醫療行業安全指數報告(2018年8月)
前言
醫療服務資訊化是國際發展的趨勢,也是我國醫療改革的的重要內容和必由之路。隨著資訊科技的快速發展,越來越多的企業和醫療機構加入到醫療資訊化的建設浪潮中。網際網路醫療火熱背後,醫療資訊保安問題如影隨形。近年來,針對醫院的勒索、挖礦、醫療資訊洩露等醫療行業的資訊保安事件層出不窮,醫院資訊系統已經成為了不法黑客的重點攻擊物件之一。
一、概述
本報告由騰訊智慧安全研究釋出,中國醫院協會資訊管理專業委員會(CHIMA)提供醫療行業資訊化狀況調查報告,雙方基於大資料對醫療行業安全狀況進行了客觀、量化的評估,深入分析了醫療行業的典型安全威脅以及所面臨的潛在安全風險,並嘗試引導性的進行行業安全治理、規避潛在的安全風險,提升安全管理水平。
報告以安全大資料及第三方授權或公開的資訊和資料為基礎,結合抽樣分析/調查報告等方法,經綜合整理、分析得出。其主要選取了資訊化程度高,管理水平強的大中型醫院和指標資料作為參考物件,涵蓋956家三級甲等醫院、7家第三方醫療服務平臺,包括92個授權網站、79個患者APP(安卓版)等外部網路資產。
另外本報告還參考了由中國醫院協會資訊管理專業委員會(CHIMA)釋出的《2017-2018年度中國醫院資訊化狀況調查報告》(以下簡稱《調查報告》)。
自《中華人民共和國網路安全法》頒佈,在衛健委指導下,全國醫院資訊保安建設水平不斷提升。從指數總體來看,全國醫療行業指數值處於良好水平(759分)。
然而,2018年至今,我國醫療體系遭受攻擊的頻率呈明顯上升趨勢,醫療資訊保安環境並不樂觀。黑客入侵攻擊、資訊洩露等安全問題對醫院等公共機構的威脅仍不容忽視。
從安全指數所指向的問題來看,醫療行業資訊保安建設意識薄弱,核心資料缺乏有效的安全防護。問題主要表現為:
網路空間資產埠開放較多,隱患大,如開放遠端登入服務的比例高達50%;
外網電腦的安全風險較多,可能會給不法訪問者以可乘之機;
線上服務平臺及第三方醫療服務平臺脆弱性會提升醫療資料洩露的風險;
醫療行業已經成為勒索病毒攻擊的主要目標,醫療業務連續性受到挑戰。
二、安全指數情況
2.1、安全指數評估
安全指數說明
本報告聯合團隊基於安全大資料、人工智慧分析技術和威脅實時感知能力,從多個安全維度和安全特徵,對醫療行業整體安全態勢進行了全面、客觀的威脅分析和脆弱性評估,並在全面風險量化分析的基礎上彙總得到了“騰訊智慧安全指數”(以下簡稱“安全指數”)。
安全指數以多個不同維度的安全問題評估為基礎,在安全問題評估的基礎上分別彙集到相應的安全域,對各個安全域進行加權彙總,得到了企業安全指數。然後按照行業屬性,對企業安全指數求均值即可得到行業網際網路安全指數。
安全指數以客觀安全資料為依據的特性,使其一定程度上能夠反映行業安全趨勢,具有先導性、預測性。進一步地,利用該安全指數,可對相關行業進行安全狀況差距對比、安全問題洞察等。更多關於安全指數的定義和計算的詳情,見附錄。
安全指數是介於0~1000區間內,數值越高,其安全狀況越好、風險水平越低。不同指數區間,反應的響應安全狀況如下表所示。
| 指數值 | 含義 |
|---|---|
| 0~499 | 較差 |
| 500~699 | 一般 |
| 700~899 | 良好 |
| 900~1000 | 優秀 |
表2-1 指數的含義對映表
安全指數態勢
