近日,《2024年全球威胁情报报告》发布,指出2023年,全球范围内勒索软件和相关勒索事件激增了67%。这一惊人的增长不仅彰显了网络安全形势的严峻,也提醒我们数据安全已成为各行业乃至国家层面亟待解决的关键问题,由于医疗行业往往存储着大量的患者个人数据和就诊记录,数据本身具备极高的价值,因此也成为了勒索软件攻击的最主要目标。
医疗行业勒索攻击事件频发
勒索软件,以其独特的攻击模式和不断演变的技术手段,正日益成为数据安全领域的心腹大患。不同于传统的网络攻击,勒索软件更倾向于针对特定目标实施精准打击,勒索软件对医疗行业的影响可能是广泛和灾难性的。
以下是近期医疗行业重大勒索事件:
2024年3月美国联合健康集团支付勒索赎金2200万美元,大量私人医疗健康数据被窃取;
2024年4月爱沙尼亚连锁药房遭到系统破坏,泄露全国一半人口数据;
2024年4月法国戛纳医院遭到攻击,医护被迫纸上办公。
一旦遭受勒索软件攻击,遭受到的影响往往是多源的,从中断患者治疗到患者数据泄露,再到影响线上支付造成巨大财产损失,每一个潜在后果的影响都难以承受。因此,医疗机构也更有可能在遭受攻击后,快速支付赎金以恢复对其重要系统和数据的访问,就此成为了勒索软件团伙眼中的香饽饽。
医疗行业数据安全面临诸多挑战
医疗行业由于自身数据高度敏感性以及高价值性等特性,除了面对勒索攻击威胁,还有其他的安全挑战也如影随形。另一方面,随着各项行业监管政策和标准陆续发布实施,金融行业完善数据应用的安全性与合规性迫在眉睫,因此势必要加强医疗数据安全保护。
1.数据安全合规挑战
从国家层面,
以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心驱动,以《网络安全等级保护条例(征)》《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例(征)》等条例为抓手的数据安全保障体系,通过赋予数据发展和应用权利,明确数据安全保护义务,要求数据相关方落实安全责任和监管职责。分析来看,国家层面制度法规明确提出了卫生健康主管部门承担本行业、本领域数据安全监管职责。
从行业层面
《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。
2.数据资产管理挑战
数据资产的识别、分类分级、保护与全生命周期管理成为难题,尤其是在医疗行业数据量级巨大、类型多样的情况下,如何确保数据的机密性、完整性和可用性是一大挑战。目前的行业分类分级标准更多是指引性的内容,在具体落地层面没有一个权威性的标准。
3.数据分类分级风险
参与流通的医疗数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。
4.数据安全保障不全面
数据化时代,数据爆发式增长,医疗行业数据呈现特征多、分布散、关系复杂、流转快等特点,这给数据资产的梳理带来极大的难度,对这些数据的全局性、体系化安全保障更是难上加难。
构建动态安全防护体系强化医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗行业数据安全环境。
1.健全数据安全治理体系保障数据安全
通过医疗行业数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。
强化数据安全风险评估,对医疗行业数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。
2.多规管理融合加强网络安全合规
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,帮助完成医疗行业和合规整改。
3.构建安全防护体系实现安全运营
构建长期、有序、常态的运营体系,在前期做好基础安全防护,在具备基础之后,做好分类分级、数据流转,做分级管控和安全防护,实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现等安全运营。
勒索软件的肆虐不仅是一场技术较量,更是对社会经济秩序的重大考验。金融行业是产生和积累数据量最大、数据类型最丰富的领域之一。随着医疗数据作用的不断凸显,数据安全在新时代也面临新的风险与挑战。也因此,医疗行业必须要守护好数据安全。道普信息风险管控专家强调,面对日益复杂的数据安全挑战,构建动态安全防护体系,不仅是对当前困境的有效突破,更是为医疗行业的长远发展铺设坚实的基础,助力健康中国建设。