随着互联网技术的快速迭代,大数据、人工智能、工业互联网技术在对行业翻天覆地式改造的同时,也带来了更大的风险。网络威胁开始向电力、交通、能源以及公卫医疗等民生领域蔓延,网络攻击开始针关键信息基础设施。新冠疫情期间,我国医疗卫生机构遭受到的网络攻击和数据窃取事件激增。我们深信只有将网络安全的“卡脖子”技术牢牢掌握在自己手中,逐步实现关键核心领域的“去IP化”,才有望满足《数据安全法》等现行法律法规对于医疗卫生行业在数据处理、安全防护等方面日趋严格的要求,在充分保障数据安全的同时,令医疗资源、健康数据高效转化,释放出应有的价值,为我国医疗卫生行业高质量发展提供重要支撑。
“健康”发展任重而道远
2019年,Greenbone研究表明,互联网上可以免费使用超过11.9亿张机密医学图像和患者信息,甚至包括美国国防部军事防御人员。2021年,美国数十家医疗机构系统瘫痪,意大利COVID-19疫苗预约的公司的IT系统遭到网络攻击而被迫关闭,世界卫生组织遭受网络攻击数量急剧增加。医疗卫生行业的自身网络“健康”状况不容乐观。
在我国,医疗健康大数据作为国家重要的基础性战略资源,涉及国家战略安全、群众生命健康安全和隐私保护安全,备受党和政府高度重视。在《民法典》《网络安全法》《数据安全法》以及《国家健康医疗大数据标准、安全和服务管理办法(试行)》等政策文件中,对医疗卫生行业发展提出要医疗发展坚持安全为本促进发展,统筹网络安全保障和数据安全保护,夯实医疗保障信息化发展的安全底线。
本文图片来源:视联战略研究院
数字时代背景下,互联网技术逐步渗透了医疗卫生行业的各个环节,令医院原有的HIS系统显得似乎跟不上时代的“步伐”。智慧医院和各类信息化平台如雨后春笋般出现,加速了医疗卫生行业从信息化向数字化的转型,让联网医疗设备、远程护理系统、安防监控系统等海量数据融合交互,打破了信息孤岛、数据孤岛,令医疗卫生机构能够打破时间和空间限制,利用大数据分析提升运营效能和精细化管理,从而提高整体的信息化水平和诊疗服务能力。
然而,新型网络攻击手段也层出不穷,导致的患者信息泄露、医疗数据贩卖、勒索病毒感染、医疗系统瘫痪等各类安全事件屡屡发生,医疗卫生行业在数字化过程中仍面临较为严峻的网络安全威胁,自身网络“健康”岌岌可危,《数据安全法》等现行法律法规被寄予重夺网络安全和发展“主动权”的厚望。然而,从技术层面来看并不是这么简单。
一方面,现有的医疗卫生机构的信息化建设缺乏顶层设计,大量办公终端、物联网终端、大型医疗器械混合在一张网络,伴随着国家医联体、医共体建设的推进,数据传输和终端接入风险激增,极大增加了网络管理难度,导致安全防御边界愈发脆弱;另一方面,伴随着《网络安全法》等法律法规的落地,医疗卫生行业合规性成为新一轮挑战,传统“被动式”的网络安全策略往往不知攻击方将在何时、何处、以何种攻击手段发起攻击,加剧了网络安全威胁的不确定性和不可见性,令进一步落实监管部门的合规治理要求无从下手。
各省份医疗健康网络风险量化的评估结果分布
本文图片来源:视联战略研究院 图片来源:中国信通院《健康医疗行业网络安全观测报告》
2019年,由中国信通院牵头编制的《健康医疗行业网络安全观测报告》对国内医疗卫生行业的15339家相关单位进行了风险评估,发现有6446家单位存在安全隐患带来的医疗健康数据泄露风险。另据中国网信杂志报道,2021年我国工业制造、政务、医疗等领域数据泄露事件频发,数据交易黑色地下产业链活动猖獗,全年公开报告的数据泄露事件同比2020年增长超15%。
医疗卫生数据令全球黑产为之狂欢
随着病历电子化、远程医疗兴起和云服务的广泛使用,原本存在于医院内网的医疗卫生数据趋于“开放”,并在医疗便捷普惠、医疗资源压力释放、医疗资源优化配置、数据信息开放共享等方面发挥了重要作用。
