本要求。最近幾年數(shù)字化的進(jìn)程非常快,新業(yè)務(wù)、新場(chǎng)景也很多,坦率地說,三級(jí)等保是合規(guī)基線,需要充分考慮業(yè)務(wù)場(chǎng)景帶來的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn),構(gòu)建一個(gè)多層次的安全防護(hù)?!?/p>

安恒信息數(shù)據(jù)安全產(chǎn)品總監(jiān)林鷺也表達(dá)了同樣的觀點(diǎn):“三級(jí)等??梢蕴峁┗镜陌踩芰?。從法律及合規(guī)的角度來講,三級(jí)等保對(duì)醫(yī)院也是必須的。但我覺得單單三級(jí)等保并不能保證醫(yī)院能夠應(yīng)對(duì)諸如數(shù)據(jù)勒索等新型的網(wǎng)絡(luò)攻擊?!?/p>

“等保測(cè)評(píng)其實(shí)是針對(duì)于某個(gè)組織的某個(gè)系統(tǒng)進(jìn)行等保定級(jí)。它不是對(duì)于一個(gè)醫(yī)院整體安全的等級(jí)測(cè)評(píng)。對(duì)于黑客而言,他并不需要從你等保級(jí)別最高,也就是通過三級(jí)等保的系統(tǒng)來突破。他往往是從你對(duì)外暴露最多的保護(hù)級(jí)別最低的系統(tǒng)來突破,隨后慢慢滲透到核心系統(tǒng)。這也就是我們安全里面講的一個(gè)木桶原理?!?/p>

林鷺表示,目前的三級(jí)等保已經(jīng)是在考慮實(shí)際落地和投入成本后的最優(yōu)解,要從整個(gè)組織的層面進(jìn)行規(guī)定,又或者在短期內(nèi)要求醫(yī)院所有系統(tǒng)通過并不現(xiàn)實(shí)?!爱吘姑磕甑男畔⒒度胧怯邢薜?。這些系統(tǒng)不僅建設(shè)和維護(hù)需要花錢,等保測(cè)評(píng)同樣也需要花錢。我們所知三級(jí)等保根據(jù)地區(qū)的不同價(jià)格不一樣,大概每年需要5-8萬元。醫(yī)院幾十個(gè)系統(tǒng)下來一年光等保測(cè)評(píng)費(fèi)用都需要百萬級(jí)別。目前來看,全面覆蓋是不太現(xiàn)實(shí)的?!?/p>

從技術(shù)上而言,加強(qiáng)網(wǎng)絡(luò)安全的措施可謂老生常談,比如定期數(shù)據(jù)備份、安全意識(shí)培訓(xùn)、及時(shí)升級(jí)補(bǔ)丁和更新管理、網(wǎng)絡(luò)分段、存取控制、重視電子郵件和網(wǎng)絡(luò)安全、端點(diǎn)保護(hù)、制定事件響應(yīng)計(jì)劃、定期安全審計(jì)、定期進(jìn)行備份測(cè)試和驗(yàn)證等。

通過實(shí)施這些緩解策略,醫(yī)院可以增強(qiáng)其抵御勒索軟件攻擊的能力,并將對(duì)其運(yùn)營和數(shù)據(jù)的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行,才是問題的關(guān)鍵。

對(duì)于如何幫助醫(yī)療行業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn),徐輝給出了幾點(diǎn)思考。他認(rèn)為,首先需要健全醫(yī)療行業(yè)領(lǐng)域的安全管理制度和流程,除了加強(qiáng)整個(gè)技術(shù)防范的措施,更要建立相關(guān)的安全管理的體系和能力。

“說到底,三分技術(shù)七分管理,健全整個(gè)安全管理制度和流程機(jī)制非常關(guān)鍵。雖然三級(jí)等保只提供基礎(chǔ)的安全能力,但它在管理上有14個(gè)方面300多項(xiàng)要求,對(duì)于醫(yī)院管理制度的建立是有很大指導(dǎo)意義的。”他表示。

其次,徐輝認(rèn)為涉及安全的各方,包括政府部門、行業(yè)協(xié)會(huì)、服務(wù)企業(yè)和醫(yī)療機(jī)構(gòu)都需要加強(qiáng)合作:“我們說加強(qiáng)合作,不是指單純站在各自的立場(chǎng)以單一維度去看這件事。比如,我們從事網(wǎng)絡(luò)安全和數(shù)據(jù)安全的服務(wù)企業(yè)對(duì)醫(yī)療行業(yè)的理解是不足的,需要結(jié)合場(chǎng)景實(shí)踐、法律合規(guī)和醫(yī)院管理。黑客的核心是數(shù)據(jù),數(shù)據(jù)是在不斷流動(dòng)的,動(dòng)態(tài)性很強(qiáng),很難靠單一維度理清楚,需要各方共同梳理,找到合理有效的解決方案。”

“醫(yī)療行業(yè)所擁有的高凈值數(shù)據(jù),才是數(shù)據(jù)勒索的核心目標(biāo)。所以,我國在《網(wǎng)絡(luò)安全法》以后又迅速出臺(tái)了《數(shù)據(jù)安全法》,對(duì)原有網(wǎng)絡(luò)安全無法覆蓋的部分進(jìn)行了擴(kuò)展延伸。除了現(xiàn)有的網(wǎng)絡(luò)安全三級(jí)等保,數(shù)據(jù)安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)可能會(huì)在6月出臺(tái),相信后續(xù)還會(huì)有更多的政策規(guī)范和行業(yè)標(biāo)準(zhǔn)密集發(fā)布?!彼a(bǔ)充說道。

徐輝進(jìn)一步提到,目前,數(shù)據(jù)安全的頂層設(shè)計(jì)在行業(yè)適配層面做的不夠,其基礎(chǔ)是數(shù)據(jù)的分級(jí)分類,這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同,需要非常強(qiáng)的技術(shù)和行業(yè)的適配結(jié)合。從每個(gè)醫(yī)院的角度,其對(duì)數(shù)據(jù)的使用、管理、流程都不一致。因此,需要在細(xì)節(jié)標(biāo)準(zhǔn)去更加細(xì)化。

寫在最后

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全及更進(jìn)一步的數(shù)據(jù)安全,無疑是一個(gè)巨大而長期的挑戰(zhàn),需要各方面的共同努力。動(dòng)脈網(wǎng)一直持續(xù)關(guān)注醫(yī)療行業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全,也希望本文能夠拋磚引玉,歡迎行業(yè)人士提供話題和線索。

本文為轉(zhuǎn)載內(nèi)容,授權(quán)事宜請(qǐng)聯(lián)系原著作權(quán)人。