随着远程医疗、医疗物联网、身联网、体联网、医疗设备的融合发展,健康医疗领域面临着前所未有的网络安全风险,同时也沦为勒索病毒重灾区。
由《中国信息安全》杂志、腾讯安全、腾讯研究院共同发起的勒索病毒系列沙龙第三场,我们邀请到中国信通院安全研究所数字产业部主任郑威,北京协和医院信息中心处长助理孟晓阳,腾讯研究院高级研究员秦天雄,腾讯安全高级架构师田伟四位网络安全领域和医疗领域的专家,共同探讨如何为医疗行业打造网络安全防护罩!
多角度解析医疗领域勒索病毒
Q:在网络虚拟空间,勒索病毒正严重危害我们的工作和生活。从技术研究、法律角度来看,当前勒索病毒呈现怎样的态势?
田伟:勒索病毒被公众熟知源于席卷全球150多个国家、造成上百亿损失的WannaCry勒索病毒。勒索病毒之所以大量传播一是传播途径广、传播角度多,二是赎金支付方式变得更加隐蔽,以比特币为代表的虚拟币使得更难追踪到勒索者的真实信息,三是加密方式变得越来越高级。从勒索病毒的感染性、支付的隐蔽性以及加密形式的升级化来说,都为勒索病毒传播提供了很大的便利。
秦天雄:从国内外政策法规的角度看,国内外均建立了较为全面的打击体系,医疗领域也普遍适用。美国自“太阳风”勒索病毒发生以后,联邦及各个机构都针对勒索病毒开展严厉打击,我国在勒索诈骗、网络犯罪以及计算机犯罪方面都有相应的规定,比如今年以来公布的《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》。
Q:为什么健康医疗领域容易成为勒索病毒的攻击重点?
孟晓阳:首先医疗数据的价值非常高,比如伴随人一生的就诊信息就和个人隐私密切相关;第二医疗行业信息化起步时间不长,医院安全防护能力没有同步提高;第三医院各个系统相对独立,系统厂商安全能力较弱导致漏洞广泛存在;第四医院面对公众提供服务导致暴露面风险非常大。这么一个数据量含金量很大,系统又相对薄弱,攻击又比较容易得手的一个场景,就成了黑客攻击的重要目标。
田伟:现在医疗行业的信息系统呈现一个开放化、集中化和精细化的形式,使得医疗数据的价值越来越高,所以在勒索病毒呈现产业化的这种发展情况之下,使得更多的黑客盯上了医疗相关的数据,并且进行勒索。
郑威:没有网络安全,就没有生命健康的安全。一方面健康医疗数据是高价值的敏感数据,从个人的真实身份信息,到群体性的健康数据的统计、基因的信息,这些都是关乎国计民生的重要数据。另一方面,医疗机构的信息化水平和总体的安全防护能力还有待进一步的提升,不能让不法分子有机可乘。
秦天雄:医疗数据是一座金矿,对医疗数据的勒索攻击不仅造成人民群众财产的损失,还可能对人民群众的生命健康造成威胁。
勒索病毒应对之道
Q:在了解勒索病毒攻击原理、传播路径、攻击手段的基础上,我们怎样才做好相对应的防护?
孟晓阳:第一最重要的是安全意识问题,第二要及时响应、及时处置,第三勒索病毒的传播一定是基于某种载体,一定要把基础的网络安全防范工作做到位。第四是安全底线问题,因为所有的在线数据都可能成为被攻击的目标,除了常规备份,还需有一份离线备份。
田伟:从腾讯安全的角度,在海量行业经验的基础上,我们认为勒索病毒的防范应该是一个全面立体的过程,包括事前预防、事中应急、事后总结三个部分。
事前防御“七分靠管理,三分靠技术”,医院从整个管理的意识形态上都应具备安全意识,同时也应部署和采用国内比较好的网络安全专业防护设备,比如防火墙、主机安全,未知威胁检测类设备、新型的零信任防护手段来进一步提高医院在终端安全侧的防护能力。
T-Sec 安全托管服务MSS运营场景
在事中应急上,首先必须尽快确认感染源,做逻辑或者是物理上的隔离。第二要进一步判断感染范围有多大,比如这个科室感染了之后,是否会影响到其他的科室。第三需要通过专业的安全公司,或者医院本身的安全力量,针对此次安全攻击做一个研判。
事后总结一定要做好数据的实时和离线的备份,安全是动态可持续化的一个过程,所以需要结合勒索病毒以及当前急剧变化的网络威胁环境,不断调整医院的安全策略。
Q:从管理、法律法规、标准规范、工作指南等各类顶层设计的维度,有没有什么值得分享的经验?
秦天雄:从政策法规角度我主要谈六点,第一,国家层面需加强对医疗行业数据安全管理制度的建设,包括规则的细化及加强重点环节立法执法工作;第二,行业协会要加强对医疗机构应对勒索攻击和恢复数据的帮助和指引;第三,医疗机构自身要加强数据安全管理制度的建设;第四,要加强安全技术对医疗领域的保障作用;第五,要利用云原生、零信任、认数据备份等技术降低危害,降低损失;第六,要加强医疗行业数据安全管理机构的建设和人才的培养。通过不断提升勒索攻击治理的全面性、立体性和协调性,让勒索攻击在我国失去市场,失去活力,失去空间。
医疗领域勒索病毒趋势探究
Q:从医疗信息化发展的角度来看,各位专家认为未来勒索病毒将呈现怎样的趋势?我们又将面临怎样的严峻挑战?
孟晓阳:安全无止境,我相信勒索病毒和医院的信息安全肯定是要长期共存。从医院的网络安全建设来讲,等保是基础,要成体系地建设网络安全。勒索病毒是对各个医院网络安全实战能力的一个试金石,做好医院的网络安全,要有资金、设备、人员、时间的投入,如此我们的安全才能够逐步地整改。
田伟:随着医院的院内信息集成,区域临床信息化的不断发展,医疗数据的价值越来越高。针对这块数据价值的攻击和窃取行为,以勒索病毒为代表会越来越猖獗,在未来很长一段时间内,我们都要学会和勒索病毒以及从事勒索诈骗的犯罪分子共存。
Q:针对上述勒索病毒趋势变化,各位专家认为应该如何应对?
田伟:提升整体的安全意识形态是最重要的,第二要多角度、全方位、持续性地建设医院的安全体系,第三,希望通过腾讯安全的产品、技术、专家以及解决方案,帮助更多的医疗单位更好地防护包括勒索病毒在内的网络攻击。
秦天雄:医疗领域的数据安全保障具备了其他领域所不具备的尊重生命、加强人文关怀的意义,因此建议把对医疗领域的勒索治理,作为未来工作的重点项和优先项。腾讯安全希望与行业同仁一起树立更加敏锐的数据安全意识,在数据安全技术保障上能够有更多的关注,一块建立安全、可靠、均衡、立体的医疗系统数据安全长城。
郑威:对医疗监管部门而言,需要予以更多的关注,从顶层设计到标准规范,到行业具体的工作指南,都需要我们共同来研究与支持。对医疗机构,要进一步落实安全工作责任,强化网络安全技术手段,加强网络安全工作人员的技能培训。对相应的网络安全企业,期待提供更好的解决方案,更好的技术服务支撑,更好的网络安全协同机制,包括各类信息的预警、威胁情报的共享。对于普通用户,要关注自身的合法权益,保障自身的网络数据安全。