當前全球信息化進程已進入全面滲透階段。醫療健康行業作為關乎國計民生的重要領域，是信息時代極力突破和改善的重點，也是黑客于不發分子最為活躍的領域之一。數字化轉型的新時期，醫療健康行業面臨著諸多網絡安全挑戰，也需要針對性的安全之道。
 
 

醫療健康業面臨四大安全挑戰

       外資醫藥企業的信息安全建設模式與國內企業非常不同。外資企業的全局觀非常好，頂層建筑比較好，比如信息安全的政策、標準、標準作業程序（Standard Operating Procedure，SOP）等建設得非常完善，沒有任何短板，這是其優勢。
信息安全不是堆砌什么設備，包括所謂的人員能力，可能只是信息安全的一部分，更重要是頂層架構的設計和怎么制定信息安全政策和標準，只有這些完善了，企業才知道該怎么做信息安全，這是非常重要的。信息安全建設不能背道而馳，只想著技術問題，其實很多問題并不是技術可以解決的。
      相對來說，醫療健康行業的數字化水平并不先進，尤其是制藥公司屬于生產制造業，其數字化水平普遍較弱。隨著制藥行業逐漸擴展，出現化學藥、生物藥、藥物研發、醫療服務等細分行業之后，整個產業發生了一些不同變化。但國內醫藥行業的信息安全能力普遍較弱。
        最近幾年，醫療行業發生過很多安全事件，比如國內某企業的醫療數據泄露造成很嚴重的刑事和民事處罰。包括基因數據、電子病歷、醫患個人信息等都是高敏感的個人數據。2020年美國最大醫療服務機構之一的Universal Health Services遭到勒索軟件的攻擊。美國各地UHS機構的電腦和電話系統被鎖定。如此等等，不一而足。
總結來看，醫療健康行業最為常見的網絡安全攻擊事件分為以下三類。

1. 以勒索病毒為代表的僵尸、木馬、蠕蟲等惡意程序風險。據中國信通院《2019健康醫療行業網絡安全監測報告》發布的數據顯示，由于釣魚郵件、系統漏洞或弱口令等因素，導致全國約13%的醫療健康企業曾遭受勒索病毒的攻擊，造成巨大損失。
2. 安全隱患導致的大數據泄露風險。醫療健康企業中，高達42%比例的應用服務如數據庫服務、打印機服務等端口，暴露在公共互聯網。
3. 網站篡改風險。醫療健康企業中，約29.6%的網站存在安全隱患，如果官方網站遭遇了惡意篡改，發布“黃、賭、毒”等非法信息，將造成嚴重的社會影響。

 
根據《醫療行業網絡安全白皮書》發布的內容（見下圖），醫療健康行業總體防護水平比較低。現階段，絕大多數醫療健康企業僅采用防火墻保障網絡安全，對網絡進行VPN/VLAN劃分和上網行為管理的醫療健康企業僅過半數，對防入侵、防毒墻等設備的采用率均小于50%。大部分醫療健康企業都缺乏必要的網絡防護設備。58%的信息系統存在弱口令問題；59%信息系統存在網絡防護架構不完善問題，包括網絡區域劃分不合理、網絡鏈路無冗余等問題。


   
醫療健康行業唯一不同的地方是更加需要保障C端用戶個人信息的安全；當然醫療機構更有責任保障病患數據的安全，所以醫療行業企業具有明顯的強制合規要求，要做數據脫敏處理。包括要評估怎么合理使用這些數據；在使用前，必須做合規風險的評估，即在任何項目落實之前一定要做一些自我評估，檢查技術風險、合規風險，甚至于業務風險點，這是做信息安全工作甚至設計業務邏輯時都需要考慮的問題。
目前醫療健康行業信息安全主要面臨以下四大挑戰。
一.數據開放化：隨著“互聯網＋醫療健康”的深入改革，醫療健康企業之間的數據交互更加頻繁，如何確保傳輸過程中的數據安全，約定雙方的責任與義務成為了未來企業發展的一大挑戰。
二.系統終端互聯化:更多的智能自助服務終端、移動設備終端、物聯網終端加入到了醫療健康服務中，通過有線網絡、無線網絡、物聯網絡的方式相互連通依賴并提供各項服務，在拓展了管理抓手的同時也造成了不小的安全風險，不安全的數據使用及共享方式、不安全的醫療設備與物聯網終端設備，都會給企業帶來很大的運營風險，輕則造成經濟名譽損失，重則威脅人們的生命安全。
三.信息系統云化：云計算已經成為了該行業在進行 T 服務架構選擇時候的首選。在使用云計算方式大規模替代傳統物理服務架構的同時，其平臺自身的安全性（包括鏡像安全、資源隔離）、租戶業務應用數據的安全性，在云化之后也成為了主要問題之一，由于傳統的軟硬安全能力對云計算的基礎適配能力不足，導致醫療伍康企業的云上業務安全成為了亟待解決的問題之一。
四.數據價值高，利益巨大：在醫療健康數據價值凸顯的背后，內部人員非法獲取大量的健康信息、處方數據通過非正常渠道方式流通到黑色產業的各個鏈條，數據倒賣等非法行為屢禁不止。2021年國外一條病患數據值15美金，價格已經超過信用卡號碼的價值。醫療信息的價值越來越高，也會引起更多黑客和非法組織把這些企業列為攻擊目標。
 