除港澳臺以外的各省市、自治區具體資料來看,北京市、上海市、吉林省、重慶市、山東省的安全指數排名最高,安全指數均高於770,排名靠後的幾個省(市)安全指數值均低於750分。
圖2-1 各省(市)安全指數排名(前五)
以國內(除港澳臺以外)各醫院的維度來看, 醫院安全指數的分佈如下:
22%的醫院安全指數處於優秀水平;
38%的醫院安全指數處於良好水平;
39%的醫院安全指數處於一般水平;
1%的醫院安全指數處於較差水平。
圖2-2 安全指數的等級分佈情況(醫院維度)
目前醫療行業面臨的問題主要集中在主機安全、應用安全和網路安全。如圖2-3所示,其安全指數值越低,風險越高。
圖2-3 醫療行業網路安全指數情況(除港澳臺以外)
2.2、安全措施採用情況
安全措施採用情況,引用了由中國醫院協會資訊管理專業委員會(CHIMA)釋出的《2017-2018年度中國醫院資訊化狀況調查報告》中的調查資料,該調查報告共收到反饋的調查報告535份,其中有效答卷484份,分別對應484家相互獨立,沒有重複與關聯的醫院。484家醫院佔到全國醫院總數的1.80%。
樣本覆蓋除香港特別行政區、澳門特別行政區以及臺灣省以外的29個行政區。資料詳情可參閱《2017-2018年度中國醫院資訊化狀況調查報告》。
醫院實施等級保護情況
從調查資料來看,有36.16%的醫院通過了等級保護測評。經濟發達地區實施等級保護工作的比例高於中等發達地區和經濟欠發達地區。
圖2-4 醫院等級保護工作情況
系統安全措施採用情況
對參與調查關於醫院採用的作業系統級安全措施的有效資料分析可見,網路版反病毒軟體的採用率仍高居首位,比例為71.07%。排在第二位到第五位的分別是桌面管理軟體46.49%、軟體防火牆38.22%、系統映象快速恢復26.45%、單機版反病毒軟體24.79%。
圖2-5 醫院採用的作業系統級安全措施
對調查關於醫院採用的資訊系統體系結構安全措施的有效資料分析可見,主要應用伺服器雙機熱備的醫院比例仍然最高,達到72.31%,其次是伺服器叢集,採用率達為48.55%,位於第三位的伺服器冷備機採用率為26.45%。
圖2-6 醫院資訊系統體系結構安全措施
資料安全措施採用情況
從調查中醫院採用的各種資料安全措施分析看,資料災備、資料庫映象備份、資料冷備份和資料離線儲存仍然是醫院主要的資料安全措施。
對調查關於醫院採用的資料安全措施的有效資料分析可見,排在第一位和第二位的是資料災備和資料庫映象備份,比例接近半數分別為49.79%和49.17%,排在第三位至第七位的分別是資料冷備份、資料離線儲存、集中儲存異地映象備份、資料庫行為審計和身份認證,採用率分別為41.74%、40.91%、22.11%、20.66%和13.43%。
圖2-7 醫院資料安全措施
網路安全裝置和隔離網路情況
現階段我國醫院採用的網路安全措施中,防火牆裝置的採用率高居首位。不同級別醫院在應用各種網路安全裝置方面均具有極顯著性差異。
對參與此次調查的醫院採用的網路安全裝置類別分析可見,採用率位列前六的分別是防火牆、VPN裝置、物理隔離裝置、網閘裝置、入侵檢測裝置和防毒牆,比例均超過20%,其中採用防火牆的醫院比例達到82.02%,遠遠高於其它裝置,說明防火牆是多數醫院首選的網路安全措施。
圖2-8 醫院採用的網路安全裝置
在參與調查的醫院中,大部分醫院擁有獨立並物理隔離的網路,網路數量多於1個的醫院已超過半數,達54.55%;絕大多數醫院的網路主幹頻寬達到百兆及百兆以上,佔總樣本量的86.98%;
