文|動(dòng)脈網(wǎng)

2024年剛一開(kāi)年，本就表現(xiàn)不佳的醫(yī)療行業(yè)網(wǎng)絡(luò)安全紀(jì)錄再一次被刷新——聯(lián)合健康旗下Change Healthcare所遭遇的數(shù)據(jù)勒索事件已被認(rèn)為是迄今為止美國(guó)醫(yī)療行業(yè)最嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難。

這起網(wǎng)絡(luò)安全事件的影響范圍之廣、影響程度之深，影響時(shí)間之長(zhǎng)史上罕有，以至于美國(guó)國(guó)務(wù)院辦公廳也在3月27日公開(kāi)懸賞1000萬(wàn)美元，鼓勵(lì)知情者為抓捕導(dǎo)致本次事件的黑客提供信息。

這一嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難事件為何創(chuàng)造了歷史，究竟可以給我們帶來(lái)什么樣的思考和借鑒？動(dòng)脈網(wǎng)對(duì)行業(yè)專家進(jìn)行了深入了解，希望可以為行業(yè)參考。

醫(yī)療史上最大的網(wǎng)絡(luò)安全災(zāi)難

Change Healthcare成立于2006年，并于2019年上市。到2021年，Change Healthcare已成為全美最大的商業(yè)處方處理商，每年需要處理150億筆交易，大約占全美線上處方的三分之一。其支付結(jié)算網(wǎng)絡(luò)覆蓋全美約90萬(wàn)名醫(yī)生、11.8萬(wàn)名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實(shí)驗(yàn)室。

2021年，聯(lián)合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯(lián)合健康成立以來(lái)金額最大的收購(gòu)案，一度導(dǎo)致美國(guó)司法部的反壟斷訴訟。雖然最后獲得了放行，但公眾一直質(zhì)疑此次收購(gòu)的合理性。

從2024年2月21日開(kāi)始，Change Healthcare的支付網(wǎng)絡(luò)遭到黑客攻擊，導(dǎo)致遍布全美的藥店及醫(yī)療機(jī)構(gòu)無(wú)法開(kāi)具處方，更無(wú)法進(jìn)行保險(xiǎn)結(jié)算。出于安全考慮，美國(guó)醫(yī)院協(xié)會(huì)（AHA）建議所有使用Change Healthcare結(jié)算網(wǎng)絡(luò)的醫(yī)療機(jī)構(gòu)考慮主動(dòng)斷開(kāi)結(jié)算網(wǎng)絡(luò)。至此，全美約1/3的醫(yī)療支付結(jié)算網(wǎng)絡(luò)徹底癱瘓。

一周后的2月28日，曾經(jīng)在去年對(duì)米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對(duì)本次事件負(fù)責(zé)，并聲稱已竊取高達(dá)8TB的數(shù)據(jù)，包括患者個(gè)人信息及企業(yè)數(shù)據(jù)。黑客組織要求聯(lián)合健康支付醫(yī)療行業(yè)創(chuàng)紀(jì)錄的2200萬(wàn)美元贖金，否則將會(huì)把竊取全部公開(kāi)。

聯(lián)合健康很快承認(rèn)了黑客組織的說(shuō)法。隨后，據(jù)外媒報(bào)道一個(gè)與AlphV關(guān)聯(lián)的比特幣地址在3月1日的單筆交易中收到了價(jià)值2200萬(wàn)美元的比特幣。盡管聯(lián)合健康拒絕承認(rèn)，但諸多分析認(rèn)為，基于區(qū)塊鏈的特點(diǎn)，這一交易極有可能是聯(lián)合健康支付的贖金。

結(jié)算網(wǎng)絡(luò)的中斷導(dǎo)致了大量的不便。各方都無(wú)法在線上取得處方，也無(wú)法通過(guò)保險(xiǎn)進(jìn)行結(jié)算支付。患者只能自費(fèi)支付買藥，更不要提享受應(yīng)有的優(yōu)惠。不少醫(yī)療機(jī)構(gòu)無(wú)法得到保險(xiǎn)支付，大型醫(yī)療機(jī)構(gòu)尚且有有現(xiàn)金流支撐，社區(qū)醫(yī)生則只能動(dòng)用存款乃至借款勉強(qiáng)應(yīng)付開(kāi)支。

