时间飞逝,从2005年“3.15”晚会首次出现网络信息安全问题的尖锐话题,到今天,一晃15年过去了。但是网络安全问题从未远离我们的工作、生活,并且随着互联网的迅猛发展,似乎愈演愈烈。
2019年3.15关注的网络信息安全话题,主要集中在隐私泄露、窃取隐私信息手法等层面,说明公民隐私信息泄露的现象已经泛滥成灾。其实这是互联网大环境所决定,大数据时代,数据即为价值。加上各种智能设备、App应用连接着互联网,各种隐私数据的非法采集,可谓到了令人发指的地步。
医院是重灾区
以医院网络信息安全主要存在的问题为例,网络信息安全问题层出不穷,主要体现在三个方面:
一是勒索病毒侵扰事件频发。目前在我国多地三甲医院爆发了勒索病毒事件,有些甚至出现因勒索病毒事件导致了患者信息被盗的情况。在全国三甲医院中,2019年就有247家医院检出了勒索病毒,全国各地均有三甲医院“中招”。面对勒索病毒的侵害,各家医院基本都是采取升级杀毒软件、系统打补丁、关闭端口的措施,起到了一定的防御效果。但是面对新型勒索病毒和变种来袭,采取这些措施显得苍白无力。
二是数据泄露事件持续高发。患者个人数据、医保数据等在很多医院普遍存在泄漏现象。医院作为这些主要数据的持有单位,没有尽到保护数据安全的义务和职责,致使这些数据被贩卖形成交易。
三是统方现象普遍存在且屡禁不止。以医药代表为发起人,医院内部医师为受益者的统方现象,普遍存在于各个医院当中,成为失去监管的灰色地带,成为贪腐受贿的根源。采取简单的网络信息安全产品对医院内部人员参与统方现象,很难实现有效管控。
为什么是医院
为什么近几年医院频频报出网络信息安全问题?频发网络信息安全问题的症结主要有以下几个方面:
一是重视程度不够。医院的信息中心往往被定位为技术支撑作用的弱势部门,网络信息安全岗几乎没有专职人员负责,更多的是专职医生兼职,专业安全意识和技能的不足,在各种网络信息安全风险的裹胁下,被暴露无疑。
二是经费预算不足。医院用在网络安全建设上的经费预算存在严重不足,即使想在网络信息安全方面考虑全面建设,因为没有足够资金支持,各种好的方案和规划往往被束之高阁。
近几年来,医疗行业的信息化建设快速发展,病历电子化、医院上云、远程问诊、网络挂号等业务快速开展,虽然极大的提高了病人就医的便捷性,但是也极大的增加了数据信泄漏风险。信息化建设与网络信息安全建设就如同人体的机体器官和免疫系统,当医疗行业信息化建设快速部署的同时,相关的网络信息安全“免疫措施”并没有完全跟上,加上医疗行业数据的极大价值(暗网市场中,医疗数据的价值是个人财务数据的20-50倍),在重大利益的驱动下,医院无疑成为了黑产动作的重要目标。
三是网络攻击门槛低。目前灰产、黑产环境比较复杂。很多攻击手段已经向云和SaaS服务方面发展,暗网已经存在专业提供RaaS(勒索即服务)的服务模式,另外很多勒索攻击软件已经开源,易用性得到了极大的提高,同时也大大降低了网络攻击的技术门槛。
综上,完整的黑色产业链条,暴利再加上虚拟货币的隐匿性,形成医院网络信息安全问题频发。
如何加强安全建设
以勒索病毒防治为例,我国的早期勒索病毒防治,一般可以概括为六个字:“补改关装规”。也即是“打补丁”,及时更新系统补丁,修补漏洞;“改口令”,对系统内服务器、主机均强行实施复杂密码策略,杜绝弱口令;“关端口”,尽量关闭不必要的文件共享及不必要的系统服务端口;“装软件”,安装终端防护软件及防病毒软件,并保证病毒库至当前病毒库;“重规划”,合理规划网络区域,强化业务数据备份等。
但这些措施只是起到一定的积极作用,并不能真正去解决勒索病毒问题。国联易安专家提供几条具体可行的安全措施:
一是控制“内鬼”。政府企事业单位一定要采购堡垒机等网关类产品,以合理规避内部人员的不合法操作的同时,也可以对“内鬼”式安全威胁起到震慑和防范作用。
二是构建体系。针对数据安全的“最后一公里”,一定启用数据加密、数据脱敏等安全防护措施,即使偶发数据泄漏事件,也可通过对数据的加密、脱敏处理,降低泄漏数据的真实性,减少数据泄漏带来的危害。
三是多层次防护。针对最近一段时间比较猖獗的各类勒索病毒,可采购专业的勒索病毒防御系统,与传统的杀毒软件组成多层次的协同防护。
“但愿网信皆安全,宁可架上物生尘”。衷心希望2020年3.15关注的网络信息安全话题有所减少,网络信息安全防护大有改观。