醫療行業網絡安全分析及措施

復旦大學附屬腫瘤醫院 王駿杰

一、國內外醫療行業近年網絡安全事件

在國際上，發生了多起因網絡安全導致的重大危害事件，甚至造成了政府部門的倒臺。比如，2007年4月至5月間，愛沙尼亞遭受全國性網絡攻擊，大量網站被迫關閉。2010年伊朗核設施遭受“震網”病毒攻擊，導致1000多臺離心機癱瘓，無法工作。“震網”病毒攻擊癱瘓物理設施，這個病毒使用了4個0day漏洞組成，并且能自動判斷設備的型號來發起攻擊，引起世界的震動。2015年12月23日，烏克蘭電力基礎設施遭受到惡意代碼攻擊，導致大面積地區數小時的停電事故，造成嚴重社會的嚴重恐慌。2018年，在西班牙“Denis.K”團伙通過釣魚郵件控制ATM設備，造成40多個國家的銀行總計10億美元的損失。這些具備信息戰水平的網絡安全攻擊，所帶來的慘痛教訓以及所反映的共同問題，就是網絡安全防護工作沒有跟上信息化的腳步，使得國家政權、基礎設施、社會生活和大量資產面臨極大的安全風險。

在醫療行業同樣如此，隨著新冠疫情在全球蔓延，針對醫療行業的各類網絡安全攻擊事件愈演愈烈。不同于其他關鍵信息基礎設施行業，醫療衛生系統更關系到人們的生命安全。醫療行業的特殊性質也使得它們成為攻擊者關注的重點，以此獲得更豐厚的回報。一篇Verizon發布的網絡安全報告顯示，在全世界范圍內，醫療行業是內部威脅高于外部威脅的一個行業，內部從業人員對醫療數據的泄露達到了驚人的程度。

該報告稱內部人員泄露信息的原因主要有三個：一是受經濟利益驅使；二是處于好奇而窺視名人的隱私信息；三是因為這些信息觸手可及。除了“內鬼”，黑客攻擊是醫療信息另一個安全隱患。眼保健集團Luxottica受到了黑客入侵，4天時間竊取了多達829萬名患者的處方、健康保險詳細信息、預約日期和時間、信用卡信息。而且我國也同樣如此。廣東、重慶多家三甲醫院服務器被黑客入侵，攻擊者暴力破解醫院服務器的遠程登錄服務，之后利用有道筆記的分享文件功能下載多種挖礦木馬。攻擊者將挖礦木馬偽裝成遠程協助工具Teamviewer運行，攻擊者的挖礦木馬會檢測多達50個常用挖礦程序的進程，將這些程序結束進程后獨占服務器資源挖礦。該挖礦木馬還會通過修改注冊表，破壞操作系統安全功能：禁用UAC（用戶賬戶控制）、禁用Windows Defender，關閉運行危險程序時的打開警告等等。據有關機構統計分析，我國醫療機構開放遠程登錄服務的比例高達50%，這意味著有一半的服務器可能遭遇相同的攻擊。

而勒索軟件，醫療行業也是其重災區。醫院和一些醫療機構的重要性成為其“脆弱”的主要原因。一旦醫院受到攻擊，短暫的系統停擺都會造成重大的災難，關乎患者的性命，正因為如此，醫院一直是勒索軟件的主要攻擊目標之一，因為他們不敢不支付贖金。此外，隨著物聯網滲透到醫療領域的各個層面，暴露在聯網設備上的數據也為惡意分子發起攻擊提供了更多的可能，而醫療數據價值高、勒索金額巨大也吸引著惡意分子。據了解，從2018年開始，我國醫療體系遭受攻擊的頻率就呈明顯上升趨勢。國內曾出現過多起醫院遭遇勒索病毒的事件，攻擊者入侵醫院信息系統，導致部分文件和應用被病毒加密破壞，影響醫院正常運行，患者無法正常接受治療。目前，在新冠病毒感染患者的確認、治療關鍵時期，一旦勒索病毒入侵醫院，發生干擾CT掃描、竊聽診療信息或劫持系統的情況，可能造成難以挽回的傷害。

挖礦木馬，這是一類利用漏洞入侵計算機，并植入挖礦軟件以挖掘加密數字貨幣的木馬。2018年7月，騰訊御見威脅情報中心監測到多家醫院服務器被黑客入侵，攻擊者暴力破解醫院服務器的遠程登錄服務，之后利用云分享文件功能下載多種挖礦木馬，挖山寨加密幣。從而導致醫院業務系統性能變差、速度變慢，因而錯過患者的黃金診療時間。醫院的“業務”是什么?救死扶傷。而挖礦木馬的運行不僅會導致計算機CPU占用明顯增加、系統卡頓，甚至會使業務服務無法正常使用。另一方面，挖礦木馬為了不被清除，還會通過防火墻配置、修改計劃任務等方式進行安全對抗，再次影響業務的開展。在《2019健康醫療行業網絡安全觀測報告》中，被觀測的15339家醫療健康相關單位中近400家單位已經存在挖礦木馬。其中，此次疫情重災區湖北省，在報告中“醫療行業網絡安全現狀”的風險級別為“較大風險”，即威脅種類較多、攻擊頻率較高，存在較多安全隱患。報告還對各省單位存在僵木蠕等惡意程序的占比情況進行了對比分析，湖北省同樣處在占比最高的序列。

