前言
医疗服务信息化是国际发展的趋势,也是我国医疗改革的的重要内容和必由之路。随着信息技术的快速发展,越来越多的企业和医疗机构加入到医疗信息化的建设浪潮中。互联网医疗火热背后,医疗信息安全问题如影随形。近年来,针对医院的勒索、挖矿、医疗信息泄露等医疗行业的信息安全事件层出不穷,医院信息系统已经成为了不法黑客的重点攻击对象之一。
一、概述
本报告由腾讯智慧安全研究发布,中国医院协会信息管理专业委员会(chima)提供医疗行业信息化状况调查报告,双方基于大数据对医疗行业安全状况进行了客观、量化的评估,深入分析了医疗行业的典型安全威胁以及所面临的潜在安全风险,并尝试引导性的进行行业安全治理、规避潜在的安全风险,提升安全管理水平。
报告以安全大数据及第三方授权或公开的信息和数据为基础,结合抽样分析/调查报告等方法,经综合整理、分析得出。其主要选取了信息化程度高,管理水平强的大中型医院和指标数据作为参考对象,涵盖956家三级甲等医院、7家第三方医疗服务平台,包括92个授权网站、79个患者app(安卓版)等外部网络资产。
另外本报告还参考了由中国医院协会信息管理专业委员会(chima)发布的《2017-2018年度中国医院信息化状况调查报告》(以下简称《调查报告》)。
自《中华人民共和国网络安全法》颁布,在卫健委指导下,全国医院信息安全建设水平不断提升。从指数总体来看,全国医疗行业指数值处于良好水平(759分)。
然而,2018年至今,我国医疗体系遭受攻击的频率呈明显上升趋势,医疗信息安全环境并不乐观。黑客入侵攻击、信息泄露等安全问题对医院等公共机构的威胁仍不容忽视。
从安全指数所指向的问题来看,医疗行业信息安全建设意识薄弱,核心数据缺乏有效的安全防护。问题主要表现为:
网络空间资产端口开放较多,隐患大,如开放远程登录服务的比例高达50%;
外网电脑的安全风险较多,可能会给不法访问者以可乘之机;
线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险;
医疗行业已经成为勒索病毒攻击的主要目标,医疗业务连续性受到挑战。
二、安全指数情况
2.1、安全指数评估
安全指数说明
本报告联合团队基于安全大数据、人工智能分析技术和威胁实时感知能力,从多个安全维度和安全特征,对医疗行业整体安全态势进行了全面、客观的威胁分析和脆弱性评估,并在全面风险量化分析的基础上汇总得到了“腾讯智慧安全指数”(以下简称“安全指数”)。
安全指数以多个不同维度的安全问题评估为基础,在安全问题评估的基础上分别汇集到相应的安全域,对各个安全域进行加权汇总,得到了企业安全指数。然后按照行业属性,对企业安全指数求均值即可得到行业互联网安全指数。
安全指数以客观安全数据为依据的特性,使其一定程度上能够反映行业安全趋势,具有先导性、预测性。进一步地,利用该安全指数,可对相关行业进行安全状况差距对比、安全问题洞察等。更多关于安全指数的定义和计算的详情,见附录。
安全指数是介于0~1000区间内,数值越高,其安全状况越好、风险水平越低。不同指数区间,反应的响应安全状况如下表所示。
表2-1 指数的含义映射表
安全指数态势
除港澳台以外的各省市、自治区具体数据来看,北京市、上海市、吉林省、重庆市、山东省的安全指数排名最高,安全指数均高于770,排名靠后的几个省(市)安全指数值均低于750分。
图2-1 各省(市)安全指数排名(前五)
以国内(除港澳台以外)各医院的维度来看, 医院安全指数的分布如下:
22%的医院安全指数处于优秀水平;
38%的医院安全指数处于良好水平;
39%的医院安全指数处于一般水平;
1%的医院安全指数处于较差水平。
图2-2 安全指数的等级分布情况(医院维度)
目前医疗行业面临的问题主要集中在主机安全、应用安全和网络安全。如图2-3所示,其安全指数值越低,风险越高。
图2-3 医疗行业网络安全指数情况(除港澳台以外)
2.2、安全措施采用情况
安全措施采用情况,引用了由中国医院协会信息管理专业委员会(chima)发布的《2017-2018年度中国医院信息化状况调查报告》中的调查数据,该调查报告共收到反馈的调查报告535份,其中有效答卷484份,分别对应484家相互独立,没有重复与关联的医院。484家医院占到全国医院总数的1.80%。
