近日,山西原平市第一人民醫院被市公安局網安大隊處以行政警告處罰。
原因是這樣,網安大隊在工作中發現該醫院的門戶網站存在安全漏洞,後來調查發現,醫院網絡安全意識淡薄,未履行網絡安全等級保護制度,未採取防範計算機病毒和網絡攻擊等危害網絡安全行為的技術措施,嚴重影響了醫院網站的信息安全。
因此,市公安局網安大隊根據《網絡安全法》第二十一條、五十九條規定,決定對該醫院處以行政警告處罰,並責令其限期整改。
目前,個人醫療健康數據主要集中於醫院等醫療機構,因而醫院網絡安全的保護、建設至關重要。但近期,不少地方醫院因安全意識淡薄,未能履行網絡安全等級保護制度,使得醫院業務長期在網際網路上處於「裸奔」狀態,更有甚者因此導致伺服器被攻擊,業務停擺,最終被當地公安部門行政警告並處罰。
醫療數據安全為何這麼重要?清華大學軟體學院副教授金濤曾強調,健康醫療數據不僅涉及到個人層面,也涉及到公共利益,甚至是國家安全。比如,一個人患上流行病、傳染病,其個人數據可能涉及整個治療方案的優化改進,對整個社會大眾都有福祉;基因數據則可能關乎國家安全。
為此,筆者梳理了跟醫院網絡安全相關的案例和政策要求,供大家參考。
近年來醫院網絡安全事故案例
1
湖北丹江口市某醫院被要求網站斷網整改
近日,湖北丹江口市公安局網安大隊查處一起網站未履行網絡安全保護義務案件,並依法對涉案單位予以行政處罰,並責令該公司技術部門立即進行整改。
4月19日,民警接上級公安機關線索通報,轄區某醫院門戶網站存在資料庫高危漏洞。接到線索後,網安大隊組織警力,聯合技術人員到該醫院進行網絡安全檢查。經查,該醫院網絡安全部門對門戶網站資料庫敏感字符未屏蔽、對已知漏洞未及時修補,導致資料庫注入檢測時提示錯誤信息,存在極大網絡安全隱患。民警立即要求該醫院將網站臨時關閉,斷網整改,並函告整改情況。
2
忻州市和美婦產醫院被處行政警告處罰
2019年12月,忻州市公安局在工作中發現,和美婦產醫院門戶網站存在安全漏洞,市公安局直屬分局網安大隊立即前往該醫院調查取證。
經調查發現,該醫院未履行網絡安全等級保護制度,網絡安全意識淡薄,未確定網絡安全責任人,未制定網絡安全應急事件預案,未採取防範計算機病毒和網絡攻擊、網絡侵入等危害網絡安全行為的技術措施,嚴重影響網站信息安全,同時該網站未辦理等級保護備案手續。
2020年3月,忻州市網安大隊根據《網絡安全法》第二十一條、五十九條之規定,決定對忻州市和美婦產醫院處以行政警告處罰,並責令其限期整改。
3
永川某私立醫院業務在網際網路上長期「裸奔」
2019年5月,重慶永川某私立醫院伺服器突然陷入癱瘓,醫院業務全面「停擺」。重慶永川公安組織網安刑偵、勘驗、管理民警和技術支持專家趕赴現場對該案件進行調查核實。
經過民警和技術專家調查核實,該私立醫院因未按照網絡安全等級保護制度的要求履行安全保護義務。醫院未安裝邊界防護設備、未安裝日誌行為審計設備,未設置數據安全備份策略等其他網絡安全技術措施,使醫院業務在網際網路上長期處於「裸奔」狀態。黑客通過網際網路攻破醫院系統後植入勒索病毒,導致醫院業務全面「停擺」。
針對此案,永川公安按照公安部「一案雙查」工作要求和《中華人民共和國網絡安全法》第五十九條之規定,對醫院處以罰款一萬元,對直接負責的主管人員處以罰款五千元的行政處罰。
4
湘陰縣婦幼保健院被處5萬元的罰款單
2019年4月26日,湘陰縣公安局網監大隊民警對湘陰縣婦幼保健院進行網際網路安全監督檢査時,發現該院網絡運行存在未部署入侵防護系統、防火牆及日誌審計系統等問題,其行為已構成「不履行網絡安全保護義務」的違法行為。湘陰公安依法決定對縣婦幼保健院警告,並於2019年4月28日向該院發出責令限期整改通知書,但該院一直未按規定進行整改。
因未履行網絡安全保護義務,2019年10月25日,湘陰縣婦幼保健院醫院網絡信息系統遭到黑客勒索病毒攻擊,致使該醫院核心業務信息系統2019年所有數據和備份文件全部清除,並通過內網感染到醫院辦公終端,造成醫院辦公終端無法使用時間長達3天。