迫于無(wú)奈，各方都采取了不少臨時(shí)措施。比如，美國(guó)衛(wèi)生與公眾服務(wù)部（HHS）要求醫(yī)保部門在結(jié)算網(wǎng)絡(luò)中斷期間取消或放寬事先授權(quán)要求，并向受攻擊影響最大的醫(yī)療機(jī)構(gòu)提供預(yù)付款。此外，部分地區(qū)管理機(jī)構(gòu)也要求接受紙質(zhì)或傳真的報(bào)銷，并延長(zhǎng)報(bào)銷申請(qǐng)時(shí)限。

聯(lián)合健康也從3月1日起啟動(dòng)了臨時(shí)資金援助計(jì)劃，在支付結(jié)算完全恢復(fù)前為受到影響的醫(yī)生和醫(yī)療機(jī)構(gòu)提供資金補(bǔ)助，覆蓋醫(yī)生和醫(yī)療機(jī)構(gòu)同期歷史支付水平與網(wǎng)絡(luò)中斷后付款的差額。截至4月3日，聯(lián)合健康宣稱已提供了近47億美元的補(bǔ)助。

然而，這并不能覆蓋所有損失。因?yàn)闊o(wú)論何種替代方案都需要大幅改變工作流程，從而增加大量額外成本。據(jù)外媒報(bào)道，一名受影響的醫(yī)生表示，這次事件導(dǎo)致其所需額外支付的工資支出高達(dá)5萬(wàn)美元；另一位醫(yī)生則估計(jì)，這已導(dǎo)致10萬(wàn)美元的額外成本。

根據(jù)估算，單是醫(yī)生和醫(yī)療機(jī)構(gòu)每天的損失就超過(guò)1億美元，給流動(dòng)性本就十分緊張的醫(yī)療機(jī)構(gòu)帶來(lái)了嚴(yán)重的財(cái)務(wù)挑戰(zhàn)。

美國(guó)醫(yī)院協(xié)會(huì)的統(tǒng)計(jì)顯示，94%的受訪醫(yī)院正在經(jīng)歷網(wǎng)絡(luò)攻擊的財(cái)務(wù)影響，82%的醫(yī)院表示服務(wù)中斷影響了他們的現(xiàn)金流，有三成醫(yī)院表示受影響收入達(dá)一半以上。此外，近3/4的受訪醫(yī)院表示服務(wù)中斷已經(jīng)對(duì)患者治療產(chǎn)生直接影響。

這種不滿自然而然導(dǎo)致了大量針對(duì)聯(lián)合健康的指責(zé)和訴訟。與此同時(shí)，要求拆分聯(lián)合健康的言論也日益高漲。聯(lián)合健康的股價(jià)也因此受到嚴(yán)重影響，2月21日其收盤價(jià)還在521.97美元，此后一路下滑，最低曾跌至439.2美元。雖然第一季度財(cái)報(bào)公布后一度回升至501的水平，但此后又開(kāi)始下跌。

在距離事發(fā)超過(guò)3周時(shí)間后，Change Healthcare的網(wǎng)絡(luò)終于陸續(xù)開(kāi)始恢復(fù)。從3月15日開(kāi)始，平臺(tái)的核心功能陸續(xù)恢復(fù)，開(kāi)始處理積壓的140億美元的報(bào)銷。但直到4月底，平臺(tái)仍未完全恢復(fù)，部分功能仍處于不可用狀態(tài)。顯然，這種修復(fù)工作并沒(méi)有想象中那么容易。

另一方面，原本以為已經(jīng)完結(jié)的數(shù)據(jù)泄露事件又迎來(lái)了戲劇性的升級(jí)。一般來(lái)說(shuō)，有組織的數(shù)據(jù)勒索事件會(huì)有多個(gè)組織參與，各自具有明確的分工，并按照事前約定共享贖金。但一個(gè)名為RansomHub的黑客組織在4月初聲明，AlphV已經(jīng)卷款跑路，并未向他們支付應(yīng)有的份額，要求聯(lián)合健康支付贖金。

隨后，該組織于4月中旬在暗網(wǎng)上公開(kāi)展示了一些文件證明其所言不虛，其中包含電子賬單、保險(xiǎn)記錄和醫(yī)療信息在內(nèi)的患者個(gè)人信息，以及Change Healthcare與合作伙伴的合同協(xié)議。

目前，聯(lián)合健康還未回應(yīng)，事態(tài)將如何發(fā)展令人關(guān)注。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀堪憂，投入不足是核心