样本覆盖除香港特别行政区、澳门特别行政区以及台湾省以外的29个行政区。数据详情可参阅《2017-2018年度中国医院信息化状况调查报告》。
医院实施等级保护情况
从调查数据来看,有36.16%的医院通过了等级保护测评。经济发达地区实施等级保护工作的比例高于中等发达地区和经济欠发达地区。
系统安全措施采用情况
对参与调查关于医院采用的操作系统级安全措施的有效数据分析可见,网络版反病毒软件的采用率仍高居首位,比例为71.07%。排在第二位到第五位的分别是桌面管理软件46.49%、软件防火墙38.22%、系统镜像快速恢复26.45%、单机版反病毒软件24.79%。
对调查关于医院采用的信息系统体系结构安全措施的有效数据分析可见,主要应用服务器双机热备的医院比例仍然最高,达到72.31%,其次是服务器集群,采用率达为48.55%,位于第三位的服务器冷备机采用率为26.45%。
数据安全措施采用情况
从调查中医院采用的各种数据安全措施分析看,数据灾备、数据库镜像备份、数据冷备份和数据离线存储仍然是医院主要的数据安全措施。
对调查关于医院采用的数据安全措施的有效数据分析可见,排在第一位和第二位的是数据灾备和数据库镜像备份,比例接近半数分别为49.79%和49.17%,排在第三位至第七位的分别是数据冷备份、数据离线存储、集中存储异地镜像备份、数据库行为审计和身份认证,采用率分别为41.74%、40.91%、22.11%、20.66%和13.43%。
网络安全设备和隔离网络情况
现阶段我国医院采用的网络安全措施中,防火墙设备的采用率高居首位。不同级别医院在应用各种网络安全设备方面均具有极显著性差异。
对参与此次调查的医院采用的网络安全设备类别分析可见,采用率位列前六的分别是防火墙、vpn设备、物理隔离设备、网闸设备、入侵检测设备和防毒墙,比例均超过20%,其中采用防火墙的医院比例达到82.02%,远远高于其它设备,说明防火墙是多数医院首选的网络安全措施。
在参与调查的医院中,大部分医院拥有独立并物理隔离的网络,网络数量多于1个的医院已超过半数,达54.55%;绝大多数医院的网络主干带宽达到百兆及百兆以上,占总样本量的86.98%;
三、风险详细分析
3.1、医疗行业成黑客攻击重要目标
数据的经济价值驱使不法分子铤而走险
由于医院等机构的特殊性,患者预约信息、检查检验信息、就诊信息、医学数据等医疗信息都是属于需要紧急使用的信息,一旦这些数据被加密勒索,就会造成很大的影响,医院会想尽办法尽快恢复数据。
以美国互联网黑市的信息售价为参考,数据丰富的医疗信息的价值是信用卡信息的10倍。欺诈者利用这些精准信息可以进行电信诈骗、虚假医疗广告营销等违法活动。这些具有较高商业价值的诊疗信息,受到黑色产业链的觊觎。
利用外网资产的弱点进行攻击
外网资产的安全关乎内网的安全。黑客一般通过攻击外网服务器和办公网电脑系统实现对内网的攻击和数据的窃取。
通过攻击外网服务器获取外网服务器的权限,继而利用成功入侵的外网服务器作为跳板,攻击内网其他服务器。
另外一方面,通过钓鱼、挂马等社工攻击的方式,实现对办公电脑的控制或数据洗劫,从而获取进入内网的入口信息(帐号、密码等),或者直接对有价值的办公网系统实施勒索等破坏性攻击。
3.2、主机安全隐患较高
网络空间资产端口开放较多,隐患大
基于第三方网络空间资产测绘,国内仍有多家三甲医院的web网站和出口ip的资产存在较高的安全隐患。
我们在空间测绘的结果中筛选出最近几年黑客攻击事件中出现频率较高的端口,发现全国有不少医疗单位仍然开放着这些高危端口。3306端口、3389端口的开放比例(分别为:3.43%和1.41%)明显高于国内全网相应端口的开放比例(分别为1.38%和1.01%)。此外,还有较大比重的邮件服务、数据库服务等端口暴露在公网上。
数据库是几乎所有黑客都觊觎的东西,所以数据库系统直接暴露在外网是非常危险的行为,而使用默认端口的数据库暴露在外网会极大减低黑客攻击的难度,增加被攻击的风险。
根据测绘结果统计分析,全国医疗行业的数据库端口开放最多的是3306端口,超出其他数据端口的开放,详细状况如下:
