互联网时代医疗网络安全现状及对策

当前医疗行业网络安全问题主要体现在医疗设备存在高危安全漏洞、医疗数据资产跨境传输和泄露、勒索病毒持续活跃、安全标准及规范不健全、医疗人员网络安全意识淡薄等，直接威胁人民生命安全和国家战略安全。建议从加大医疗器械入市审查、完善医疗网络安全标准体系及测评规范、建设医疗网络安全漏洞库、提高医疗行业人员的网络安全意识、加强医疗网络安全防护并提高应急响应能力等方面，提高国家医疗行业整体网络安全水平，从而确保国家战略安全和医疗行业健康快速发展。

一、医疗网络安全问题分析

随着移动互联网、人工智能、云计算、大数据等技术的发展，医疗机构遭受网络攻击、医疗数据被泄露的风险与日俱增。2018年4月，赛门铁克发布的报告显示，黑客组织Orangeworm针对位于美国、亚洲和欧洲国家的医疗机构发动攻击和间谍活动，该黑客组织自2015年起开始活跃，在所攻击的组织机构中，医疗机构将近40%，比例最高；其次是制造业和信息技术，占比均为15%；农业、物流相对较低，占比均为8%。

通过大量调研和分析，课题组发现，当前医疗网络安全隐患具体表现在六方面。

一是医疗设备存在的安全漏洞呈现集中爆发趋势。强生、雅培、美敦力等公司生产的心脏起搏器、胰岛素泵、血糖仪、凝血检测仪等医疗设备不断被爆出存在大量的高危安全漏洞，大部分均可实现“远程遥控杀人”，层出不穷的医疗器械安全漏洞对患者的生命安全造成极大威胁和隐患。由于医疗数据地下黑产的持续火爆，在利益驱动下医疗领域已成为黑客攻击的首选目标。根据美国国家漏洞库N V D 的统计，通过“medical”“insulin Pump”等关键字检索，可以发现面向医疗器械的安全漏洞呈增长趋势，截至2021年3月1日，NVD总共收录143个医疗安全相关漏洞（见图1），近三年合计112个，2020年高达47个。

二是数据资产泄露层出不穷。医疗器械的智能化、网络化和移动化发展极大地提升了效率，但也面临新的安全威胁和隐患，如远程攻击、越权访问、拒绝服务等，这造成患者大量医疗数据资产被泄露。近年来医疗诊断和个人敏感数据泄露事件层出不穷，例如，2018年6月新加坡发生严重医疗数据泄露事件，包括总理李显龙在内的150万患者的医疗数据和16万患者的门诊数据被泄露。更为严重的是，基因数据等人类遗传资源数据可能成为重要的泄露目标，尽管人类遗传资源信息的共享有助于推进各类疾病的研究和预测，但是如果被其他国家或敌对势力用于研究针对中国人种的特定生物武器，将会直接威胁国家战略安全和中华民族人种遗传安全。例如，华大基因、上海华山医院等6家单位未经许可将部分中国人类遗传信息跨境传输给牛津大学等国外研究机构。其中，华大基因收集了超过14万名中国孕妇的部分基因组样本，并完成了迄今最大规模的中国人基因组测序和分析，并将成果发表在美国《细胞》杂志上。华大科技未经许可将部分人类遗传资源信息从网上传递出境，违反了《人类遗传资源管理暂行办法》相关规定，可能会导致中国人类资源相关研究材料和数据流落海外，因此受到了科技部行政处罚。

图1 2010—2020年医疗安全漏洞统计

三是勒索病毒活跃于医疗行业。由于医疗系统的脆弱性以及医疗行业的特殊性，近年来勒索病毒持续活跃。2018年9月举办国家网络安全宣传周，中国医院协会信息管理专业委员会（CHIMA）和腾讯智慧安全发布了《医疗行业勒索病毒专题报告》，指出湖南省儿童医院、湖北襄阳南漳县等在内的247家三甲医院被检出勒索病毒(WannaCry、GlobeImposter、Magniber、Satan等勒索病毒家族)，其中广东、湖北、江苏等地区检出勒索病毒最多。2019年5月29日，深信服安全团队检测到新型勒索病毒Attention正在活跃，并开始感染医疗和半导体行业。WannaCry和后期变种勒索病毒采用RSA混合加密，除非支付比特币等虚拟货币，一旦中招很难解密。

四是网络安全标准待完善。医疗设备攻击增多严重威胁网络安全。解决医疗器械网络安全问题具有特殊性和紧迫性，加强和完善医疗安全相关的配套政策、标准、法律法规势在必行，这对于整体推动医疗器械安全以及医疗器械的市场准入具有很大的研究价值和现实意义。虽然美国和中国等国家均出台了相关的指导原则，但是缺少医疗器械网络安全相关标准和实际可操作性的测评规范及方法。目前，国家互联网应急中心联合国家食药监局等多家单位共同起草和修订了《医用诊断X射线影像设备连通性符合性基本要求：第1部分》，六个医疗射线类设备网络安全的行业标准已经审定完毕。但是仍然缺少大量面向专业医疗器械的网络安全标准以及测评规范，这将对医疗器械的网络安全审查和评估造成一定的障碍，需要针对医疗器械的设计、研发、入市、售后等各个阶段出台相应的网络安全标准和规范，从而整体上提高医疗器械的网络安全水平。

文章来源：《中国医疗器械信息》 网址: http://www.zgylqxxx.cn/qikandaodu/2021/0623/1492.html