一個(gè)顯而易見(jiàn)的問(wèn)題是，Change Healthcare及其背后的聯(lián)合健康毫無(wú)疑問(wèn)是全球醫(yī)療行業(yè)的巔峰所在，理論上其網(wǎng)絡(luò)安全防護(hù)水平即使在全行業(yè)也應(yīng)屬于頂尖水平。那么，為什么這樣的巨頭也難以防范網(wǎng)絡(luò)攻擊？

深信服安全產(chǎn)品高級(jí)專家文槿奕向動(dòng)脈網(wǎng)介紹到，本次聯(lián)合健康旗下Change Healthcare遇到的“三重勒索”是近年來(lái)十分流行的黑客攻擊手段，非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統(tǒng)對(duì)核心數(shù)據(jù)進(jìn)行加密鎖定，使目標(biāo)無(wú)法使用數(shù)據(jù)，導(dǎo)致業(yè)務(wù)停滯。其二是入侵后對(duì)目標(biāo)服務(wù)器和網(wǎng)絡(luò)進(jìn)行過(guò)飽和DDoS攻擊，使被侵入的服務(wù)器和網(wǎng)絡(luò)完全陷入癱瘓。部分案例中，黑客甚至還會(huì)對(duì)目標(biāo)高層人員及客戶進(jìn)行持續(xù)騷擾。其三，黑客在加密數(shù)據(jù)之前早已將其進(jìn)行竊取，并威脅將其進(jìn)行公開(kāi)。”

“這種針對(duì)性很強(qiáng)的入侵往往準(zhǔn)備充分，部分案例準(zhǔn)備過(guò)程甚至可以年計(jì)。即使是聯(lián)合健康這樣的巨頭也是防不勝防，不支付贖金直接面臨業(yè)務(wù)停擺，即使能夠恢復(fù)業(yè)務(wù)，也會(huì)因核心數(shù)據(jù)的泄密公開(kāi)導(dǎo)致巨大的法律風(fēng)險(xiǎn)，導(dǎo)致巨大的經(jīng)濟(jì)損失及長(zhǎng)期品牌信譽(yù)度的喪失。因此，企業(yè)進(jìn)退兩難?！蔽拈绒缺硎尽?/p>

令人擔(dān)憂的是，醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網(wǎng)絡(luò)安全公司Emsisoft的報(bào)告顯示，2023年，美國(guó)醫(yī)療行業(yè)遭受網(wǎng)絡(luò)攻擊46次，比2022年的25次接近翻番。這些攻擊影響了多達(dá)141家醫(yī)療機(jī)構(gòu)，受到影響的人群約占美國(guó)人口的三分之一。

黑客們的胃口也越來(lái)越大，要求的贖金數(shù)量迅速增加。2018年，美國(guó)醫(yī)療行業(yè)平均每次數(shù)據(jù)勒索被要求的贖金還只有5000美元，2023年這一數(shù)字已經(jīng)一舉達(dá)到150萬(wàn)美元，幾年間提升了300倍！

事實(shí)上，這不過(guò)只是冰山一角，還有多得多的未被公開(kāi)的網(wǎng)絡(luò)攻擊事件。

國(guó)內(nèi)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀同樣不容樂(lè)觀。近年來(lái)，坊間不時(shí)傳聞國(guó)內(nèi)醫(yī)療機(jī)構(gòu)因遭到數(shù)據(jù)勒索，不得已支付贖金。

對(duì)于國(guó)內(nèi)醫(yī)療行業(yè)面臨的巨大的網(wǎng)絡(luò)安全挑戰(zhàn)，中電通商數(shù)字技術(shù)(上海)有限公司副總經(jīng)理徐輝在與動(dòng)脈網(wǎng)交流時(shí)認(rèn)為主要有幾個(gè)原因。

最為重要的原因是資金預(yù)算的不足?！翱赡芤欢€城市大三甲醫(yī)院的投入相對(duì)會(huì)充足一些，但基層乃至偏遠(yuǎn)山區(qū)的二級(jí)醫(yī)療機(jī)構(gòu)能把正常的醫(yī)療業(yè)務(wù)支撐起來(lái)就頗為吃力了。在網(wǎng)絡(luò)安全的投入上明顯得不到足夠的資金支撐?！彼硎尽?/p>

