2024年剛一開年，本就表現(xiàn)不佳的醫(yī)療行業(yè)網(wǎng)絡(luò)安全紀(jì)錄再一次被刷新——聯(lián)合健康旗下Change Healthcare所遭遇的數(shù)據(jù)勒索事件已被認(rèn)為是迄今為止美國醫(yī)療行業(yè)最嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難。

這起網(wǎng)絡(luò)安全事件的影響范圍之廣、影響程度之深，影響時間之長史上罕有，以至于美國國務(wù)院辦公廳也在3月27日公開懸賞1000萬美元，鼓勵知情者為抓捕導(dǎo)致本次事件的黑客提供信息。

這一嚴(yán)重的網(wǎng)絡(luò)安全災(zāi)難事件為何創(chuàng)造了歷史，究竟可以給我們帶來什么樣的思考和借鑒？動脈網(wǎng)對行業(yè)專家進(jìn)行了深入了解，希望可以為行業(yè)參考。

醫(yī)療史上最大的網(wǎng)絡(luò)安全災(zāi)難

Change Healthcare成立于2006年，并于2019年上市。到2021年，Change Healthcare已成為全美最大的商業(yè)處方處理商，每年需要處理150億筆交易，大約占全美線上處方的三分之一。其支付結(jié)算網(wǎng)絡(luò)覆蓋全美約90萬名醫(yī)生、11.8萬名牙醫(yī)、3300家藥店、5500家醫(yī)院和600家實(shí)驗(yàn)室。

2021年，聯(lián)合健康子公司Optum以135億美元將Change Healthcare納入帳下。這也是聯(lián)合健康成立以來金額最大的收購案，一度導(dǎo)致美國司法部的反壟斷訴訟。雖然最后獲得了放行，但公眾一直質(zhì)疑此次收購的合理性。

從2024年2月21日開始，Change Healthcare的支付網(wǎng)絡(luò)遭到黑客攻擊，導(dǎo)致遍布全美的藥店及醫(yī)療機(jī)構(gòu)無法開具處方，更無法進(jìn)行保險結(jié)算。出于安全考慮，美國醫(yī)院協(xié)會（AHA）建議所有使用Change Healthcare結(jié)算網(wǎng)絡(luò)的醫(yī)療機(jī)構(gòu)考慮主動斷開結(jié)算網(wǎng)絡(luò)。至此，全美約1/3的醫(yī)療支付結(jié)算網(wǎng)絡(luò)徹底癱瘓。

一周后的2月28日，曾經(jīng)在去年對米高梅和凱撒醫(yī)療發(fā)起攻擊的AlphV/BlackCat黑客組織聲明對本次事件負(fù)責(zé)，并聲稱已竊取高達(dá)8TB的數(shù)據(jù)，包括患者個人信息及企業(yè)數(shù)據(jù)。黑客組織要求聯(lián)合健康支付醫(yī)療行業(yè)創(chuàng)紀(jì)錄的2200萬美元贖金，否則將會把竊取全部公開。

聯(lián)合健康很快承認(rèn)了黑客組織的說法。隨后，據(jù)外媒報道一個與AlphV關(guān)聯(lián)的比特幣地址在3月1日的單筆交易中收到了價值2200萬美元的比特幣。盡管聯(lián)合健康拒絕承認(rèn)，但諸多分析認(rèn)為，基于區(qū)塊鏈的特點(diǎn)，這一交易極有可能是聯(lián)合健康支付的贖金。

結(jié)算網(wǎng)絡(luò)的中斷導(dǎo)致了大量的不便。各方都無法在線上取得處方，也無法通過保險進(jìn)行結(jié)算支付。患者只能自費(fèi)支付買藥，更不要提享受應(yīng)有的優(yōu)惠。不少醫(yī)療機(jī)構(gòu)無法得到保險支付，大型醫(yī)療機(jī)構(gòu)尚且有有現(xiàn)金流支撐，社區(qū)醫(yī)生則只能動用存款乃至借款勉強(qiáng)應(yīng)付開支。