 

四個醫療網絡安全需求

       隨著數字化轉型的深入推進，目前醫療健康行業對網絡安全的需求日益迫切，主要有以下四個方面。


 
一.醫藥移動業務安全（APP、企業微信、微信公眾號等）
當前醫藥企業也在不斷發展移動業務，例如面向員工、醫生、醫藥代表、病患的移動App。企業微信、公眾號等對外渠道多由業務部門如市場部門負責，一般以用戶體驗及營銷等目的為主。出于業務部的需求，可能會存在過量或不合理收集個人信息乃至個人敏感信息的情形。根據咨詢公司的調研發現，部分醫藥企業微信公眾號等平臺未能進行個人信息最小化收集、使用及披露等。甚至，一些企業可能時至今日還在使用數年前的隱私聲明等。某些業務邏輯也可能涉及到個人隱私、數據安全的合規保障制度等。在此情形下，一旦發生安全事件，可能會導致企業遭受處罰及聲譽風險。
比如，國內病人會為了一個應用上的錯誤打電話投訴，也可能因為企業沒有很好地展示個人隱私政策被投訴，被投訴之后，可能會引起某些監管機構的訪談，嚴重一點可能導致APP關停，再嚴重一點可能是民事罰款，更嚴重一點可能是負責人需要被約去喝茶。
二.系統終端互聯化(loT)                              
除了互聯網醫藥，醫藥物聯網也是企業網絡安全面臨的重要挑戰。目前醫藥物聯網可能涉及到如藥品追蹤、風險評估、體征監測、移動護理等多個應用場景。用于人體健康護理的可穿戴傳感器設備是比較典型的醫藥物聯網設備。比如很多藥房、物流，供應鏈上下游都需要配備IoT設備或者IoT+傳感器，一次性特制的注射器、某些藥品的安全等也需要精確定位和監控；遠程醫療中需要家庭醫生幫助病人進行遠程血壓、血糖、血脂、心跳的監控等，甚至通過一些監控指標去判斷病人有沒有抑郁癥的前兆，從而可以干預治療或防御因為抑郁癥而做出一些極端行為。
這些醫療物聯網設備生成的數據包含了個人信息及敏感信息，例如病患人員的血壓、血型、藥物史、過敏史等。同時，醫藥物聯網安全不僅僅是數據泄露，黑客可利用無線電通訊完全控制這些設備在不知情的情況下奪去病人的生命。這些風險都對維護醫藥物聯網安全提出了更高的要求。
三.醫藥企業工業控制系統安全
一般醫藥企業從藥品的生產原材料、物流、人員、設備、生產過程、質量控制等一系列藥品生產流程都十分謹慎。生產管理系統(MES)給藥品生產質量與生命周期管理提供有效管控，同時降低合規成本。從網絡安全角度出發，醫藥企業還應該關注工廠整體安全架構如安全運維(遠程運維工具及通訊安全、設備可用性)、安全防御、安全響應、安全監測等。
醫藥行業有很多工控設備，工控系統安全是現在運營網絡最重要的部分，因為現在工控網絡非常脆弱，缺乏商業化的安全套件；而且工控系統的數據備份和系統補丁遠遠落后于業務網絡。比如辦公室里的防火墻、殺毒軟件、主機補丁非常完善，而工控網絡中嵌入式設備十年沒有更新過，也沒有安裝任何殺毒防御軟件；USB是敞開式的，也沒有數據備份的。如果被攻擊，整個生產線都癱瘓了。
四.互聯網醫藥(如:在線健康咨詢、開藥、藥品配送等)            
近幾年來，互聯網醫院、網上預約診療、遠程醫藥、健康資訊、院間轉診、醫藥電商、臨床研究等方面快速發展。2020年初爆發的新冠肺炎疫情，更是清晰印證了互聯網醫藥的便捷與重要性。根據咨詢公司的調研，目前眾多醫藥機構內部網絡架構由于系統老舊等原因存在極大的安全威脅，而且未能得到很好的解決。這些風險都會在醫藥企業互聯網化的過程中暴露出來，進而影響互聯網醫藥的業務運營及網絡安全。
關鍵是怎么把內網和外網的數據進行隔離，對數據進行分類分級等。企業的安全控制做得不好，原因不只是技術問題，還在于企業不知道自己的數據到底處于哪個安全等級。技術部門需要與業務部門一起定義數據等級，比如僅供內部使用的、機密的、極度機密的等。這是目前安全行業或企業里最難做的，數據等級出臺之后，才能打造后面的安全防護體系。
 