徐輝認(rèn)為，在人才分布上各地也不均衡。他提到，網(wǎng)絡(luò)安全及數(shù)據(jù)安全是新興行業(yè)，相應(yīng)的專業(yè)人員奇缺，基本聚集在經(jīng)濟(jì)水平較高的一二線城市：“這些技術(shù)力量較難下沉到三四線城市，這些醫(yī)院想找安全企業(yè)咨詢和交流都不是一件容易的事?！?/p>

尤其投入不足嚴(yán)重制約了醫(yī)療機(jī)構(gòu)的安全能力。美創(chuàng)科技數(shù)據(jù)安全技術(shù)專家彭克建在與動(dòng)脈網(wǎng)的交流中就提到多數(shù)醫(yī)院投在網(wǎng)絡(luò)安全上的預(yù)算極為有限：“除了少數(shù)知名醫(yī)院具有比較好的信息化能力，多數(shù)醫(yī)院信息科人手嚴(yán)重不足。有的醫(yī)院總共就只有兩三個(gè)人，專業(yè)能力也參差不齊，維持信息化系統(tǒng)運(yùn)維就已經(jīng)頗為吃力，更不要說(shuō)顧及網(wǎng)絡(luò)和數(shù)據(jù)安全?！?/p>

“醫(yī)院需要合規(guī)的要求很多，每年信息化的投入80-90%都需要花在保障業(yè)務(wù)運(yùn)營(yíng)上。花在安全上的預(yù)算很少，基本就是必需的等保測(cè)試費(fèi)用。除此之外，想要做更多的安全保護(hù)建設(shè)和升級(jí)基本上就不太可能了?！彼硎?。

“舉個(gè)例子，堡壘機(jī)是必須的安全機(jī)制。正常情況下，第三方運(yùn)維人員登錄醫(yī)院服務(wù)器資源必須通過(guò)堡壘機(jī)分配獲得賬號(hào)，實(shí)現(xiàn)安全可控的訪問(wèn)。不過(guò)，我們發(fā)現(xiàn)不少醫(yī)院的堡壘機(jī)除了在等保測(cè)試和檢查時(shí)開(kāi)啟，平時(shí)很少啟用。由于醫(yī)院信息系統(tǒng)較多，幾十個(gè)業(yè)務(wù)系統(tǒng)可能涉及不同的企業(yè)。運(yùn)維人員會(huì)覺(jué)得堡壘機(jī)的賬號(hào)分配及權(quán)限管理增加了很多工作量，加之設(shè)置的確需要一定的專業(yè)知識(shí)，所以，部分醫(yī)院很少啟用堡壘機(jī)。”他補(bǔ)充道。

彭克建進(jìn)一步表示，多數(shù)醫(yī)院缺乏網(wǎng)絡(luò)和數(shù)據(jù)安全防患于未然的思維：“不少醫(yī)院是采取輪崗方式?jīng)Q定分管信息化的領(lǐng)導(dǎo)，會(huì)覺(jué)得這么多年不投入安全似乎也沒(méi)有出過(guò)什么問(wèn)題。只有真正遇到安全事故后，醫(yī)院才會(huì)有所動(dòng)作。比如遭遇數(shù)據(jù)勒索，尋求解決方案并部署相應(yīng)的產(chǎn)品?！?/p>

在具體的技術(shù)細(xì)節(jié)上，文槿奕則提出了獨(dú)到的見(jiàn)解，認(rèn)為忽視端側(cè)防御是目前醫(yī)療行業(yè)存在的通?。骸昂芏噌t(yī)院還是傳統(tǒng)思維，希望能夠加固它們的邊界，對(duì)態(tài)勢(shì)感知、防火墻等網(wǎng)關(guān)測(cè)的安全層層加固。它們希望盡可能把網(wǎng)絡(luò)威脅擋在‘墻’外。對(duì)于網(wǎng)絡(luò)安全最后一公里的端側(cè)安全，雖然這兩年稍微有所改善，但起碼毛估不少于2/3的醫(yī)療客戶實(shí)際上是比較忽略的?！?/p>

“我見(jiàn)過(guò)很多客戶要么什么都不裝，要么只是裝一個(gè)最基礎(chǔ)的傳統(tǒng)殺毒軟件。傳統(tǒng)殺毒軟件基于庫(kù)及規(guī)則的簡(jiǎn)單對(duì)比來(lái)識(shí)別威脅，對(duì)于日新月異的變種威脅力不從心。新威脅不僅容易繞過(guò)傳統(tǒng)殺軟檢測(cè)，還極有可能直接卸載掉殺軟，讓端側(cè)失去防護(hù)，基本就等同于什么都不裝了?！?/p>