圖2-9 獨立而且物理隔離的網路數量
三、風險詳細分析
3.1、醫療行業成黑客攻擊重要目標
資料的經濟價值驅使不法分子鋌而走險
由於醫院等機構的特殊性,患者預約資訊、檢查檢驗資訊、就診資訊、醫學資料等醫療資訊都是屬於需要緊急使用的資訊,一旦這些資料被加密勒索,就會造成很大的影響,醫院會想盡辦法儘快恢復資料。
以美國網際網路黑市的資訊售價為參考,資料豐富的醫療資訊的價值是信用卡資訊的10倍。欺詐者利用這些精準資訊可以進行電信詐騙、虛假醫療廣告營銷等違法活動。這些具有較高商業價值的診療資訊,受到黑色產業鏈的覬覦。
利用外網資產的弱點進行攻擊
外網資產的安全關乎內網的安全。黑客一般通過攻擊外網伺服器和辦公網電腦系統實現對內網的攻擊和資料的竊取。
通過攻擊外網伺服器獲取外網伺服器的許可權,繼而利用成功入侵的外網伺服器作為跳板,攻擊內網其他伺服器。
另外一方面,通過釣魚、掛馬等社工攻擊的方式,實現對辦公電腦的控制或資料洗劫,從而獲取進入內網的入口資訊(帳號、密碼等),或者直接對有價值的辦公網系統實施勒索等破壞性攻擊。
圖3-1 黑客攻擊/入侵內網示意圖
3.2、主機安全隱患較高
網路空間資產埠開放較多,隱患大
基於第三方網路空間資產測繪,國內仍有多家三甲醫院的Web網站和出口IP的資產存在較高的安全隱患。
我們在空間測繪的結果中篩選出最近幾年黑客攻擊事件中出現頻率較高的埠,發現全國有不少醫療單位仍然開放著這些高危埠。3306埠、3389埠的開放比例(分別為:3.43%和1.41%)明顯高於國內全網相應埠的開放比例(分別為1.38%和1.01%)。此外,還有較大比重的郵件服務、資料庫服務等埠暴露在公網上。
圖3-2 高危埠暴露情況
資料庫是幾乎所有黑客都覬覦的東西,所以資料庫系統直接暴露在外網是非常危險的行為,而使用預設埠的資料庫暴露在外網會極大減低黑客攻擊的難度,增加被攻擊的風險。
根據測繪結果統計分析,全國醫療行業的資料庫埠開放最多的是3306埠,超出其他資料埠的開放,詳細狀況如下:
圖3-3 資料庫埠開放情況
資料庫攻擊者,除了竊取資料資訊(拖庫)之外,還可能針對資料庫的資料實施經濟勒索攻擊。攻擊者先將資料庫進行備份,然後利用遠端命令刪除資料庫從而實施勒索。
最典型的勒索攻擊莫過於2017年5月份爆發的WannaCry,該病毒會對公網隨機IP地址的445埠進行掃描感染。
根據測繪結果分析,仍有部分省份的醫療機構開放了445埠。如果這些伺服器沒有打上相應的補丁,那麼仍然存在被勒索病毒攻擊的風險。即便是打上了補丁,也仍然需要面對勒索病毒變種的攻擊。
外網電腦存在較多風險
基於對騰訊智慧安全終端產品的防護資料的分析得出如下結論:
醫院環境中,30%的電腦系統存在待修復的高危漏洞,與全網環境的情況一致;
12%的醫院有外網電腦曾被入侵併植入挖礦木馬;
15%的醫院有外網電腦存在勒索病毒的破壞行為。
圖3-4 外網電腦存在的主要風險
3.3、應用安全脆弱性凸顯
隨著網際網路+醫療的發展,越來越多的醫院藉助WEB、患者APP、第三方醫療服務平臺等形式,提供網上預約掛號、網上繳費、網上查詢報告等多項線上醫療服務。更便利的是,第三方醫療服務平臺還可同時為多家醫院提供線上掛號預約、體檢預約以及醫生諮詢等服務。
