医疗行业的信息安全是一个极其复杂的议题。随着电子病历(EMR)系统、医学影像数字化管理(PACS)系统、实验室信息管理(LIS)系统、医院管理信息(HIS)系统等广泛使用和医疗智能化的发展,医疗数据量正以惊人的速度增长。这些数据不仅包括患者的个人健康信息(PHI),还有可能涉及到药品配方、治疗方法和其他商业敏感信息,迅速让医疗机构成为了黑客攻击的高价值目标。
当前,医疗行业安全痛点主要涉及以下几个方面:首先,医疗设备和服务日益数字化、网络化,攻击面逐渐扩大,给外部攻击者提供了更多的入侵点;其次,医疗机构内部存在信息安全建设缺位,安全意识不足的情况,加剧了安全风险。在这一情况下,EASM成为了医疗行业保护外部攻击面的有效工具。通过对外部网络环境的持续监视和分析,EASM能够帮助医疗机构识别和评估潜在的安全威胁,从而提前采取防御措施,减少安全漏洞的风险,并帮助医疗机构满足日益严格的监管要求,保护患者信息免受侵害。
一、医疗行业网络安全受害案例
(一)外包服务监管缺失,导致医疗信息泄露
美国加州音频转文字公司GMR,广泛服务于高校、知企业、政府机关、医疗机构。其中,医疗机构会将诊疗过程中的录音文档通过线上方式委托GMR转成文字。GMR将该业务外包给合作公司过程中,未采取任何信息安全措施便将医疗文档上传至服务器。音频及文字文件涉及信息涵盖姓名、地址、出生日期、Email、电话、社保账号、驾照号码、税务信息、医疗历史信息、医疗检查结果、精神病记录等敏感内容,极可能导致医疗信息泄露。被美联邦贸易委员会认定违法,向GMR发出处罚令。
(二)美芝加哥一儿童医院遭LockBit勒索攻击
去年12月,美国芝加哥圣安东尼儿童医院遭到勒索攻击,设备解密赎金高达80万美元。LockBit要求医院在2月2日之前付款,如果没有支付,被盗取的患者机密数据将被公开。
(三)数据保护不力,衡阳网信办开出6.2万罚单
衡南县某医院未履行数据安全保护义务,造成部分数据泄露。衡南县网信办依据《中华人民共和国数据安全法》第四十五条规定,对该医院作出责令整改,给予警告,并处罚款5万元的行政处罚。同时,对第三方技术公司及相关责任人处以1.2万元罚款。
二、医疗行业信息化现状
我国医疗行业信息化建设起始于20世纪70年代,可大体分为三个阶段:1.0阶段:基础信息系统建设;2.0阶段:区域医疗信息化;3.0阶段:智慧医疗服务。
1.0阶段:基础信息系统建设
当时医院信息化建设以单机版为主,2010年掀起了HIS建设热潮,在门诊、住院收费基础上,逐步扩展到收费管理、药品数据等。随后,开始引进以患者为中心的CIS系统,自此信息化建设向临床信息化转移,主要包括EMR、PACS、LIS等诊疗系统,十二五期间,基本完成基础信息系统建设。
2.0阶段:区域医疗信息化
十三五期间,国务院推动分级诊疗建设,开始强调电子病历等核心医疗数据的共享。2018年以来卫健委、医保局等部委出台了大量的医疗信息化政策,主要集中在电子病历升级、医联体建设、互联网诊疗、医保信息标准化和医保收费制度改革5个领域。
3.0阶段:智慧医疗服务
中国医疗信息化建设的最终目标是智慧医疗,由智慧医院、区域医疗和家庭健康构成的全方位、全覆盖应用场景广泛的医疗系统。
(十四五期间医疗行业信息化趋势)
三、医疗行业网络安全建设政策背景
四、医疗行业网络安全建设现状
(一)网络空间资产端口开放较多
筛选最近今年黑客攻击事件中出现频率较高的端口,在第三方网络空间资产测绘上进行搜索,发现全国有不少医疗单位仍然开放着这些高危端口,如22、23、139、445、3306、3389、9200等高危端口。最典型的勒索攻击莫过于2017年爆发的WannaCry,该病毒会对公网随机IP地址的445端口进行扫描感染。
(二)安全建设较为基础
CHIMA(中国医院协会信息专业委员会)在《医院信息安全调查报告》中指出,“目前医院对网络安全重视程度已大幅提高,采取多项措施保障网络安全。不过,调查显示仍有少部分医院未做基本的网络安全防护或防范形式单一,使网络面临风险。”
(医院网络环境中信息安全防范措施配置情况)
(三)渗透测试工作开展较少
在医院信息网络安全工作中,采取定期渗透的方式对系统进行测试是一个有效手段。CHIMA(中国医院协会信息专业委员会)在《医院信息安全调查报告》中指出“医院对信息系统开展定期渗透测试的重要性未得到重视,网络渗透测试的频率偏低。”
(四)网络安全专职人员偏少,需加强培训
CHIMA(中国医院协会信息专业委员会)在《医院信息安全调查报告》中指出“受访医院设置专门信息安全员的受访者只占 18.19%,仍然有部分受访者表示其所在医院未设信息安全员”“10.1%的受访者表示没有受到专业的网络安全培训。”可见,网络安全培训需增加并形成常态化,必要时应在全院进行培训,以提高工作人员的专业素养和技能。