迫于無奈，各方都采取了不少臨時措施。比如，美國衛(wèi)生與公眾服務(wù)部（HHS）要求醫(yī)保部門在結(jié)算網(wǎng)絡(luò)中斷期間取消或放寬事先授權(quán)要求，并向受攻擊影響最大的醫(yī)療機(jī)構(gòu)提供預(yù)付款。此外，部分地區(qū)管理機(jī)構(gòu)也要求接受紙質(zhì)或傳真的報銷，并延長報銷申請時限。

聯(lián)合健康也從3月1日起啟動了臨時資金援助計劃，在支付結(jié)算完全恢復(fù)前為受到影響的醫(yī)生和醫(yī)療機(jī)構(gòu)提供資金補(bǔ)助，覆蓋醫(yī)生和醫(yī)療機(jī)構(gòu)同期歷史支付水平與網(wǎng)絡(luò)中斷后付款的差額。截至4月3日，聯(lián)合健康宣稱已提供了近47億美元的補(bǔ)助。

然而，這并不能覆蓋所有損失。因?yàn)闊o論何種替代方案都需要大幅改變工作流程，從而增加大量額外成本。據(jù)外媒報道，一名受影響的醫(yī)生表示，這次事件導(dǎo)致其所需額外支付的工資支出高達(dá)5萬美元；另一位醫(yī)生則估計，這已導(dǎo)致10萬美元的額外成本。

根據(jù)估算，單是醫(yī)生和醫(yī)療機(jī)構(gòu)每天的損失就超過1億美元，給流動性本就十分緊張的醫(yī)療機(jī)構(gòu)帶來了嚴(yán)重的財務(wù)挑戰(zhàn)。

美國醫(yī)院協(xié)會的統(tǒng)計顯示，94%的受訪醫(yī)院正在經(jīng)歷網(wǎng)絡(luò)攻擊的財務(wù)影響，82%的醫(yī)院表示服務(wù)中斷影響了他們的現(xiàn)金流，有三成醫(yī)院表示受影響收入達(dá)一半以上。此外，近3/4的受訪醫(yī)院表示服務(wù)中斷已經(jīng)對患者治療產(chǎn)生直接影響。

這種不滿自然而然導(dǎo)致了大量針對聯(lián)合健康的指責(zé)和訴訟。與此同時，要求拆分聯(lián)合健康的言論也日益高漲。聯(lián)合健康的股價也因此受到嚴(yán)重影響，2月21日其收盤價還在521.97美元，此后一路下滑，最低曾跌至439.2美元。雖然第一季度財報公布后一度回升至501的水平，但此后又開始下跌。

在距離事發(fā)超過3周時間后，Change Healthcare的網(wǎng)絡(luò)終于陸續(xù)開始恢復(fù)。從3月15日開始，平臺的核心功能陸續(xù)恢復(fù)，開始處理積壓的140億美元的報銷。但直到4月底，平臺仍未完全恢復(fù)，部分功能仍處于不可用狀態(tài)。顯然，這種修復(fù)工作并沒有想象中那么容易。

另一方面，原本以為已經(jīng)完結(jié)的數(shù)據(jù)泄露事件又迎來了戲劇性的升級。一般來說，有組織的數(shù)據(jù)勒索事件會有多個組織參與，各自具有明確的分工，并按照事前約定共享贖金。但一個名為RansomHub的黑客組織在4月初聲明，AlphV已經(jīng)卷款跑路，并未向他們支付應(yīng)有的份額，要求聯(lián)合健康支付贖金。

隨后，該組織于4月中旬在暗網(wǎng)上公開展示了一些文件證明其所言不虛，其中包含電子賬單、保險記錄和醫(yī)療信息在內(nèi)的患者個人信息，以及Change Healthcare與合作伙伴的合同協(xié)議。

目前，聯(lián)合健康還未回應(yīng)，事態(tài)將如何發(fā)展令人關(guān)注。

醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀堪憂，投入不足是核心

一個顯而易見的問題是，Change Healthcare及其背后的聯(lián)合健康毫無疑問是全球醫(yī)療行業(yè)的巔峰所在，理論上其網(wǎng)絡(luò)安全防護(hù)水平即使在全行業(yè)也應(yīng)屬于頂尖水平。那么，為什么這樣的巨頭也難以防范網(wǎng)絡(luò)攻擊？