抽樣統計發現,全國大中型醫院中,有87.4%的醫院提供線上服務,73%的醫院提供線上預約掛號服務,51.7%的醫院提供線上繳費服務,56.4%的醫院提供線上檢驗化驗報告查詢服務。超過半數的大型醫院提供了較成熟的線上醫療服務。
從《2017-2018年度中國醫院資訊化狀況調查報告》的門急診管理資訊系統實施狀況的調查統計資料可以看到,三級醫院的患者APP、第三方平臺服務實施率分別在11.79%和10.65%。
但線上醫療服務帶來了新的漏洞風險和資料洩露風險。
圖3-5 三甲醫院線上服務資訊洩露漏洞分佈(國內抽樣資料)
患者APP(Android)存在較多漏洞
基於對國內患者APP的抽樣調查分析,80%左右的患者APP存在漏洞,其中有67%的患者APP存在可利用的高危漏洞。
圖3-6 醫院安卓應用軟體存在的漏洞風險情況
高危漏洞主要為以下5個漏洞:
WebView元件系統隱藏介面未移除漏洞
Android主機名\證書弱校驗風險
Webview繞過證書校驗漏洞
Android HTTPS中間人劫持漏洞
WebView File域同源策略繞過漏洞
圖3-7 醫院安卓應用軟體存在的高危漏洞情況
第三方醫療服務平臺安全值得關注
第三方醫療服務平臺多存在嚴重的資訊洩露風險,包括登入繞過、未授權訪問、平等越權等問題,可能導致大量患者的姓名、手機號、身份證、以及就診記錄、化驗檢驗報告等多項敏感資訊洩露。
今年7月安全團隊在日常守護全網使用者資訊保安工作過程中,發現某健康醫療平臺存在多個漏洞。經過初步驗證,漏洞有可能洩露使用過線上醫療服務產品的使用者的個人資訊、掛號信息,以及繫結醫療卡使用者的就診資訊、檢查報告等。
圖3-8 某第三方健康醫療平臺越權登入演示圖
3.4、網路安全面臨嚴峻的威脅
2017年以來,醫療行業已成為攻擊者實施勒索的最主要目標,有29%的勒索軟體的攻擊目標是各類醫療相關機構。除勒索外,醫療業務資源被黑客濫用於挖礦,亦會破壞企業內部IT環境、資料中心的正常執行秩序以及關鍵應用的交付,同樣使得業務連續性遭受極大安全威脅。勒索、挖礦已經成為影響醫療業務連續性的主要威脅。
圖3-9 被勒索軟體攻擊行業分佈
湖南某醫院GlobeImposter勒索病毒事件
2018剛過完年,國內兩家省級醫院就遭到了黑客攻擊,致使其伺服器感染GlobeImposter勒索病毒,致其系統癱瘓,同時資料庫檔案被加密破壞,直接影響了正常就醫秩序。
湖北某醫院遭撒旦(Satan)勒索病毒襲擊事件
ofollow" rel="nofollow,noindex" target="_blank">https://mp.weixin.qq.com/s/E8naBacDKTnK8bIoVJdAyA
安全團隊接到湖北某醫院反饋,其內部多臺伺服器遭遇勒索病毒攻擊,所有資料類檔案都被加密,加密後文件名被修改成“[[email protected]]+原始檔名+.dbger”。安全團隊分析發現,入侵該醫院伺服器的是撒旦(Satan)勒索病毒的最新變種。
國內多家三甲醫院伺服器遭暴力入侵
https://mp.weixin.qq.com/s/WG__6dwac_bPcoWLf925lg
7月份國內多家三甲醫院伺服器被黑客入侵,攻擊者暴力破解醫院伺服器的遠端登入服務之後種植多種挖礦木馬以攫取經濟利益。
3.5、醫療資訊洩露問題不可小覷
過去幾年,美國醫療服務資訊化行業得到了長足的發展,同時,醫療資料洩露事件也呈逐年上升趨勢。2015年地下黑市大約有1.1億條醫療記錄需要出售,幾乎佔據了全美國一半的醫療資料。2017年媒體報道的醫療資料洩露事件就達到350多起。
