在国家出台网络安全等级保护2.0标准的背景下,医院在选择云端安全产品时,一定要更加审慎,提前考虑等保2.0标准的要求,这也是上云必须要解决的问题。
医院网络安全出问题不再是“家事”
近日,山西省原平市第一人民医院和忻州市和美妇产医院因未履行网络安全等级保护制度,受到行政处罚。
经调查发现,两家医院因未履行网络安全等级保护制度,网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,严重影响网站信息安全,同时该网站未办理等级保护备案手续。被处以行政警告处罚,并责令其限期整改。
然而,这并非个例。
2019年5月,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”,重庆永川公安组织网安刑侦民警、勘验民警、管理民警、技术支持专家赶赴现场对该案件进行调查核实。
经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。
黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。
针对此案,公安部门按照公安部“一案双查”工作要求,对医院未按照网络安全等级保护制度的要求履行安全保护义务的行为进行查处,并按照《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。
2019年1月,河南安阳市某医院因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展。公安机关对网络攻击行为开展立案侦查的同时,依据《网络安全法》第五十九条之规定,对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。
数据安全成为医院安全规划和建设的重点
当前,医疗信息化的加速发展,给人们就医保健带来极大便捷,但同时也增加了医疗保健数据的泄漏的风险,医疗数据安全状态对整个社会的安全具有重大而深远的影响。近两年,医疗数据泄露事件不断发生,大量的患者信息泄露,带来的后果非常严重。
为进一步加强医院信息安全,各地加强网络安全等级保护制度。数据安全成为医院安全规划和建设的重点。
2019年5月,网络安全等级保护制度2.0标准正式发布。由于医疗行业的行业特殊性,在等保2.0发布之前,医疗行业就已经是等级保护测评的重点对象了。
等保制度2.0标准出台后,国家和主管单位均对医院信息网络安全建设提出了进一步的要求。加强数据安全成为医院安全规划和建设的重点。
加固医院网络安全刻不容缓
顶层设计和法律制度都已经就位,但反思和审视医院信息化和网络安全,尤其是借鉴新冠疫情防控管理中显现出的短板和不足。
三大短板:
医院网络信息安全意识不足。信息网络安全仍然停留在信息技术部门,甚至信息技术部门自身对网络安全的系统认识仍然不足。医院的信息系统用户觉得信息安全离自己很远,信息安全是信息技术部门的事情。实际上,每个人、每个用户都牵动着网络安全。
对于信息技术部门,也简单地认为网络安全仅是一项技术问题,是防和堵的安全设备堆垒,平衡应用和安全时只能防守,没有将网络安全当成系统工程。
医院网络安全管理能力严重不足。医院信息化建设模式导致网络安全缺少整体规划。医院信息化建设项目和产品实施方更加侧重于应用效果,而忽视和弱化了信息安全和信息标准的落地和执行,前置的产品测评和安全评估,加上信息化建设项目缺少完整的工程管理规范流程,医院信息化产品暂时未形成第三方行业准入和监管机制,信息化项目建设的随意性较大,建设过程中变动较大,长此下来,信息化建设留下了非常多的安全漏洞与风险隐患。
医院网络安全管理人才严重缺乏,更缺少系统的安全管理实践,没有实践的历练,再加上意识不足,造成适合安全岗位人才很难配置。缺少规划,缺少人才,
网络安全应急处置体系不健全。网络信息安全应急处置体系在信息工程技术层面尚不完善,延伸到系统用户层面的意识和手段更加不完善,很多用户遇到网络应急事件无所适从,信息工程部门应急处置技术和能力储备难以满足快速响应。疫情防控出现了各种短板,相对成熟的应急管理体系尚存在巨大挑战,还在成长中的网络信息安全应急处置体系建设任重而道远。
三招应对:
从国家总体安全观的战略高度加强医院网络信息安全的认识。医院是重要社会民生领域,信息和网络安全既关系到这个行业的稳定运转,同时医院中还生产记录着大量的生物信息,这些信息甚至可能关乎到一个人种的安全。安全是底线思维,纵使短期能力做不到,也要在管理上时刻关照到,不可轻视,不能放松。
从程序上把安全意识、安全能力、安全管理方法不断固化下来。要从完善信息化建设项目的流程上入手,把网络信息安全从设计阶段就启动,纳入全流程和全过程管理,从产品的审查、安全方案设计评审、建设过程中安全方案的落地,验收阶段的安全测评,应用阶段的安全管理,就像站岗和疫情防控测体温一样,把安全岗哨通过流程化的方式建立起来,纵然能力不足,但布局已定,一定会促进医院网络安全管理。
在实践中锻炼能力和积累方法。从安全教育培训入手、从安全建设规划实施,从网络安全的日常监测、评估、管理和持续改进一步步做起,对照网络安全法和等级保护制度,依法依规逐步推进,建设网络安全监测系统,建立网络安全定期评估制度,研判和分析日常网络安全事件,及时堵塞安全漏洞,平衡应用需求与网络安全,开展应急演练,完善应急处置流程,这些能力和方法的体现形式既有网络安全的信息化产品,也有网络安全测评管理咨询,还要形成安全评估的系列方法,同时完善和丰富安全制度,完善应急处置操作流程等等。(文章来源:县域卫生传媒,记者:沐尧)