根據《中華人民共和國網絡安全法》第二十ー條、第二十五條、第五十九條之規定,湘陰縣公安局網監大隊決定對湘陰縣婦幼保健院罰款50000元整並責令該單位限期整改。
5
河南安陽市某醫院被罰款五萬元
2019年1月,河南安陽市某醫院因未履行網絡安全保護義務,造成業務系統被攻擊破壞,正常工作無法開展。
當地公安對網絡攻擊行為開展立案偵查的同時,依據《網絡安全法》第五十九條之規定,對醫院處以罰款五萬元、直接負責人罰款五千元的行政處罰。
值得注意的是,以上這些網絡安全事故在醫療行業絕不僅僅是個例,僅僅是2019年以及2020年上半年中被報導的幾個典型案例。希望通過這些案例能夠引起醫療機構的警惕,進而對自家網絡安全狀況進行摸查評估,從而整改和排除潛在的安全漏洞和風險。
信息安全保護等級分為五級
自2017年《中華人民共和國網絡安全法》實施以後,網絡信息系統運營者落實網絡安全等級保護制度成為法律硬性要求。正如上文所說,公安部門對醫院網絡安全事故處罰的依據也是這部法律。所以,醫療機構再也不能忽視網絡安全的建設和保護,一旦出問題,輕則數據洩露、重則系統癱瘓,最後還將面臨監管部門嚴厲的行政處罰。
信息安全等級保護是指,對國家秘密信息、法人和其他組織及公民的專有信息以及公開信息和存儲、傳輸、處理這些信息的信息系統分等級實行安全保護,對信息系統中使用的信息安全產品實行按 等級管理,對信息系統中發生的信息安全事件分等級響應、處置。
信息安全等級保護工作包括定級、備案、安全建設和整改、信息安全等級測評、信息安全檢查五個階段。
同時,按照信息和信息系統在國家安全、經濟建設、社會生活中的重要程度等標準,信息和信息系統的安全保護等級共分五級:
醫院應如何進行信息安全建設
早在1994年,國務院就發布了《中華人民共和國計算機信息系統安全保護條例》。條例對計算機信息系統安全保護的內容、主管監督單位的職責、運營和使用單位的職責、法律責任等作出規定。
隨後,公安部、衛健委等部門相繼發布系列信息安全保護的政策文件。健康界也梳理了這些政策文件中指導(醫院)信息系統的運營者進行信息安全建設的規範和要求。
1. 《全國醫院信息化建設標準與規範(試行)》
針對目前醫院信息化建設現狀,著眼未來 5-10年全國醫院信息化應用發展要求,從軟硬體建設、安全保障、新興技術應用等方面規範了二級、三級乙等和三級甲等醫院信息化建設的具體內容和要求。
其中,《建設標準》也對醫院的數據中心安全、身份認證系統、網絡安全管理等提出了具體規範要求,如下所示。
(1)數據中心安全
(2)身份認證系統
(3)網絡安全管理
2. 等級保護2.0
由於2007年所確立的等級保護1.0體系已無法滿足現階段網絡安全的新形勢、新變化及新技術等要求,2019年5月,國家市場監督管理總局、國家標準化管理委員會正式發布了網絡安全等級保護制度2.0標準。下面是等保2.0關於安全保護的主要內容:
據《2019 健康醫療行業觀測報告》數據統計,醫療行業總體處於「較大風險」級別,存在多種網絡安全風險及大量可被利用的安全隱患,安全防護能力較弱。
報告顯示,通過對 15339 家醫療行業相關單位的觀測,存在殭屍、木馬或蠕蟲等惡意程序的單位共計 1029 家,應用服務埠暴露在公共網際網路中的單位有6446 家,4546 家單位網站存在被篡改安全隱患,其中 261 家單位已發生網站被篡改情況。
通過對觀測的 15339 家醫療單位中的網絡資產評估,具有脆弱性的有 9523 家,佔比 62.14%。
由此可見,醫療行業存在可被利用脆弱性情況普遍,大部分單位沒有定期對系統進行安全風險評估,識別資產存在的安全隱患。
筆者要提醒下醫療機構信息系統的運營和使用者們,一定要重視網絡安全建設和保護工作,儘早排查醫院信息系統的網絡安全風險情況,否則後果不堪設想。