堡壘往往是從內(nèi)部被攻破，幾千年前的特洛伊木馬如此，如今的網(wǎng)絡(luò)安全依然如此。

“傳統(tǒng)的‘重網(wǎng)輕端’的防御思路已經(jīng)不可取了。這次聯(lián)合健康被入侵成功很大可能就是從端側(cè)投毒成功。企業(yè)規(guī)模越大，端側(cè)設(shè)備的數(shù)量也更龐大，更分散。要應(yīng)對(duì)這些新威脅，也需要把端點(diǎn)安全，尤其是服務(wù)器端進(jìn)行統(tǒng)一加固?！?/p>

文槿奕認(rèn)為，導(dǎo)致“重網(wǎng)輕端”思路的原因主要有三類。第一類是因?yàn)獒t(yī)院信息人員對(duì)網(wǎng)絡(luò)安全的認(rèn)識(shí)還停留在過(guò)往，對(duì)這類思路比較認(rèn)同。

第二類是因?yàn)獒t(yī)院規(guī)模較大，包括PC和服務(wù)器在內(nèi)的端點(diǎn)數(shù)非常多，運(yùn)維管理非常困難。“他覺(jué)得這種方式還會(huì)加大日常安全運(yùn)維的難度。原來(lái)的方式下，醫(yī)生說(shuō)電腦很卡，信息科派人過(guò)去看一下，或者裝個(gè)殺毒軟件就可以了。加強(qiáng)端側(cè)安全會(huì)提升對(duì)運(yùn)維的要求，搞不好會(huì)把一些業(yè)務(wù)相關(guān)的進(jìn)程直接做隔離，進(jìn)而影響業(yè)務(wù)——畢竟醫(yī)院那么多信息化系統(tǒng)，質(zhì)量和來(lái)源參差不齊。這對(duì)于信息科來(lái)說(shuō)反而就有點(diǎn)吃力不討好了?！?/p>

第三類則是出于成本的考慮。一方面，端點(diǎn)安全投入成本不低；另一方面，部署對(duì)于運(yùn)維來(lái)說(shuō)也是一大難題?！按笕揍t(yī)院的PC和服務(wù)器等端側(cè)數(shù)量龐大。先不考慮安全方案的費(fèi)用，僅僅怎么去做一個(gè)批量的快捷部署安裝，怎么保證安裝部署之后不會(huì)影響業(yè)務(wù)都是需要考慮的。醫(yī)院的電腦可能很多年都沒(méi)有更新了，光硬件更新也是一筆不小的費(fèi)用?！?/p>

不難發(fā)現(xiàn)，后兩類原因本質(zhì)上還是因?yàn)橥度氩蛔闼鶎?dǎo)致。

“大多數(shù)醫(yī)院還是只滿足國(guó)家政策強(qiáng)制要求的等保合規(guī)，其實(shí)也只是要求他去裝個(gè)最基礎(chǔ)的殺毒軟件而已。滿足這樣的要求就好，只要沒(méi)有出安全事件。” 文槿奕補(bǔ)充道。

三級(jí)等保只能滿足基礎(chǔ)，多管齊下方可保網(wǎng)絡(luò)安全

顯然，等保合規(guī)可能是目前醫(yī)院在安全上投資的為數(shù)不多的動(dòng)力。那它是否足以滿足網(wǎng)絡(luò)安全的需要呢？

對(duì)于醫(yī)院來(lái)說(shuō)，通過(guò)等保是強(qiáng)制性要求。早在2011年12月，前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》，要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》開(kāi)展定級(jí)工作，并明確重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級(jí)原則上不低于三級(jí)。這也就是俗稱的等保1.0。

2019年5月，國(guó)家市場(chǎng)監(jiān)督總局和國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求（GB/T22239-2019）》，并于 2019年12月開(kāi)始實(shí)施，標(biāo)志著我國(guó)進(jìn)入等保2.0時(shí)代。相比等保1.0，等保2.0的要求更加細(xì)化，所包含的系統(tǒng)也更加廣泛。

2020年底發(fā)布的《三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)（2020年版）》則開(kāi)始進(jìn)一步對(duì)安全實(shí)施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件，造成嚴(yán)重后果”將直接延期一年評(píng)審。延期期間醫(yī)院原等次取消，按照“未定等”管理。