深信服安全產(chǎn)品高級專家文槿奕向動脈網(wǎng)介紹到，本次聯(lián)合健康旗下Change Healthcare遇到的“三重勒索”是近年來十分流行的黑客攻擊手段，非常難以防范。

“所謂三重勒索混合了三種攻擊手段。其一是侵入系統(tǒng)對核心數(shù)據(jù)進(jìn)行加密鎖定，使目標(biāo)無法使用數(shù)據(jù)，導(dǎo)致業(yè)務(wù)停滯。其二是入侵后對目標(biāo)服務(wù)器和網(wǎng)絡(luò)進(jìn)行過飽和DDoS攻擊，使被侵入的服務(wù)器和網(wǎng)絡(luò)完全陷入癱瘓。部分案例中，黑客甚至還會對目標(biāo)高層人員及客戶進(jìn)行持續(xù)騷擾。其三，黑客在加密數(shù)據(jù)之前早已將其進(jìn)行竊取，并威脅將其進(jìn)行公開。”

“這種針對性很強(qiáng)的入侵往往準(zhǔn)備充分，部分案例準(zhǔn)備過程甚至可以年計。即使是聯(lián)合健康這樣的巨頭也是防不勝防，不支付贖金直接面臨業(yè)務(wù)停擺，即使能夠恢復(fù)業(yè)務(wù)，也會因核心數(shù)據(jù)的泄密公開導(dǎo)致巨大的法律風(fēng)險，導(dǎo)致巨大的經(jīng)濟(jì)損失及長期品牌信譽(yù)度的喪失。因此，企業(yè)進(jìn)退兩難。”文槿奕表示。

令人擔(dān)憂的是，醫(yī)療行業(yè)受到黑客攻擊的程度正在迅速加深。網(wǎng)絡(luò)安全公司Emsisoft的報告顯示，2023年，美國醫(yī)療行業(yè)遭受網(wǎng)絡(luò)攻擊46次，比2022年的25次接近翻番。這些攻擊影響了多達(dá)141家醫(yī)療機(jī)構(gòu)，受到影響的人群約占美國人口的三分之一。

黑客們的胃口也越來越大，要求的贖金數(shù)量迅速增加。2018年，美國醫(yī)療行業(yè)平均每次數(shù)據(jù)勒索被要求的贖金還只有5000美元，2023年這一數(shù)字已經(jīng)一舉達(dá)到150萬美元，幾年間提升了300倍！

事實(shí)上，這不過只是冰山一角，還有多得多的未被公開的網(wǎng)絡(luò)攻擊事件。

國內(nèi)醫(yī)療行業(yè)網(wǎng)絡(luò)安全的現(xiàn)狀同樣不容樂觀。近年來，坊間不時傳聞國內(nèi)醫(yī)療機(jī)構(gòu)因遭到數(shù)據(jù)勒索，不得已支付贖金。

對于國內(nèi)醫(yī)療行業(yè)面臨的巨大的網(wǎng)絡(luò)安全挑戰(zhàn)，中電數(shù)字常務(wù)副總經(jīng)理徐輝認(rèn)為，主要有幾個原因：

首先，最為重要的原因是資金預(yù)算不足。“經(jīng)濟(jì)較發(fā)達(dá)的一二線城市大三甲醫(yī)院的投入相對會充足一些。但經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)，尤其是基層乃至偏遠(yuǎn)山區(qū)的醫(yī)療機(jī)構(gòu)能把正常的醫(yī)療業(yè)務(wù)支撐起來就頗為吃力，在網(wǎng)絡(luò)安全保障的投入上明顯得不到足夠的資金支撐。”他表示。

同時，在人才分布上各地也不均衡。徐輝表示，網(wǎng)絡(luò)安全及數(shù)據(jù)安全是新興行業(yè)，相應(yīng)的安全專業(yè)人才市場上本就儲備不足，大多都聚集在經(jīng)濟(jì)水平較高的一二線城市，技術(shù)力量也較難下沉到三四線城市。“經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)的醫(yī)院想找到專業(yè)的安全企業(yè)咨詢交流都不是一件容易的事。”他補(bǔ)充道。

