疫情當(dāng)前��,無論是個人還是集體都投入到了一場史無前例的抗議大戰(zhàn)中���。作為抗疫前沿的醫(yī)院及相關(guān)醫(yī)療��、科研機構(gòu)在當(dāng)下不僅要同病魔做斗爭,一場與“網(wǎng)絡(luò)病魔”的戰(zhàn)斗也在悄然打響����。據(jù)相關(guān)資料顯示,專門針對醫(yī)療機構(gòu)的網(wǎng)絡(luò)攻擊情況十分嚴(yán)重��。醫(yī)療行業(yè)可能面臨來自網(wǎng)絡(luò)攻擊高風(fēng)險因素有哪些?
01.基礎(chǔ)設(shè)施復(fù)雜�����,很多已過時
很多醫(yī)療機構(gòu)依賴舊的�、遺留的系統(tǒng),同時缺乏維護(hù)這些系統(tǒng)并處理新的安全威脅的合格管理或技術(shù)人員�����。由于遠(yuǎn)程工作和疫情有關(guān)的限制,以及對醫(yī)療服務(wù)的需求不斷增長�,如今醫(yī)院的整個 IT 基礎(chǔ)架構(gòu)都承受著巨大的壓力。
02.遠(yuǎn)程醫(yī)療風(fēng)險
疫情期間或其他特殊情況下�,需要進(jìn)行遠(yuǎn)程醫(yī)療或監(jiān)控,這時就需要相應(yīng)設(shè)備��,例如 IT 設(shè)備����、通信設(shè)備 ( 例如家庭路由器 ) 、IP 攝像頭等�,這些設(shè)備需要連接到本地網(wǎng)絡(luò)。在沒有進(jìn)行適當(dāng)調(diào)查的情況下�����,這些外來設(shè)備就被引入到敏感環(huán)境����。許多設(shè)備都有默認(rèn)憑據(jù),可以作為遠(yuǎn)程網(wǎng)絡(luò)的入口點���。
03.來自第三方的風(fēng)險
醫(yī)療保健機構(gòu)要建立完善的網(wǎng)絡(luò)系統(tǒng)�����,就需要和很多第三方供應(yīng)商進(jìn)行合作��。但因為行業(yè)統(tǒng)一網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的欠缺���,使得眾多供應(yīng)商達(dá)到相同標(biāo)準(zhǔn)的難度頗高�����,供應(yīng)鏈存在巨大的隱患和風(fēng)險,這些將成為攻擊者利用的攻擊點��。
04.相關(guān)人員的操作失誤及安全意識淡薄
高強度的工作讓醫(yī)護(hù)及相關(guān)安全工作人員疲憊���,工作失誤難免����。安全意識淡薄���,沒有系統(tǒng)的網(wǎng)絡(luò)安全培訓(xùn)����、繁忙的醫(yī)療任務(wù)等���,這些因素都有可能導(dǎo)致醫(yī)療機構(gòu)遭受網(wǎng)絡(luò)攻擊的嚴(yán)重影響���。
小建議:
1. 安全意識和電子郵件安全:許多網(wǎng)絡(luò)攻擊利用了在醫(yī)療機構(gòu)工作的人員���,提高意識將減少他們下載可疑文件或點擊可疑鏈接的機會。其實安全意識是我們每位網(wǎng)友都應(yīng)該提高的�����,勿點擊不知名鏈接���。
2. 面向互聯(lián)網(wǎng)的設(shè)備:電子郵件不是唯一的攻擊媒介���,許多網(wǎng)絡(luò)攻擊利用開放端口和遠(yuǎn)程訪問協(xié)議。僅應(yīng)將必要的端口開放到互聯(lián)網(wǎng)�����。
3. 憑據(jù)盜竊:一旦進(jìn)入到受害者的設(shè)備���,攻擊者就會利用 Mimikatz 等現(xiàn)成的工具來訪問服務(wù)器并在網(wǎng)絡(luò)中傳播�。這些利用積極的密碼噴霧和其他憑據(jù)竊取技術(shù)它們利用侵略性的密碼噴灑和其他憑證竊取技術(shù)�����,設(shè)置可靠的密碼將降低攻擊成功的機會。
4. 終端安全性:終端是進(jìn)入網(wǎng)絡(luò)的關(guān)鍵渠道��,必須在所有終端和服務(wù)器上都擁有先進(jìn)的終端安全解決方案�����,以提高醫(yī)療機構(gòu)的網(wǎng)絡(luò)安全性�����。
總結(jié):
2020年12月28日���,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)三級醫(yī)院評審標(biāo)準(zhǔn)(2020年版)的通知》(國衛(wèi)醫(yī)發(fā)〔2020〕26號,以下簡稱《評審標(biāo)準(zhǔn)》)����。這是自《三級綜合醫(yī)院評審標(biāo)準(zhǔn)(2011年版)》頒布實施9年以來的第一次修訂。
從具體實施來看�,《評審標(biāo)準(zhǔn)》中明確指出要實施電子病歷的醫(yī)院,應(yīng)當(dāng)建立電子病歷的建立�����、記錄、修改�����、使用�����、存儲�、傳輸、質(zhì)控�����、安全等級保護(hù)等管理制度����。落實《網(wǎng)絡(luò)安全法》,實施國家信息安全等級保護(hù)制度����,實行信息系統(tǒng)按等級保護(hù)分級管理,保障網(wǎng)絡(luò)信息安全��,保護(hù)患者隱私。推動系統(tǒng)運行維護(hù)的規(guī)范化管理�,落實突發(fā)事件響應(yīng)機制,保證業(yè)務(wù)的連續(xù)性�����。
由此可見三級醫(yī)院的電子病歷系統(tǒng)應(yīng)開展等級保護(hù)工作�����,且三級醫(yī)院的電子病歷系統(tǒng)應(yīng)定為三級系統(tǒng)�。而不是只對醫(yī)院核心系統(tǒng)或者將多個系統(tǒng)打包合并成一個醫(yī)院信息系統(tǒng)來進(jìn)行等級保護(hù)工作。等保的初衷是對不同等級的系統(tǒng)進(jìn)行分級管理���,理清重點���,重點保護(hù),從而降低風(fēng)險����,提高安全性�。
等保測評咨詢