与此同时,多数医疗系统和软件在设计之初,欠缺了对未来互联互通时可能存在的安全问题考虑。据有关报道,一张医保卡的信息在暗网里可以卖到至少1美元,医疗信息资料的起步价则为每份5美元。黑客更可以利用医保卡和其他医疗卫生数据,从其他渠道获取驾照之类的政府证明文件,而后者在暗网上的售价大约为170美元。然而,暗网上信用卡号的售价仅有几美分。在巨额利益诱惑下,具有极高商业价值和实用价值的医疗健康数据成为黑产手中的“香饽饽”。
本文图片来源:视联战略研究院
2021年5月,爱尔兰的公共服务医疗保健系统曾遭到Conti勒索软件攻击,700GB的患者信息、合同、财务数据遭窃取,被要求支付约1.29亿元赎金。无独有偶,北京一家医疗机构的新冠病毒检测技术以及数据被黑客以4比特币的价格公开售卖,包括实验室研究成果、技术相关内容,以及检测技术源代码,甚至还有用户数据。全国政协委员肖新光也曾公开透露,抗击疫情期间,我国的卫生医疗系统、疫苗研究机构、科研院所等就曾频繁遭遇网络入侵攻击。
此外,据Bitglass的数据显示,2020年美国的医疗卫生数据泄露事件数量呈两位数倍数增长,与2019年相比,泄露事件增加了55%以上,影响了超过2640万人,医疗组织蒙受了132亿美元的损失。另据不完全统计,2021年上半年全球就至少发生了1200多起勒索软件发起的攻击事件,其中针对医疗系统的攻击增加了45%,平均赎金从2020年的40万美元提高到80万美元。
本文图片来源:视联战略研究院
未来,伴随着我国医联体、医共体建设稳步推进,医疗卫生行业数据将在重点区域和关键医疗机构不断汇聚,越来越多高敏感性、高隐私性的数据上云,没有自主可控的网络核心关键技术保障并不能令我们“高枕无忧”。守护医疗卫生行业网络安全,不仅需要有更多法律法规出台,需要压实机构主体责任,需要全民提高网络安全意识,更要以自主可控的网络安全技术构建“主动式”防御体系。
视联网技术筑牢医疗卫生行业发展根基
在我国面临的传统安全和非传统安全挑战不断增多的当下,发挥自主创新、安全可靠的网络通信技术优势,筑牢医疗卫生行业发展根基不仅是我国医疗卫生行业高质量发展的基本要求,更是建设网络强国的应有之义。
“非IP”协议是消除医疗网络安全隐患的利器。“V2V视联网”协议是由视联动力自主研发的新一代“非IP”网络通信协议,具有多项独创专利技术和完整自主知识产权,并形成了“国产协议+国密算法+可信机制”,摆脱了对于美西方IP技术体系的依赖,能够从协议层面帮助医疗卫生机构免疫常见的各类TCP/IP网络攻击、木马病毒,为业务和数据传输创造安全可信的环境。
本文图片来源:视联战略研究院
视联网实时传输远程手术超高清画面,守护网络安全
“主动式”安全防御策略是自主可控发展的关键。视联网实现了包括地址号码、域名解析、根服务器体系等在内的核心网络资源安全可控,所采用的设备、操作系统、应用软件均符合信创要求。同时,视联网技术彻底改变网络安防“后知后觉”被动应对的局面,在设计时采用了“主动式”的安全防御策略,通过“先管理、后通信”的工作机制能针对各类物联网终端和医疗设备进行身份鉴别和授权,通过建立通信白名单能够确保经过授权的医疗设备才能接入内网,确保终端设备在接入时经过严格的标识和认证,并能够准确识别非法设备入网和异常上下行流量,快速阻断违规数据传输避免其对终端通信和网络安全造成危害。
本文图片来源:视联战略研究院
医疗卫生行业的网络安全、数据安全是关乎民生的重要问题,亦是我国网络发展的重中之重。视联网技术作为网络安全领域的重大技术创新,在加密通信、数据安全传输、远程医疗等复杂业务场景均得到广泛应用,是医疗卫生行业客户在《数据安全法》等法律法规要求下强化医疗网络安全,落实数据保护工作要求,推动医疗卫生数据安全共享的不二之选。
来源:视联战略研究院公众号
作者 :张天灏