尤其投入不足嚴(yán)重制約了醫(yī)療機(jī)構(gòu)的安全能力。美創(chuàng)科技數(shù)據(jù)安全技術(shù)專家彭克建在與動脈網(wǎng)的交流中就提到多數(shù)醫(yī)院投在網(wǎng)絡(luò)安全上的預(yù)算極為有限：“除了少數(shù)知名醫(yī)院具有比較好的信息化能力，多數(shù)醫(yī)院信息科人手嚴(yán)重不足。有的醫(yī)院總共就只有兩三個人，專業(yè)能力也參差不齊，維持信息化系統(tǒng)運(yùn)維就已經(jīng)頗為吃力，更不要說顧及網(wǎng)絡(luò)和數(shù)據(jù)安全。”

“醫(yī)院需要合規(guī)的要求很多，每年信息化的投入80-90%都需要花在保障業(yè)務(wù)運(yùn)營上。花在安全上的預(yù)算很少，基本就是必需的等保測試費(fèi)用。除此之外，想要做更多的安全保護(hù)建設(shè)和升級基本上就不太可能了。”他表示。

“舉個例子，堡壘機(jī)是必須的安全機(jī)制。正常情況下，第三方運(yùn)維人員登錄醫(yī)院服務(wù)器資源必須通過堡壘機(jī)分配獲得賬號，實(shí)現(xiàn)安全可控的訪問。不過，我們發(fā)現(xiàn)不少醫(yī)院的堡壘機(jī)除了在等保測試和檢查時開啟，平時很少啟用。由于醫(yī)院信息系統(tǒng)較多，幾十個業(yè)務(wù)系統(tǒng)可能涉及不同的企業(yè)。運(yùn)維人員會覺得堡壘機(jī)的賬號分配及權(quán)限管理增加了很多工作量，加之設(shè)置的確需要一定的專業(yè)知識，所以，部分醫(yī)院很少啟用堡壘機(jī)。”他補(bǔ)充道。

彭克建進(jìn)一步表示，多數(shù)醫(yī)院缺乏網(wǎng)絡(luò)和數(shù)據(jù)安全防患于未然的思維：“不少醫(yī)院是采取輪崗方式?jīng)Q定分管信息化的領(lǐng)導(dǎo)，會覺得這么多年不投入安全似乎也沒有出過什么問題。只有真正遇到安全事故后，醫(yī)院才會有所動作。比如遭遇數(shù)據(jù)勒索，尋求解決方案并部署相應(yīng)的產(chǎn)品。”

在具體的技術(shù)細(xì)節(jié)上，文槿奕則提出了獨(dú)到的見解，認(rèn)為忽視端側(cè)防御是目前醫(yī)療行業(yè)存在的通病：“很多醫(yī)院還是傳統(tǒng)思維，希望能夠加固它們的邊界，對態(tài)勢感知、防火墻等網(wǎng)關(guān)測的安全層層加固。它們希望盡可能把網(wǎng)絡(luò)威脅擋在‘墻’外。對于網(wǎng)絡(luò)安全最后一公里的端側(cè)安全，雖然這兩年稍微有所改善，但起碼毛估不少于2/3的醫(yī)療客戶實(shí)際上是比較忽略的。”

“我見過很多客戶要么什么都不裝，要么只是裝一個最基礎(chǔ)的傳統(tǒng)殺毒軟件。傳統(tǒng)殺毒軟件基于庫及規(guī)則的簡單對比來識別威脅，對于日新月異的變種威脅力不從心。新威脅不僅容易繞過傳統(tǒng)殺軟檢測，還極有可能直接卸載掉殺軟，讓端側(cè)失去防護(hù)，基本就等同于什么都不裝了。”

堡壘往往是從內(nèi)部被攻破，幾千年前的特洛伊木馬如此，如今的網(wǎng)絡(luò)安全依然如此。

“傳統(tǒng)的‘重網(wǎng)輕端’的防御思路已經(jīng)不可取了。這次聯(lián)合健康被入侵成功很大可能就是從端側(cè)投毒成功。企業(yè)規(guī)模越大，端側(cè)設(shè)備的數(shù)量也更龐大，更分散。要應(yīng)對這些新威脅，也需要把端點(diǎn)安全，尤其是服務(wù)器端進(jìn)行統(tǒng)一加固。”