数据库攻击者,除了窃取数据信息(拖库)之外,还可能针对数据库的数据实施经济勒索攻击。攻击者先将数据库进行备份,然后利用远程命令删除数据库从而实施勒索。
最典型的勒索攻击莫过于2017年5月份爆发的wannacry,该病毒会对公网随机ip地址的445端口进行扫描感染。
根据测绘结果分析,仍有部分省份的医疗机构开放了445端口。如果这些服务器没有打上相应的补丁,那么仍然存在被勒索病毒攻击的风险。即便是打上了补丁,也仍然需要面对勒索病毒变种的攻击。
外网电脑存在较多风险
基于对腾讯智慧安全终端产品的防护数据的分析得出如下结论:
医院环境中,30%的电脑系统存在待修复的高危漏洞,与全网环境的情况一致;
12%的医院有外网电脑曾被入侵并植入挖矿木马;
15%的医院有外网电脑存在勒索病毒的破坏行为。
3.3、应用安全脆弱性凸显
随着互联网+医疗的发展,越来越多的医院借助web、患者app、第三方医疗服务平台等形式,提供网上预约挂号、网上缴费、网上查询报告等多项线上医疗服务。更便利的是,第三方医疗服务平台还可同时为多家医院提供线上挂号预约、体检预约以及医生咨询等服务。
抽样统计发现,全国大中型医院中,有87.4%的医院提供线上服务,73%的医院提供线上预约挂号服务,51.7%的医院提供线上缴费服务,56.4%的医院提供线上检验化验报告查询服务。超过半数的大型医院提供了较成熟的线上医疗服务。
从《2017-2018年度中国医院信息化状况调查报告》的门急诊管理信息系统实施状况的调查统计数据可以看到,三级医院的患者app、第三方平台服务实施率分别在11.79%和10.65%。
但线上医疗服务带来了新的漏洞风险和数据泄露风险。
患者app(android)存在较多漏洞
基于对国内患者app的抽样调查分析,80%左右的患者app存在漏洞,其中有67%的患者app存在可利用的高危漏洞。
高危漏洞主要为以下5个漏洞:
webview组件系统隐藏接口未移除漏洞
android主机名\证书弱校验风险
webview绕过证书校验漏洞
android https中间人劫持漏洞
webview file域同源策略绕过漏洞
第三方医疗服务平台安全值得关注
第三方医疗服务平台多存在严重的信息泄露风险,包括登录绕过、未授权访问、平等越权等问题,可能导致大量患者的姓名、手机号、身份证、以及就诊记录、化验检验报告等多项敏感信息泄露。
今年7月安全团队在日常守护全网用户信息安全工作过程中,发现某健康医疗平台存在多个漏洞。经过初步验证,漏洞有可能泄露使用过线上医疗服务产品的用户的个人信息、挂号信息,以及绑定医疗卡用户的就诊信息、检查报告等。
3.4、网络安全面临严峻的威胁
2017年以来,医疗行业已成为攻击者实施勒索的最主要目标,有29%的勒索软件的攻击目标是各类医疗相关机构。除勒索外,医疗业务资源被黑客滥用于挖矿,亦会破坏企业内部it环境、数据中心的正常运行秩序以及关键应用的交付,同样使得业务连续性遭受极大安全威胁。勒索、挖矿已经成为影响医疗业务连续性的主要威胁。
湖南某医院globeimposter勒索病毒事件
2018刚过完年,国内两家省级医院就遭到了黑客攻击,致使其服务器感染globeimposter勒索病毒,致其系统瘫痪,同时数据库文件被加密破坏,直接影响了正常就医秩序。
湖北某医院遭撒旦(satan)勒索病毒袭击事件
https://mp.weixin.qq/s/e8nabacdktnk8biovjdaya
安全团队接到湖北某医院反馈,其内部多台服务器遭遇勒索病毒攻击,所有数据类文件都被加密,加密后文件名被修改成“[dbger@protonmail]+原始文件名+.dbger”。安全团队分析发现,入侵该医院服务器的是撒旦(satan)勒索病毒的最新变种。
国内多家三甲医院服务器遭暴力入侵
https://mp.weixin.qq/s/wg__6dwac_bpcowlf925lg
7月份国内多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务之后种植多种挖矿木马以攫取经济利益。
3.5、医疗信息泄露问题不可小觑
过去几年,美国医疗服务信息化行业得到了长足的发展,同时,医疗数据泄露事件也呈逐年上�...