這些規(guī)定有效地推動(dòng)了醫(yī)院對(duì)網(wǎng)絡(luò)安全的重視，尤其是三級(jí)醫(yī)院。在CHIMA《2021-2022年度中國(guó)醫(yī)院信息化狀況調(diào)查》中，調(diào)查樣本中三級(jí)醫(yī)院有86.4%的比例通過(guò)等保三級(jí)評(píng)測(cè)。

不過(guò)，三級(jí)以下醫(yī)院卻只有22.22%通過(guò)等保三級(jí)評(píng)測(cè)。平均來(lái)看，通過(guò)等保三級(jí)評(píng)測(cè)的醫(yī)院僅有63.56%。全面推動(dòng)三級(jí)等保，顯然還需要更多的時(shí)間。

此外，就目前的情況而言，多數(shù)醫(yī)院對(duì)于等保僅僅以最低限度的通過(guò)為標(biāo)準(zhǔn)，違背了等級(jí)保護(hù)的初衷。這其中，僅有一個(gè)系統(tǒng)通過(guò)三級(jí)等保的醫(yī)院占比最多，達(dá)到18.66%；兩個(gè)系統(tǒng)通過(guò)三級(jí)等保的醫(yī)院占比為15.15%，緊隨其后。

當(dāng)然也有好消息——有14.11%的醫(yī)院已有5個(gè)系統(tǒng)通過(guò)三級(jí)等保，對(duì)比一年前接近翻番。

即便如此，三級(jí)等保也只是滿足了最為基本的網(wǎng)絡(luò)安全要求。彭克建對(duì)此表示：“醫(yī)院滿足三級(jí)等保做到了網(wǎng)絡(luò)安全基本要求。最近幾年數(shù)字化的進(jìn)程非常快，新業(yè)務(wù)、新場(chǎng)景也很多，坦率地說(shuō)，三級(jí)等保是合規(guī)基線，需要充分考慮業(yè)務(wù)場(chǎng)景帶來(lái)的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險(xiǎn)，構(gòu)建一個(gè)多層次的安全防護(hù)。”

安恒信息數(shù)據(jù)安全產(chǎn)品總監(jiān)林鷺也表達(dá)了同樣的觀點(diǎn)：“三級(jí)等?？梢蕴峁┗镜陌踩芰?。從法律及合規(guī)的角度來(lái)講，三級(jí)等保對(duì)醫(yī)院也是必須的。但我覺(jué)得單單三級(jí)等保并不能保證醫(yī)院能夠應(yīng)對(duì)諸如數(shù)據(jù)勒索等新型的網(wǎng)絡(luò)攻擊?！?/p>

“等保測(cè)評(píng)其實(shí)是針對(duì)于某個(gè)組織的某個(gè)系統(tǒng)進(jìn)行等保定級(jí)。它不是對(duì)于一個(gè)醫(yī)院整體安全的等級(jí)測(cè)評(píng)。對(duì)于黑客而言，他并不需要從你等保級(jí)別最高，也就是通過(guò)三級(jí)等保的系統(tǒng)來(lái)突破。他往往是從你對(duì)外暴露最多的保護(hù)級(jí)別最低的系統(tǒng)來(lái)突破，隨后慢慢滲透到核心系統(tǒng)。這也就是我們安全里面講的一個(gè)木桶原理?！?/p>

林鷺表示，目前的三級(jí)等保已經(jīng)是在考慮實(shí)際落地和投入成本后的最優(yōu)解，要從整個(gè)組織的層面進(jìn)行規(guī)定，又或者在短期內(nèi)要求醫(yī)院所有系統(tǒng)通過(guò)并不現(xiàn)實(shí)?！爱吘姑磕甑男畔⒒度胧怯邢薜?。這些系統(tǒng)不僅建設(shè)和維護(hù)需要花錢，等保測(cè)評(píng)同樣也需要花錢。我們所知三級(jí)等保根據(jù)地區(qū)的不同價(jià)格不一樣，大概每年需要5-8萬(wàn)元。醫(yī)院幾十個(gè)系統(tǒng)下來(lái)一年光等保測(cè)評(píng)費(fèi)用都需要百萬(wàn)級(jí)別。目前來(lái)看，全面覆蓋是不太現(xiàn)實(shí)的?！?/p>