文槿奕認(rèn)為，導(dǎo)致“重網(wǎng)輕端”思路的原因主要有三類。第一類是因?yàn)獒t(yī)院信息人員對網(wǎng)絡(luò)安全的認(rèn)識還停留在過往，對這類思路比較認(rèn)同。

第二類是因?yàn)獒t(yī)院規(guī)模較大，包括PC和服務(wù)器在內(nèi)的端點(diǎn)數(shù)非常多，運(yùn)維管理非常困難。“他覺得這種方式還會加大日常安全運(yùn)維的難度。原來的方式下，醫(yī)生說電腦很卡，信息科派人過去看一下，或者裝個殺毒軟件就可以了。加強(qiáng)端側(cè)安全會提升對運(yùn)維的要求，搞不好會把一些業(yè)務(wù)相關(guān)的進(jìn)程直接做隔離，進(jìn)而影響業(yè)務(wù)——畢竟醫(yī)院那么多信息化系統(tǒng)，質(zhì)量和來源參差不齊。這對于信息科來說反而就有點(diǎn)吃力不討好了。”

第三類則是出于成本的考慮。一方面，端點(diǎn)安全投入成本不低；另一方面，部署對于運(yùn)維來說也是一大難題。“大三甲醫(yī)院的PC和服務(wù)器等端側(cè)數(shù)量龐大。先不考慮安全方案的費(fèi)用，僅僅怎么去做一個批量的快捷部署安裝，怎么保證安裝部署之后不會影響業(yè)務(wù)都是需要考慮的。醫(yī)院的電腦可能很多年都沒有更新了，光硬件更新也是一筆不小的費(fèi)用。”

不難發(fā)現(xiàn)，后兩類原因本質(zhì)上還是因?yàn)橥度氩蛔闼鶎?dǎo)致。

“大多數(shù)醫(yī)院還是只滿足國家政策強(qiáng)制要求的等保合規(guī)，其實(shí)也只是要求他去裝個最基礎(chǔ)的殺毒軟件而已。滿足這樣的要求就好，只要沒有出安全事件。” 文槿奕補(bǔ)充道。

三級等保只能滿足基礎(chǔ)，多管齊下方可保網(wǎng)絡(luò)安全

顯然，等保合規(guī)可能是目前醫(yī)院在安全上投資的為數(shù)不多的動力。那它是否足以滿足網(wǎng)絡(luò)安全的需要呢？

對于醫(yī)院來說，通過等保是強(qiáng)制性要求。早在2011年12月，前衛(wèi)生部就發(fā)布《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》，要求衛(wèi)生行業(yè)按照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》開展定級工作，并明確重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級原則上不低于三級。這也就是俗稱的等保1.0。

2019年5月，國家市場監(jiān)督總局和國家標(biāo)準(zhǔn)化管理委員會發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求（GB/T22239-2019）》，并于 2019年12月開始實(shí)施，標(biāo)志著我國進(jìn)入等保2.0時代。相比等保1.0，等保2.0的要求更加細(xì)化，所包含的系統(tǒng)也更加廣泛。

2020年底發(fā)布的《三級醫(yī)院評審標(biāo)準(zhǔn)（2020年版）》則開始進(jìn)一步對安全實(shí)施“一票否決制”。在第一部分前置要求中提到“發(fā)生大規(guī)模醫(yī)療數(shù)據(jù)泄露或其他重大網(wǎng)絡(luò)安全事件，造成嚴(yán)重后果”將直接延期一年評審。延期期間醫(yī)院原等次取消，按照“未定等”管理。

這些規(guī)定有效地推動了醫(yī)院對網(wǎng)絡(luò)安全的重視，尤其是三級醫(yī)院。在CHIMA《2021-2022年度中國醫(yī)院信息化狀況調(diào)查》中，調(diào)查樣本中三級醫(yī)院有86.4%的比例通過等保三級評測。