安全應對方案

面對安全挑戰和安全需求，醫療健康企業如何應對？
建議從以下五個方面入手。
一、紅隊服務
紅藍對抗已成為國內外各類企業運用的網絡安全監測手段。近三年比較著名的紅藍對抗實例有：2016年美國國防部邀請黑客攻擊五角大樓系統并提供報酬。2019年11月美臺首次聯合演習網絡攻防。2019年9月起，國內各省公關機關組織本省重點單位攻防實戰演練。
紅隊服務與滲透測試盡管在部分方法與實施過程中有一定程度的重疊與相似，但二者存在本質不同（見下圖）。


外部對抗甚至政治法律風險，包括很多監管機構帶來的合規壓力，也使醫療公司面臨的風險不斷上升，企業通過紅隊服務知道自身安全體系處于什么水平，包括整個企業的安全防御能力，自身存在哪些高危漏洞，以及讓紅隊在完全不知道企業背景信息的情況下進行黑盒攻擊滲透，找出安全問題，比如防火墻邊界、應用補丁、人員流程，甚至本身員工安全意識不到位問題等。最后通過攻擊復盤、防御能力評估，幫助企業進行后續的安全規劃。以前我個人很喜歡參考一些國際標準，像ISO2701等國際知名標準和安全框架，可以幫助我們知道怎么樣符合相關控制點。建議每年做一次紅隊服務。
 
二、安全能力成熟度評估

做過紅隊服務之后，基本可以得到安全能力成熟度的分解報告，可以它為藍本做一個三年規劃或五年規劃等。安全能力成熟度不是企業管理風險評估、信息安全管理體系評估和信息安全合規性評估，而是包含量化成熟度、確定藍圖以及進行行業對標的一個評估過程。
量化成熟度主要是評估信息安全防御能力的成熟度，包括識別出當前能力已達到何種級別，如初始定義級、可重復級、已記錄級和可測量級。
確定藍圖指的是評估結果將包含一個由一些列優先舉措組成的路線圖，通過循環漸進地持續建設，在未來達到預期設定的成熟度分數。
行業對標則是以相同標準在相近行業內完成橫向對標，使管理層明確自身企業已達到的安全水平。比如一些咨詢公司可以幫助提供一些行業參考信息。Gartner曾為醫藥行業提供了一個信息安全投入成本的大概基準。IT預算應該占整個企業年收入的3%~5%，這是健康的。目前很多公司可能連1%都沒有。
通過安全能力成熟度評估，可以為企業帶來諸多收益。比如使企業準確把握信息安全建設現狀和能力，通過改善措施，以達到理想的成熟度；詳細說明改善措施所需的成本投入、資源、人力等；幫助企業保護最核心的信息資產。對于預期收益的描述，一定要講一個能夠達到的目標，搞不定目標不行。
 
三、釣魚郵件意識測試       

網絡釣魚是企業和組織目前面臨的最主要的攻擊方式之一。有關數據顯示，高達90％的目標攻擊都是從網絡釣魚開始的，也是從一封釣魚郵件開始的。釣魚攻擊會導致內部和客戶端數據的泄露，生產力的損失，客戶信任的損失，以及昂貴的響應成本。據統計，清理一臺被入侵的電腦將耗費成本約為1500美元，其中包括損失的業務時間和修理電腦所花費的時間。
曾經我們在公司做了一個關于疫情退稅的釣魚測試郵件，好多員工都去點開。建議大家買一個更好一點的反釣魚垃圾郵件服務，也要不斷培訓員工的安全意識。
 
四、應急響應演練

信息安全事件響應計劃（IRP）的處置流程分五個階段（見下圖）：識別事件&啟動評估、遏制影響&恢復業務、通知&報告、事件后管理&評估、溝通&公關通告。
好的應急響應需要合作伙伴、團隊、IT部門等各方面具有這樣的能力和認知。有些時候我們知道自己能做，但是不知道在突發情況下怎么反饋，這是非常要命的。因此需要提前做一些劇本演練，要沉浸式進去玩，真實體驗一下，及時總結經驗，提高應急反應能力。    


 
五、云安全評估 

很多制藥公司，包括創新醫療公司沒有自建數據中心，一般都采用公有云，購買SaaS服務，或者是部署一些IaaS服務的服務器。這些公司的目標是拿到融資之后，快速把業務推向市場，所以更傾向于購買云資源去快速部署IT服務能力，包括應用、開發、架構等。因此他們對云上安全的需求是比較渴望的。如果沒有云服務資源，云服務癱瘓了，業務就開展不下去了。還需要做云安全評估，以保證云上業務正常運行，而不使在某個關鍵時候導致業務癱瘓（見下圖）。


 
  
 
 
關于企業網D1net(hfnxjk.com)：
國內主流的to B IT門戶，同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營18個IT行業公眾號(微信搜索D1net即可關注)