從技術(shù)上而言，加強(qiáng)網(wǎng)絡(luò)安全的措施可謂老生常談，比如定期數(shù)據(jù)備份、安全意識(shí)培訓(xùn)、及時(shí)升級(jí)補(bǔ)丁和更新管理、網(wǎng)絡(luò)分段、存取控制、重視電子郵件和網(wǎng)絡(luò)安全、端點(diǎn)保護(hù)、制定事件響應(yīng)計(jì)劃、定期安全審計(jì)、定期進(jìn)行備份測(cè)試和驗(yàn)證等。

通過(guò)實(shí)施這些緩解策略，醫(yī)院可以增強(qiáng)其抵御勒索軟件攻擊的能力，并將對(duì)其運(yùn)營(yíng)和數(shù)據(jù)的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行，才是問(wèn)題的關(guān)鍵。

對(duì)于如何幫助醫(yī)療行業(yè)應(yīng)對(duì)網(wǎng)絡(luò)安全的挑戰(zhàn)，徐輝給出了幾點(diǎn)思考。他認(rèn)為，首先需要健全醫(yī)療行業(yè)領(lǐng)域的安全管理制度和流程，除了加強(qiáng)整個(gè)技術(shù)防范的措施，更要建立相關(guān)的安全管理的體系和能力。

“說(shuō)到底，三分技術(shù)七分管理，健全整個(gè)安全管理制度和流程機(jī)制非常關(guān)鍵。雖然三級(jí)等保只提供基礎(chǔ)的安全能力，但它在管理上有14個(gè)方面300多項(xiàng)要求，對(duì)于醫(yī)院管理制度的建立是有很大指導(dǎo)意義的?！彼硎?。

其次，徐輝認(rèn)為涉及安全的各方，包括政府部門、行業(yè)協(xié)會(huì)、服務(wù)企業(yè)和醫(yī)療機(jī)構(gòu)都需要加強(qiáng)合作：“我們說(shuō)加強(qiáng)合作，不是指單純站在各自的立場(chǎng)以單一維度去看這件事。比如，我們從事網(wǎng)絡(luò)安全和數(shù)據(jù)安全的服務(wù)企業(yè)對(duì)醫(yī)療行業(yè)的理解是不足的，需要結(jié)合場(chǎng)景實(shí)踐、法律合規(guī)和醫(yī)院管理。黑客的核心是數(shù)據(jù)，數(shù)據(jù)是在不斷流動(dòng)的，動(dòng)態(tài)性很強(qiáng)，很難靠單一維度理清楚，需要各方共同梳理，找到合理有效的解決方案?！?/p>

“醫(yī)療行業(yè)所擁有的高凈值數(shù)據(jù)，才是數(shù)據(jù)勒索的核心目標(biāo)。所以，我國(guó)在《網(wǎng)絡(luò)安全法》以后又迅速出臺(tái)了《數(shù)據(jù)安全法》，對(duì)原有網(wǎng)絡(luò)安全無(wú)法覆蓋的部分進(jìn)行了擴(kuò)展延伸。除了現(xiàn)有的網(wǎng)絡(luò)安全三級(jí)等保，數(shù)據(jù)安全等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)可能會(huì)在6月出臺(tái)，相信后續(xù)還會(huì)有更多的政策規(guī)范和行業(yè)標(biāo)準(zhǔn)密集發(fā)布。”他補(bǔ)充說(shuō)道。

徐輝進(jìn)一步提到，目前，數(shù)據(jù)安全的頂層設(shè)計(jì)在行業(yè)適配層面做的不夠，其基礎(chǔ)是數(shù)據(jù)的分級(jí)分類，這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同，需要非常強(qiáng)的技術(shù)和行業(yè)的適配結(jié)合。從每個(gè)醫(yī)院的角度，其對(duì)數(shù)據(jù)的使用、管理、流程都不一致。因此，需要在細(xì)節(jié)標(biāo)準(zhǔn)去更加細(xì)化。

寫在最后

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全及更進(jìn)一步的數(shù)據(jù)安全，無(wú)疑是一個(gè)巨大而長(zhǎng)期的挑戰(zhàn)，需要各方面的共同努力。動(dòng)脈網(wǎng)一直持續(xù)關(guān)注醫(yī)療行業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，也希望本文能夠拋磚引玉，歡迎行業(yè)人士提供話題和線索。