不過，三級以下醫(yī)院卻只有22.22%通過等保三級評測。平均來看，通過等保三級評測的醫(yī)院僅有63.56%。全面推動三級等保，顯然還需要更多的時間。

此外，就目前的情況而言，多數(shù)醫(yī)院對于等保僅僅以最低限度的通過為標(biāo)準(zhǔn)，違背了等級保護(hù)的初衷。這其中，僅有一個系統(tǒng)通過三級等保的醫(yī)院占比最多，達(dá)到18.66%；兩個系統(tǒng)通過三級等保的醫(yī)院占比為15.15%，緊隨其后。

當(dāng)然也有好消息——有14.11%的醫(yī)院已有5個系統(tǒng)通過三級等保，對比一年前接近翻番。

即便如此，三級等保也只是滿足了最為基本的網(wǎng)絡(luò)安全要求。彭克建對此表示：“醫(yī)院滿足三級等保做到了網(wǎng)絡(luò)安全基本要求。最近幾年數(shù)字化的進(jìn)程非常快，新業(yè)務(wù)、新場景也很多，坦率地說，三級等保是合規(guī)基線，需要充分考慮業(yè)務(wù)場景帶來的網(wǎng)絡(luò)和數(shù)據(jù)安全風(fēng)險，構(gòu)建一個多層次的安全防護(hù)。”

安恒信息數(shù)據(jù)安全產(chǎn)品總監(jiān)林鷺也表達(dá)了同樣的觀點(diǎn)：“三級等保可以提供基本的安全能力。從法律及合規(guī)的角度來講，三級等保對醫(yī)院也是必須的。但我覺得單單三級等保并不能保證醫(yī)院能夠應(yīng)對諸如數(shù)據(jù)勒索等新型的網(wǎng)絡(luò)攻擊。”

“等保測評其實(shí)是針對于某個組織的某個系統(tǒng)進(jìn)行等保定級。它不是對于一個醫(yī)院整體安全的等級測評。對于黑客而言，他并不需要從你等保級別最高，也就是通過三級等保的系統(tǒng)來突破。他往往是從你對外暴露最多的保護(hù)級別最低的系統(tǒng)來突破，隨后慢慢滲透到核心系統(tǒng)。這也就是我們安全里面講的一個木桶原理。”

林鷺表示，目前的三級等保已經(jīng)是在考慮實(shí)際落地和投入成本后的最優(yōu)解，要從整個組織的層面進(jìn)行規(guī)定，又或者在短期內(nèi)要求醫(yī)院所有系統(tǒng)通過并不現(xiàn)實(shí)。“畢竟每年的信息化投入是有限的。這些系統(tǒng)不僅建設(shè)和維護(hù)需要花錢，等保測評同樣也需要花錢。我們所知三級等保根據(jù)地區(qū)的不同價格不一樣，大概每年需要5-8萬元。醫(yī)院幾十個系統(tǒng)下來一年光等保測評費(fèi)用都需要百萬級別。目前來看，全面覆蓋是不太現(xiàn)實(shí)的。”

從技術(shù)上而言，加強(qiáng)網(wǎng)絡(luò)安全的措施可謂老生常談，比如定期數(shù)據(jù)備份、安全意識培訓(xùn)、及時升級補(bǔ)丁和更新管理、網(wǎng)絡(luò)分段、存取控制、重視電子郵件和網(wǎng)絡(luò)安全、端點(diǎn)保護(hù)、制定事件響應(yīng)計劃、定期安全審計、定期進(jìn)行備份測試和驗(yàn)證等。

通過實(shí)施這些緩解策略，醫(yī)院可以增強(qiáng)其抵御勒索軟件攻擊的能力，并將對其運(yùn)營和數(shù)據(jù)的潛在影響降至最低。但這些措施能夠得到多大程度的執(zhí)行，才是問題的關(guān)鍵。

對于如何幫助醫(yī)療行業(yè)應(yīng)對網(wǎng)絡(luò)安全的挑戰(zhàn)，徐輝給出了幾點(diǎn)思考。

首先需要健全醫(yī)療行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全保障機(jī)制，加強(qiáng)各方合作與聯(lián)動。徐輝認(rèn)為涉及安全的各方，包括政府部門、行業(yè)協(xié)會、服務(wù)企業(yè)和醫(yī)療機(jī)構(gòu)等都需要加強(qiáng)合作，共同防治。