從美國醫療資料洩露的來源來看,除了內部人員竊取/丟失資料等內因外,更多的是來自外部的黑客滲透入侵、未授權訪問/介面暴露等網路攻擊威脅。
近年來,由黑客滲透入侵導致的資料洩露事件增速越來越快,已經躍升為第一因素;
由於伺服器配置不當、漏洞等因素造成的未授權訪問問題也呈增速發展;
內部人員竊取或丟失資料造成的資料洩露問題,近幾年來逐漸減少。
圖3-10 美國醫療資料洩露來源
2017年9月《法制日報》曾報道國內某醫院的服務資訊系統遭受黑客入侵,致超過7億條公民資訊遭洩露,8000餘萬條公民資訊被販賣。
縱觀全球,黑客攻擊造成的的醫療資訊洩露事件仍然頻發。僅在2018年過去的幾個月中,單次洩露資料大於500條的資料洩露事件就發生了數百起,幾乎每個月都會發生3到4起重大醫療資料洩露事件。如:
2018年7月,新加坡政府健康資料庫遭黑客攻擊,包括總理李顯龍在內的150萬患者資料洩露;同月,UnityPoint Health遭網路釣魚攻擊,140萬患者記錄洩露。
圖3-11 2018國外醫療資訊保安事件
四、結語
本報告研究認為,數字經濟時代,安全是所有 0 前面的 1。伴隨“網際網路+醫療健康”推進,醫療企業和機構所面臨的網路資訊保安風險也被成倍放大,提升安全風險防範意識,加強資訊保安體系建設,才能有效保障和驅動醫療資訊化的良性發展。
當前,我國醫療資訊化建設正在提速,而醫療資訊保安建設保障工作也得到了行業普遍關注和重視;解決醫療資訊保安相關威脅和挑戰,需要繼續加強在醫療資訊保安領域的投入、建立系統化的安全保障體系:
對當前醫療資訊化安全系統進行全面體檢,定位安全問題,排除安全隱患;
選擇專業的醫療安全解決方案,建設安全防禦體系,降低網路資訊保安風險;
加強醫療網路資訊保安技術團隊培訓,全面提升安全防禦意識和團隊素養;
定期進行網路資訊保安檢查及安全防禦演練,提升重大威脅應急響應能力;
建立面向行業的應急響應協同機制,及時預警聯防共治,攜手應對網路風險。
五、附錄
5.1、指數說明
指數構成
醫療行業安全指數體系由“企業安全指數”和“行業網際網路安全指數”兩部分構成。
企業安全指數
企業安全指數是一個基礎性的綜合指數,由覆蓋企業安全狀況的五大安全域的構成,包括:網路安全、主機安全、應用安全、業務安全、資料和隱私安全。
將用於量化描述每個域的安全狀況的值定義為單一指數。基於五個域的單一指數,得到最終的企業安全指數。
行業網際網路安全指數
行業網際網路安全指數一個彙總結果,是所屬企業或機構的企業安全指數的平均值。
其它
基於監管區域或行政管理級別,行業網際網路安全指數可按照轄區內的企業安全指數計算相應的區域性行業網際網路安全指數。如全國性的行業網際網路安全指數、省(市)級行業網際網路安全指數等。
資料維度
用於計算企業安全指數的安全問題資料,主要來源於:
外部威脅資訊:對外部開放網際網路情報、暗網情報等進行主動收集和進一步的智慧分析,得到企業、行業相關的安全問題;
主動監測得到的企業網際網路資產、業務等的威脅情況和脆弱性資訊:通過直接或間接的方式對網際網路資產進行探測、持續監控,進一步的關聯到行業、企業,形成對企業安全問題狀況分析;
企業內部的威脅事件和脆弱性:基於網際網路流量、日誌以及安全設施資料等,結合威脅情報感知到的企業內部發生的安全問題。
