大众的医疗数据被窃取贩卖,医疗诊断器械被网络不法分子控制,从而威胁病人生命安全…… 在提倡医疗物联网的同时,大多数医疗机构却存在着不可忽视的网络安全漏洞,使得医疗保健行业逐渐成为黑客攻击的热门目标。
近日,由每日经济新闻联合安恒信息发布的网络信息安全月报第四期内容中,着重分析了CVE安全漏洞对A股上市公司的影响。其中,医疗领域的网络安全威胁仍在上升。
CVE 的英文全称是“Common Vulnerabilities & Exposures”通用漏洞披露。CVE是针对广泛认同的信息安全漏洞或者已经暴露出来的弱点的通用名称。CVE安全漏洞可能导致企业因勒索病毒或网络诈骗而遭遇重大损失。
本期网络信息安全月报中,安恒信息对4112家A股上市公司进行了2021年年中CVE安全漏洞影响分析。其中,662家A股上市公司受到共183个CVE安全漏洞影响,占比16.09%。据统计,截至2021年7月,相关上市公司累计受到CVE安全漏洞影响的行业分布中,医疗保健行业占比10.99%,位列第五。而对企业影响最大的20个CVE安全漏洞中,15个漏洞为2018年到2019年提交的漏洞,这些漏洞至今仍未被修复,表明相关上市公司的安全意识与对漏洞的重视有待提高。
利用互联网应用漏洞一直是黑客达到不法目的的绝佳手段。很多企业不使用补丁包修复漏洞,他们的网站就存在着易被攻陷的风险,大量经济损失和无形资产的损失会随之而来。黑客除利用漏洞获取并出售商业秘密信息外,还可以使用更“暴力”的转化方法——勒索病毒。
据2021年上半年统计数据,在全球范围内,针对医疗行业的勒索软件攻击与往年相比仍处于上升状态,在各行业中占比达到了16.56%。政府机构、教育、科技、传媒、金融等受到的影响也较重。
8月2日,美国物联网公司Armis公布了一组统称为“PwnedPiper”的9个漏洞,涉及到远程代码执行、权限提升、内存损坏等。这些漏洞影响到了北美80%以上大型医院的气动管道系统(PTS)。这些管道连接着大型医院的不同部门,利用压缩空气传输医疗用品(比如血液、药物等)。攻击者可以利用这些网络漏洞,实现远程代码执行,获取员工的电子凭证、了解PTS的物理布局,攻击气动管道系统。攻击者可以选择加快运输来损坏医疗用品,也可以选择延迟交付手术急需的物品,进而以患者生命勒索医院。
国家卫生健康委在2018年发布的《全国医院信息化建设标准与规范(试行)》中,明确提出鼓励医院引入物联网技术,并指出可在数据采集、患者安全、资产与物资管理三个方面探索物联网应用。
然而,一旦医疗物联网出现网络安全问题,将对医院业务的连续、稳定运行造成极大威胁。同时,由于物联网中沉淀了大量、原始、极具价值的基础数据,数据安全与隐私保护等问题也需引起重视。
“物联网的安全性是相对脆弱的,而由其采集的数据又非常敏感。因此,需要体系化构建安全的医院物联网。”安恒信息副总裁林明峰认为,在医疗物联网应用的建设过程中,面临着嗅探与非法接入、系统漏洞、大范围端口开放、数据非密存储传输等安全隐患,而由于目前各物联网应用系统的安全性参差不齐、系统间过于封闭,医院无法对物联网应用进行统一的安全体系建设,安全策略也难以实施。
针对医疗物联网,安恒信息推出了“云网一体化安全物联网解决方案”。这一解决方案可以使物联网统一安全接入AP/AC,将安全能力下沉至物联网接入层;隔离网闸隔离物联网对HIS等核心业务系统的数据爬取,以及针对物联网系统的脆弱性攻击;物联网数据中心可一键接入所有物联网应用采集的数据,打破物联网烟囱,实现数据价值;提供物联网安全态势感知、数据安全体系建设等服务。
“民以健为天、健以数为判、数以物为探”三句话传达了对医疗物联网重要性的理解。实际上,在“数以物为探”之后,还应加上一句“物以安为先”。