互联网时代医疗网络安全现状及对策(2)

五是医疗相关工作人员安全意识薄弱。厂商或者医疗系统操作员等在登录医疗相关系统时，多数医疗系统账号的密码安全等级比较低，部分医疗相关部门管理人员甚至希望不设置密码或者设置非常简单的密码，系统用户名和密码贴在电脑旁或者多个系统共用同一个账号和密码，还常常出现医疗设备主机机箱没有加锁或者机柜钥匙就插在锁上的情况，很容易遭到黑客的暴力破解、撞库攻击、钓鱼邮件、SQL注入等攻击，这不仅对安全溯源和责任追究比较困难，而且威胁医疗设备及相关系统安全。另外，医疗机构管理不够严谨，网络安全管理能力不高，低权限网络维护人员通常具有大量高权限账户，致使人为的“数据泄露门”事件频发。

六是医疗网络安全防护能力亟待提升。目前，现有的医疗设备网络安全防护技术体系主要是从医疗设备及其配套软件的系统安全和应用安全的角度出发设计的，医疗设备仅具备了基本网络安全防护能力，但是由于医疗器械研发初期较少考虑网络安全以及医疗嵌入式设备固件升级困难，导致医疗网络对于患者健康数据的保护有所欠缺。当前，针对高级安全威胁的防御能力较弱，特别是在存储保密性和传输保密性等方面，缺乏有效的安全防护机制。

二、强化医疗网络安全与隐私保护的对策建议

医疗设备信息安全建设任重道远，不仅需要厂商参与，还需要医院、监管部门的多方配合，为此提出如下建议。

一是建立医疗器械网络安全入市审查和召回制度。国家药品监督管理局等相关主管部门应高度重视医疗设备安全，积极提升医疗器械的设计、研发、生产、销售等全生命周期网络安全水平。把医疗设备上市的网络安全审评工作作为必不可少的入市审查环节，加大医疗器械网络安全审评工作，研究医疗器械入市前和入市后的网络安全指导、测评规范和测试方法，对医疗器械的入市审查和评估、入市后的召回及漏洞修复等工作制定完善的工作方案，加强对医疗器械网络安全的监管和审查，提高医疗器械的网络安全水平。

二是加强数据监管，杜绝信息泄露和违规跨境传输。完善数据跨境传输的法律和规章制度，研究违规数据跨境传输的监管技术，加强国家层面的敏感医疗数据跨境流动监控，强化技术手段监控，通过行政手段管理，最大限度地加强医疗数据资产的监管。

三是建设医疗网络安全漏洞库。国家主管部门应该加大医疗器械专用漏洞库的建设工作。从医疗器械的各个组件出发，采集现有的医疗器械漏洞和漏洞验证机制，不断挖掘和积累医疗器械相关的安全漏洞，逐步积累形成专用漏洞库，支撑医疗器械漏洞的扫描和修复，强化检测和修复医疗器械安全漏洞的能力。

四是完善医疗网络安全标准体系及测评规范。根据当前信息技术和管理水平的发展和变化，继续优化医疗器械网络安全相关指导原则，大力推进各类医疗器械网络安全国家标准的起草和修订工作，制定安全框架、设计、评估、安全指导、应急响应、安全防御等医疗器械全生命周期范围内的网络安全标准，优化测试规范，形成面向医疗行业的通用和专用的网络安全标准及测评规范。国家主管部门应该联合医疗行业厂商和安全厂商，不断完善医疗设备网络安全标准，积极开展网络安全研讨会，探索医疗设备网络安全问题及相关安全漏洞防御策略和手段，不断完善医疗网络安全标准及测评规范。

五是提高医疗行业人员的网络安全意识。加强对医护相关人员的网络安全培训工作。通过线下集中、线上定期培训的模式开展网络安全培训，提高医护相关人员的安全意识，同时把责任落实到人，尽可能减少因人员安全意识薄弱导致的医疗数据泄露事件的发生。

六是加强医疗网络安全防护,提高应急响应能力。强化医疗设备制造商对其生产的医疗设备及相关系统的网络安全保障责任，加大安全研发、运维方面的投入，积极推进医疗设备制造商组建安全团队，提前做好医疗器械网络安全应急响应预案，定期开展医疗设备及系统在漏洞扫描、恶意代码检测和人工渗透测试等方面的安全自检。积极推动医院维护现有医疗设备网络安全，加强与制造商和安全厂商的沟通和交流，加大安全运维投入，持续关注医疗数据资产跨境传输和泄露、人工智能安全威胁、高级可持续性威胁、植入式/移动医疗器械安全等问题，定期开展漏洞扫描、补丁更新等安全检查。

文章来源：《中国医疗器械信息》 网址: http://www.zgylqxxx.cn/qikandaodu/2021/0623/1492.html