“我們說加強(qiáng)合作，不是指單方面站在各自的立場以單一維度去看這件事。比如，從事網(wǎng)絡(luò)安全和數(shù)據(jù)安全的服務(wù)企業(yè)對醫(yī)療行業(yè)的理解是不足的，需要結(jié)合場景實(shí)踐、法律合規(guī)要求和醫(yī)院管理實(shí)際情況，全維度多方面考慮才能服務(wù)好醫(yī)療機(jī)構(gòu)。另外，黑客的核心是數(shù)據(jù)，數(shù)據(jù)又是在不斷流動的，動態(tài)性很強(qiáng)，很難靠單一維度理清楚，需要各方共同梳理，才能找到合適有效的解決方案。”他表示。

其次，除了加強(qiáng)整個技術(shù)防范的措施，還要不斷完善網(wǎng)絡(luò)安全管理體系。“說到底，三分技術(shù)七分管理，健全整個安全管理制度和流程機(jī)制非常關(guān)鍵。雖然三級等保只提供基礎(chǔ)的安全能力，但它在安全保障上有14個方面多達(dá)300多項(xiàng)要求，對于醫(yī)院網(wǎng)絡(luò)安全保障體系的建立健全是有很大指導(dǎo)意義的。”他表示。

徐輝進(jìn)一步提到：“醫(yī)療行業(yè)所擁有的高凈值數(shù)據(jù)，才是數(shù)據(jù)勒索的核心目標(biāo)。所以，我國在《網(wǎng)絡(luò)安全法》以后又迅速出臺了《數(shù)據(jù)安全法》等一系法律法規(guī)，對原有網(wǎng)絡(luò)安全無法覆蓋的部分進(jìn)行了擴(kuò)展延伸。除了現(xiàn)有的網(wǎng)絡(luò)安全三級等保，數(shù)據(jù)安全等級保護(hù)的相關(guān)標(biāo)準(zhǔn)可能會在6月出臺，相信后續(xù)還會有更多的政策規(guī)范和行業(yè)標(biāo)準(zhǔn)密集發(fā)布。”

徐輝最后提到，目前，數(shù)據(jù)安全的頂層設(shè)計在行業(yè)適配層面做的不夠，其基礎(chǔ)是數(shù)據(jù)的分級分類，這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同，需要非常強(qiáng)的技術(shù)和行業(yè)的適配結(jié)合。從每個醫(yī)院的角度，其對數(shù)據(jù)的使用、管理、流程都不一致。因此，需要在細(xì)節(jié)標(biāo)準(zhǔn)去更加細(xì)化。

寫在最后

醫(yī)療行業(yè)的網(wǎng)絡(luò)安全及更進(jìn)一步的數(shù)據(jù)安全，無疑是一個巨大而長期的挑戰(zhàn)，需要各方面的共同努力。動脈網(wǎng)一直持續(xù)關(guān)注醫(yī)療行業(yè)的網(wǎng)絡(luò)安全和數(shù)據(jù)安全，也希望本文能夠拋磚引玉，歡迎行業(yè)人士提供話題和線索。

參考資料：

Andy Greenberg，Wired.com：Hackers Behind the Change Healthcare Ransomware Attack Just Received a $22 Million Payment

Arundhati Parmar，Medcitynews.com：Tampa General Hospital CEO on Change Healthcare Breach: They Are Going To Have To Give an Update Soon

Emma Bardin，Medcitynews.com：Department of Justice sues to block UnitedHealth from acquiring Change Healthcare

Ron Harman King，Medcitynews.com：Healthcare Docket: A Near Doubling of Hospital System Cyberattacks Triggers Bipartisan Bill

Jill McKeon，healthitsecurity.com：HHS offers resource guide to providers impacted by Change Healthcare cyberattack

Victoria Bailey，healthitsecurity.com：Change Healthcare cyberattack affecting hospital finances, care access

Fred Pennic，hitconsultant.net：UnitedHealth Faces New Ransomware Threat After Alleged $22M Payment Failure

Paige Minemyer，fiercehealthcare.com：AMA: 80% of docs have lost revenue amid disruptions from Change Healthcare cyberattack

CHIMA，《2021-2022年度中國醫(yī)院信息化狀況調(diào)查》