安全月报(在第四期网络信息安全月报中公布)
人们的医疗数据被窃取和出售,医疗诊断设备被网络犯罪分子掌握,从而威胁患者的生命...在倡导医疗物联网的同时,大部分医疗机构都存在不可忽视的网络安全缺陷,使得医疗保健行业逐渐成为黑客攻击的热门目标。
近日,国家商报联合安恒信息公布的《网络信息安全月报》第四期,重点分析了CVE安全漏洞对a股上市公司的影响。其中,医疗领域的网络安全威胁仍呈上升趋势。
CVE的英文全称是“common vulnerabilities & exposures”通用漏洞披露。CVE是公认的信息安全缺陷或暴露的弱点的通称。CVE安全漏洞可能导致企业因勒索软件或网络欺诈而遭受重大损失。
在这份网络信息安全月报中,安恒信息分析了2021年年中CVE安全漏洞对4112家a股上市公司的影响。其中,662家a股上市公司受到183项CVE安全缺陷的影响,占比16.09%。据统计,截至2021年7月,医疗科技资源网络治疗和健康医疗行业占比10.99%,在相关上市公司受CVE安全漏洞影响的行业中排名第五。在对企业影响最大的20个CVE安全缺陷中,有15个缺陷是2018年至2019年提交的,这些缺陷至今仍未修复,说明相关上市公司的安全意识和对缺陷的重视程度有待提高。
利用互联网的缺陷一直是黑客达到非法目标的绝佳技巧。很多企业不使用补丁包来修复漏洞,其网站很容易被攻破,大量的经济损失和无形资产也会随之而来。黑客除了利用漏洞获取和出售机密交易信息外,还可以应用更暴力的转化手段——勒索软件。
根据2021年上半年的统计,在全球范围内,针对医疗行业的勒索病毒攻击与往年相比仍呈上升趋势,占所有行业的16.56%。政府机构、教育、科技、媒体、金融等。也受到严重影响。
8月2日,美国物联网公司Armis发布了一组9个缺陷,统称为“PwnedPiper”,涉及远程代码执行、特权提升、内存崩溃等。这些缺陷已经影响了北美80%以上大型医院的气动管道系统(PTS)。这些管道连接大医院的不同科室,利用压缩空气体输送医疗技术资源(如血液、药物等。).攻击者可以利用这些网络缺陷实现远程代码执行,获取员工的电子证书,了解PTS的物理布局,攻击气动管道系统。袭击者可以选择加快运输来破坏医疗物资,也可以选择延迟运送手术急需的物品,然后用病人的生命来要挟医院。
在2018年国家卫健委公布的《医院信息化建设国家标准与规范(试行)》中,明确提出鼓励医院引进物联网的技能,并指出可以在数据采集、患者安全和资产物资管理三个方面探索物联网的应用。
然而,医疗物联网一旦出现网络安全问题,将极大威胁医院业务的持续稳定运行。同时,由于物联网中沉淀了大量原始的、有价值的基础数据,数据安全和隐私覆盖也需要得到重视。
“物联网的安全性相对较弱,它收集的数据非常敏感。因此,有必要系统地构建一个安全的医院物联网。”安资讯副总裁林明峰认为,在医疗物联网应用的建设过程中,面临着嗅探和非法访问、系统漏洞、大规模端口开放、数据非涉密存储和传输等安全风险。然而,由于各种物联网应用系统的安全性参差不齐,系统之间的封锁过度,医院无法建立统一的物联网应用安全部门,安全政策难以落实。
针对医疗物联网,安恒信息推出了“云网一体化安全物联网解决方案计划”。该解决方案可以使物联网统一安全接入AP/AC,将安全人才下沉到物联网接入层;隔离网关隔离物联网对HIS等核心业务系统的数据抓取,以及针对物联网系统的弱攻击;物联网数据中心可以一键接入物联网应用采集的所有数据,打破物联网烟囱,实现数据价值;提供物联网安全态势感知、数据安全部门建设等服务。
“人以健康为天,健康以数字判断,数字以物探”这三句话传达了对医疗物联网重要性的认识。其实在“数以事为据”之后,应该加上“事为先”这句话。
