“谈起信息安全风险,有些人总觉得在说‘狼来了’。但就在最近,‘勒索病毒’实实在在地来了,‘狼’就在眼前。”在日前举行的2017中国卫生信息技术交流大会上,国家卫生计生委统计信息中心主任孟群如是说。与会专家纷纷表示,安全防范意识不强、防护技术手段滞后、关心应用甚于安全,是我国医疗信息化领域目前存在的问题,亟须补课。
我国网络安全领域的根本大法《网络安全法》将于今年6月1日实施,信息安全被置于前所未有的重要位置。加固网络安全,同样成为卫生计生系统绕不开的必答题。
“勒索病毒”折射防护之失
自5月12日起,“勒索病毒”波及了全球100多个国家,感染了包括医疗、教育、能源、通信等行业及政府部门在内的多个领域,导致大量数据被冻结。尽管我国医疗卫生系统并未受到严重影响,但这场来势凶猛的进攻却如一面镜子,折射出信息安全体系的防护之失。
北京协和医院信息管理处副处长孙国强介绍,此次“勒索病毒”的传播是利用了微软公司Windows操作系统的漏洞,可以将所有磁盘文件加密、锁死。一起“勒索事件”,也反映出人们对网络安全的认识局限。中央网信办网络安全协调局副处长唐鑫表示,有些人认为,与互联网隔离的内网、专网就是安全的。实际上,针对物理隔离的攻击手段已经很常见了,恰恰是有些内网因为缺少安全防护措施,没有更新系统最新安全补丁,反而更不安全。
对于安全维护的投入不足,也是导致防护缺失的重要原因。普遍的看法是,在网络安全方面的投入类似买保险,不如投入硬件可以看得见摸得着。对此,公安部信息安全等级保护评估中心测评部主任马力提出,用于维护网络安全的投入应占信息化建设总投入比例的10%~15%,但我国目前还远达不到这个水平,一般停留在5%~10%之间,甚至更低。
解放军总医院计算机室主任刘敏超提出,当前,信息安全风险已经呈现出新特征:攻击手段越来越专业化、低门槛化、低风险高收益;攻击对象越来越随机,不分国界、机构或个人。怎样保障业务不中断、数据不泄露,怎样保护患者隐私,成为业内必须重新思考的问题。
网络安保跨入2.0时代
长期以来,我国信息系统一直分等级实行安全保护,即根据信息系统在国家安全、经济建设、社会生活中的重要程度,遭到破坏后对国家安全、社会秩序、公共利益的危害程度,将信息系统划分为不同的安全保护等级并实施差别化的保护和监管。
具体到医疗卫生行业,信息安全等级保护也已成为医院的必选项。我国卫生行政部门曾明确规定,三级甲等医院的核心业务信息系统不得低于三级等级保护,并要求相关单位在2015年年底前完成信息安全等级保护建设工作。马力表示,《网络安全法》确立了等级保护制度的法律地位,这也意味着网络安全保护制度将进入2.0时代。
根据《网络安全法》,网络运营者有义务保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或被窃取、篡改,采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,对重要数据进行备份和加密。如果网络运营者没有履行相关义务而导致危害网络安全后果将受到处罚。马力解释说,“网络运营者”是指网络所有者、服务者和服务提供者。按照这个概念理解,医疗卫生机构应当在此之列。
把关键信息基础设施保护上升为国家制度,是《网络安全法》的又一大突破,即明确提出在等级保护的基础上,还要对关键信息基础设施实行重点保护。据了解,目前《关键信息基础设施保护条例》正在起草当中,关键信息基础设施认定办法还没有最终出台。但马力认为,医疗卫生行业肯定有部分信息系统会被纳入关键信息基础设施的目录当中,为网络安全再上一道保险。
别让信息“裸奔”
值得注意的是,《网络安全法》强化了一项重要制度——个人信息保护制度。第三军医大学大坪医院信息科副主任黄昊表示,在大数据时代,医疗领域成为个人信息泄露的重灾区。大量的病人隐私泄露都发生在近两年,这说明国内大多数医院在隐私保护方面做得十分不够。
网络不能断,系统不能慢,数据不能泄露,信息不能丢失,这是解放军总医院的信息安全管理目标。刘敏超表示,这意味着医院要具备足够的安全保护能力,能够防护系统免受恶意攻击,能够及时发现安全漏洞,能够在系统遭受损害后,较快恢复绝大部分功能。
刘敏超举例说,为应对网络中断、病毒攻击等,需要采取定期升级硬件、定期升级病毒库,实时监控等手段。对于人工误操作造成的故障,则需要加强技术培训和权限管理,并严格操作规程。同时,此次“勒索病毒”还敲响了警钟:对重要系统和数据库进行容灾备份非常重要,一定要定期备份,并把数据放在安全的地方。此外,发生网络安全事件后应立即启动应急预案,采取措施消除安全隐患,防止危害扩大,力求亡羊补牢。
(来源:健康报)
《中国数字医学》微店,点击以下阅读原文进入