對醫療行業的網絡安全隱憂，并不是無稽之談。在挖礦木馬消耗計算機資源、醫療設備資源的背景下，甚至并不排除這類網絡攻擊引發延誤診療的可能。

二、醫療行業網絡現狀分析

（1）目前“互聯網+醫療”、大數據、移動化、平臺化以及云計算等新業務的發展，打破傳統的防護體系，更多的醫療系統漏洞暴露于公眾視野下。床頭卡、監護儀、輸液泵、攝像頭等物聯網新客戶端也進入醫院的網絡系統。

（2）醫院信息工作繁重，網絡安全專業人才少，整體網絡安全意識不強。工作龐雜，單個信息中心難以推動網絡安全的發展，并且跨部門協調流程多，效率較低，以及團隊之間職責分工不明確。

（3）供應商數量眾多且安全意識薄弱，為醫院帶來潛在風險。一家醫院內除了醫護人員、行政人員，會有保安、保潔或者第三方供應商駐場人員，人員構成復雜以及流動性大。

（4）醫院的預警、感知、溯源、風險識別、漏洞管理等能力較為薄弱；設備和軟件安全的第一道防線是身份鑒別，黑客攻擊系統的一般方法首先是猜測或爆破登錄口令然后再進行其他破壞操作。身份鑒別是設備和軟件安全的重要模塊，使用復雜密碼，可以有效阻止三分之一以上的網絡攻擊行為；互聯網邊界防護策略過于寬松，邊界完整性破壞，導致高危系統錯誤暴露；應用系統缺陷，對外發布的系統存在缺陷，易被攻破；內部網絡隔離失效，導致攻擊者可以間接攻擊高價值資產；內部安全意識淡薄，被有心人有機可乘，非授權獲取數據；內部管控策略失效，越權竊取數據，蓄意泄露。

三、措施及建議

（1）建立新的網絡安全防護體系，核心資產具備“縱橫”防御體系；梳理業務流量，保證所有流量都在防御體系的監控范圍內；設備防御能力合理搭配，防御能力覆蓋前面（應用、網絡、主機）；設備特點相互補充，進行冗余部署；盡量實現自動化封禁；應急響應流程明確。

（2）高層領導重視是前提條件，跨部門團結合作是必備條件，組織攻防項目組，覆蓋測試、開發、應用、運維多個部門。增強醫務工作者網絡安全意識，定期開展網絡安全培訓，養成良好的安全習慣。

（3）加強供應商及第三方駐場人員管理：配備專用運維計算機，供廠商用于日常信息系統開發、運維工作；專用運維計算機按照“最小化”安裝原則進行軟硬件適配；通過技術措施，禁用相關接口，達到“數據可以使用，但無法帶走”的目的；通過部署堡壘機等技術手段，對所有運維操作保留記錄；通過準入控制設備、IP/MAC綁定等措施禁止個人/供應商電腦接入本單位網絡；運維人員進出機房等重點區域必須登記；專人定期檢查已經結束運維服務的運維人員的訪問權限回收情況。

相關鏈接

由于基礎設施建（僅表示信息化基礎）設不到位，中國的醫療信息化建設主要集中在大城市的大醫院（中國有1300家左右的三甲醫院，醫療信息化大多集中于此），在中小城市、特別是縣、鄉鎮醫院除了辦公自動化之外，對信息化建設是有心無力，而本次醫改的一個重要特點，就是將加強基層醫療，擴大基本醫療保障覆蓋面，醫療信息化在這方面發揮著重要作用，本次醫改使得醫療信息化的主體從此前的單個的醫院轉向了片區整合。

更多人首選社區醫院、鄉鎮衛生院和診所就診。

共同體一般會建設一個共同體協管中心，共同體協管中心是醫院、社區醫院、衛生院和診所的信息聚集點，使患者就診信息的雙向傳遞成為可能。

共同體的建設提升了社區醫院、鄉鎮衛生院和診所的服務水平，能夠有名醫會診，可以雙向轉診，大大降低了患者就醫的風險，越來越多的患者開始了首診就醫在社區，中小醫院、鄉鎮衛生院或診所。

共同體協管中心是整個共同體的信息聚集點和協調部門，共同體的建設處于試點階段，尚未全面實行。