安全問題覆蓋
用於進行企業安全狀況評估資料全面覆蓋五大安全域,包含對映在43安全維度的106項問題,並支援擴充。
網路安全
基於網路流量、外部威脅情報等資料觀測到的與企業安全相關的惡意性網路活動問題。如對企業業務進行的各型別網路攻擊的風險,企業訪問惡意IP的威脅,企業回撥殭屍網路基礎設施的威脅,企業對外發起攻擊的威脅等。
主機安全
基於客戶端資料和外部情報資料,識別到的企業或機構的主機上存在的安全問題。例如,主機存在高危漏洞、對外開放高危埠、發現惡意軟體、業務被勒索、遭受APT攻擊等安全問題。
應用安全
基於網路資料、外部情報等,識別到的的應用安全問題。例如。使用存在高危漏洞的元件,web應用、移動App等存在漏洞,未使用安全的通訊方式等。
業務安全
基於外部情報、網路資料分析等方式,識別到自身業務或對外提供的服務中的安全問題。例如,存在仿冒網站,身份驗證缺失,網站被篡改、掛馬等安全問題。
隱私與資料安全
基於對外部情報、社群內容的跟蹤分析,識別到與企業、機構相關的資料類安全問題。例如,自身的業務資料、憑據的洩露和交易,使用者隱私資料的洩露和交易。
計算方法
圖5-1 企業安全指數計算框架(示意圖)
1)計算預定義安全檢查項的基礎損失base_Loss:
其中Risk,Severity,Asset,Confidence為專家對一個安全檢查項評估出的指標:
Risk 風險型別:脆弱性/威脅事件,取值分別為1或2
Severity 嚴重性:取值1-5
Asset 資產、業務的重要性:取值1-5
Confidence 安全問題的準確識別能力:取值1-5
2)基於企業在安全檢查項的發生頻次,計算安全檢查項損失Bbase_Loss:
其中C表示企業在該安全檢查項的發生頻次,f(C)為基於安全檢查項定義的對其發生頻次的對映函式:
3)根據安全檢查項的所屬安全維度,計算企業在各安全維度的安全值BDim_Score:
其中BDim_Score_j表示第j各安全維度的得分,Bbase_Loss_i表示第i各安全檢查項損失,set_j表示第j各安全維度包含的安全檢查項的下標集合,α_i表示第i各安全檢查項在第j各安全維度中的重要性。
4)基於安全維度得分,計算得到各安全域的安全值BDomain_Score:
其中BDomain_Score_k為第k各安全域的得分,BDim_Score_j表示第j各安全維度的得分,dset_k表示第k各安全域包含的安全維度的下標集合,β_j表示第j個安全維度在第k各安全域中的權重。
5)由各安全域的安全值得到企業安全值Score:
其中BDomain_Score_k為第k各安全域的安全值,ω_k為對安全維度數量設定的域權重。
6)由企業安全值得到企業安全指數Security_Index:
其中Score為企業的安全值,g(Score)為依據該醫院的資訊化指數等資料,對企業安全值的對映函式。
5.2、報告說明
本報告的內容,包括但不限於描述性資訊、資料、圖表、分析性內容、結論、建議,均是以騰訊安全大資料及第三方授權或公開的資訊和資料為基礎,結合抽樣分析\調查報告等方法,經綜合整理、編輯得出。囿於資訊及手段的侷限性,本報告研究團隊無法保證本報告的內容具有絕對客觀性和準確性。本報告內容僅代表騰訊於本報告作出時的單方觀點,僅供參考使用。
*本文作者:騰訊電腦管家,轉載請註明來自FreeBuf.COM