隨著黑客不斷采用各種惡意軟件工具，醫(yī)療行業(yè)正在抵御一波勒索軟件攻擊。最近的一項調(diào)查發(fā)現(xiàn)，在過去的四年中成功打擊了172次針對醫(yī)療保健系統(tǒng)的網(wǎng)絡攻擊。

[[321847]]

除醫(yī)院和診所外，醫(yī)療保健行業(yè)還包括牙科服務提供者，老年護理提供者，醫(yī)療檢測，實驗室，健康保險，醫(yī)療用品等。盡管74%的攻擊針對醫(yī)院和診所，但該行業(yè)的任何部門都可能成為勒索軟件攻擊的犧牲品。只要它能夠保存有價值的患者數(shù)據(jù)或能夠產(chǎn)生收益，黑客就將設法破壞該系統(tǒng)的這一部分。

自2016年以來，已經(jīng)在1,446個各種醫(yī)療組織(包括醫(yī)院，診所等)上記錄了172起個人攻擊?？傮w費用估計為1.57億美元，但實際數(shù)字可能更高，因為很少有機構報告付款或最終費用。

根據(jù)攻擊的大小和目標，贖金的價值千差萬別，從最低的1600美元到最高的1400萬美元。而且，這還不包括停機時間的成本，停機時間可能遠遠超過付款本身，尤其是因為要完全修復大型醫(yī)院的基礎架構可能需要幾個月的時間。

自2016年以來，有關黑客需求的最佳估計總計約為1,648萬美元，但缺乏透明度會影響公共數(shù)據(jù)。收集過去四年中所有已知的付款只會產(chǎn)生640,000美元。

美國的大多數(shù)醫(yī)療保健行業(yè)都是私人的，并非所有機構都報告有入侵或攻擊。此外，只有安全事件影響到至少500人(這是任意行)，美國衛(wèi)生服務部才共享數(shù)據(jù)。Comparitech 調(diào)查收集了來自官方政府來源的數(shù)據(jù)，并匯總在一個地方。

醫(yī)療數(shù)據(jù)安全存在哪些風險?

• 數(shù)據(jù)管控風險

雖然醫(yī)療組織正在逐漸增強數(shù)據(jù)安全意識，但關于數(shù)據(jù)管控尚未建立統(tǒng)一管理機制，制度的完善相對滯后，同時“互聯(lián)網(wǎng)+”等新興業(yè)態(tài)的不斷涌現(xiàn)，并滲透至醫(yī)療領域的各個環(huán)節(jié)，客觀上導致原本相對封閉的使用環(huán)境被逐漸打破。

• 外部攻擊風險

醫(yī)療行業(yè)數(shù)據(jù)價值高，很容易引發(fā)來自互聯(lián)網(wǎng)的攻擊行為，漏洞如果無法及時修復，自然會為外部攻擊提供了途徑，黑客能夠非常精準地獲取數(shù)據(jù)，繼而進行精確詐騙，因此必須采取有效措施應對外部攻擊風險。

• 數(shù)據(jù)交換風險

為了規(guī)避數(shù)據(jù)交換風險，需要建立科學的對外數(shù)據(jù)交換標準，提高數(shù)據(jù)安全要求，同時強化對病患敏感數(shù)據(jù)的脫敏處理能力。

• 數(shù)據(jù)泄露風險

內(nèi)部人員的權限管控制度如不完善，非權限人員便可隨意訪問病患隱私信息，數(shù)據(jù)泄露風險很大;加之內(nèi)部人員監(jiān)管手段不足，引發(fā)取證難等更多問題。

保護數(shù)據(jù)安全，從HTTPS加密開始

如何保障平臺數(shù)據(jù)安全也成為了各級單位不可忽視的一個問題，當今互聯(lián)網(wǎng)環(huán)境下，各類數(shù)據(jù)泄露事件頻發(fā)，對國家和個人造成的影響都是巨大的，信息安全是實現(xiàn)平臺安全的第一道防線，必須要為平臺加上一把“安全鎖”——SSL證書。

網(wǎng)絡安全威脅可能會從各個渠道滲透到醫(yī)療系統(tǒng)中，任何一個疏忽都可能導致前功盡棄,因此數(shù)安時代GDCA建議醫(yī)療機構建立全面的網(wǎng)絡安全防護，在服務器、網(wǎng)絡、終端等多個渠道提升網(wǎng)絡威脅防御能力，防護患者入口網(wǎng)站、電子病歷系統(tǒng)、醫(yī)療終端等各個節(jié)點，防止數(shù)據(jù)外泄，第一步就是要實現(xiàn)HTTPS加密。

我們都知道在HTTP頁面中，用戶的各項數(shù)據(jù)都是明文出現(xiàn)在互聯(lián)網(wǎng)中，一旦數(shù)據(jù)在傳輸過程中被人截獲，就會被泄露，更有甚者，還會遭到惡意篡改。數(shù)安時代GDCA建議各醫(yī)療機構盡快將網(wǎng)站、APP等遷移到HTTPS加密，在數(shù)據(jù)傳輸層就對數(shù)據(jù)進行全方位保護，避免數(shù)據(jù)被泄露或篡改，同時也樹立權威的官方形象。

HTTPS加密在醫(yī)療平臺的作用：

身份驗證：通過驗證HTTPS中的SSL證書信息，確認網(wǎng)站的真實身份，增強用戶識別正確醫(yī)院網(wǎng)站信息，避免用戶點擊了假冒醫(yī)院網(wǎng)站而上當受騙。

數(shù)據(jù)加密傳輸：通過SSL加密層，對傳輸?shù)臄?shù)據(jù)進行加密和解密，確保數(shù)據(jù)在傳輸過程中的安全，保障數(shù)據(jù)的機密性和完整性。

保障病人隱私信息：經(jīng)過SSL層加密后，用戶的個人住址、聯(lián)系電話、病歷內(nèi)容等都經(jīng)過嚴密的加密，第三方無法進行竊取，保障了用戶隱私信息的安全，同時也增強用戶對平臺的信任感。

促進全國HTTPS加密進程：全國推行HTTPS加密已成趨勢，醫(yī)療信息平臺應該走在最前沿，率先推進HTTPS的進程，保護廣大民眾的醫(yī)療信息安全，更維護好醫(yī)療系統(tǒng)機密數(shù)據(jù)不被第三方竊取。