(五)攻防视角不对称
即使根据国家合规政策或国际安全管理体系规范已经建设了相对完善的网络安全能力体系、补足配备了相对应的人员及产品,但在实战安全角度下目前现状最大的问题是网络攻击者与防御者之间视角不对称的问题。
五、医疗行业数字风险浅析
(一)数据的经济价值驱使不法分子铤而走险
患者的预约挂号、门诊、检查、化验、取药均属于医疗关键信息,如果这些信息数据被勒索加密或是泄露,将会影响医院运营。以暗网的信息售价为参考,详尽的医疗信息在暗网的售价大约是一般信用卡信息的数十倍,这类医疗数据成为不法分子电信诈骗、虚假医疗广告等违法活动时的主要信息源。
(二)利用外网资产的弱点进行攻击
外网资产与内网资产安全是紧密相关的,医疗行业的外网资产一般包括官网、患者门户、移动应用等,这些资产因其可从互联网上访问,特别容易成为黑客攻击的目标。黑客通常会扫描这些外网资产以识别潜在的安全漏洞,如未更新的软件、配置错误或是弱密码等。通过攻击外网服务器获取权限,继而利用成功入侵的服务器作为跳板,攻击内网其他服务器。
黑客还会采取社会工程学攻击、钓鱼乃至挂马手段,通过伪装诱导医疗机构员工或让患者点击恶意链接或附件。一旦用户不慎中招,黑客便可植入恶意软件,进一步进行勒索或窃取敏感数据。
(三)网站篡改手法多变,隐式植入非法信息
在医疗领域,网站安全不仅关系到机构的声誉,更直接影响患者的隐私和健康信息安全。篡改行为可分为两大类:一是明显篡改,用于传播攻击者的政治或社会主张,公开展示非法信息,严重时可能导致医疗机构面临法律责任和公众信任危机;二是隐蔽篡改,攻击者通过在网站后端植入非法内容,如假冒药品广告、诈骗信息等,旨在牟取非法经济利益,同时这种篡改方式不易被立即检测到,为医疗信息安全埋下隐患。
隐蔽页面植入:攻击者利用医疗网站的复杂结构,将非法页面如假药销售、非法医疗服务等嵌入其中。这些页面通常不会直接显示在网站的导航中,其主要目的是通过搜索引擎优化(SEO)吸引流量,而不引起网站管理员的注意。
六、面临问题如何应对?
针对医疗行业的痛点问题,EASM(外部攻击面管理)可以提供一套综合解决方案。EASM的核心目的是帮助组织识别、管理和减少其面向互联网的资产可能受到的威胁,从而降低网络安全的相关风险。以下是云科安信【白泽数字风险资产图鉴系统】应对该医疗行业数字安全建设的几个关键点:
(一)互联网资产发现与管理
对互联网上可能属于医疗机构的所有资产进行广泛探查,包括域名、子域名、IP地址范围、云服务实例等。
对所有资产进行扫描,识别资产上开放的端口、服务、组件(指纹信息)。识别与医疗行业特定应用和设备相关的资产,如电子健康记录系统、医疗设备接入点等。这些资产可按照其重要性和敏感性进行分类,以便优先保护最关键的资产。
通过资产特征范围进行匹配搜索,识别锁定可能属于医疗机构但未被记录或被不法分子仿冒挂马的资产。
(二)收集企业数字资产
自动化收集医疗机构的微信公众号、微博、微信小程序、APP等相关数字资产信息,对数字资产进行全面的安全评估,以防止敏感信息泄露。
监控网络上与医疗机构品牌相关的虚假信息或仿冒账号,及时采取行动,保护患者数据信息和机构声誉。
(三)明确企业信息
收集和整理医疗机构的基本信息,包括其所有分支机构和子公司的详细资料:分子公司和下属科技公司的注册地、业务范围、网络资产等关键信息。
对各分子公司或下属科技公司的网络资产进行全面的安全检测,以发现和修复潜在的安全漏洞和配置错误。
(四)探查泄露信息
监测各大文库网站和网盘服务,搜索与医疗机构相关的敏感信息泄露。这包括未经授权共享的患者记录、内部报告、研究数据等。
通过设定特定的关键字和参数(如医疗机构名称、专有术语等),EASM能够有效识别相关泄露信息,并即时通知安全团队。扫描互联网上已知的数据泄露数据库,查找医疗机构员工的邮箱账号是否被泄露,一旦发泄泄露及时发出预警。对开源项目托管平台(如GitHub)进行监控,防止医疗机构的源代码或敏感配置文件被不当公开。
深入暗网市场和论坛,搜集与医疗机构相关的情报信息,如被盗的患者信息、药品配方、研究数据等。同时对收集到的情报进行分析,评估针对医疗机构的威胁等级,提供具体的防护建议和应对措施。
(五)扫描相关漏洞
对医疗行业常见的Web应用、主机和PoC漏洞进行深入扫描和评估。提供漏洞详细信息,包括修复建议和紧急程度,帮助医疗机构优先修复最严重的漏洞。
基于医疗机构的特定需求和环境,定制化漏洞管理计划。考虑到医疗设备和系统可能无法频繁更新,也可提供其他缓解措施的建议。