搜索

您的关键词

评估资讯

首页 评估资讯 行业动态

5家医院被重罚原因剖析!反思医院应如何进行信息安全保护?

23 2023/03
2023/03/23
1

5家医院被重罚原因剖析!反思医院应如何进行信息安全保护?
发布时间:2020-07-16 11:29:47

近日,山西原平市第一人民医院被市公安局网安大队处以行政警告处罚。

原因是这样,网安大队在工作中发现该医院的门户网站存在安全漏洞,后来调查发现,医院网络安全意识淡薄,未履行网络安全等级保护制度,未采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施,严重影响了医院网站的信息安全。

因此,市公安局网安大队根据《网络安全法》第二十一条、五十九条规定,决定对该医院处以行政警告处罚,并责令其限期整改。

目前,个人医疗健康数据主要集中于医院等医疗机构,因而医院网络安全的保护、建设至关重要。但近期,不少地方医院因安全意识淡薄,未能履行网络安全等级保护制度,使得医院业务长期在互联网上处于“裸奔”状态,更有甚者因此导致服务器被攻击,业务停摆,最终被当地公安部门行政警告并处罚。

医疗数据安全为何这么重要?清华大学软件学院副教授金涛曾强调,健康医疗数据不仅涉及到个人层面,也涉及到公共利益,甚至是国家安全。比如,一个人患上流行病、传染病,其个人数据可能涉及整个治疗方案的优化改进,对整个社会大众都有福祉;基因数据则可能关乎国家安全。
健康界梳理了跟医院网络安全相关的案例和政策要求,供各医疗机构参考。


近年来医院网络安全事故案例

1. 湖北丹江口市某医院被要求网站断网整改

近日,湖北丹江口市公安局网安大队查处一起网站未履行网络安全保护义务案件,并依法对涉案单位予以行政处罚,并责令该公司技术部门立即进行整改。

4月19日,民警接上级公安机关线索通报,辖区某医院门户网站存在数据库高危漏洞。接到线索后,网安大队组织警力,联合技术人员到该医院进行网络安全检查。经查,该医院网络安全部门对门户网站数据库敏感字符未屏蔽、对已知漏洞未及时修补,导致数据库注入检测时提示错误信息,存在极大网络安全隐患。民警立即要求该医院将网站临时关闭,断网整改,并函告整改情况。

2. 忻州市和美妇产医院被处行政警告处罚

2019年12月,忻州市公安局在工作中发现,和美妇产医院门户网站存在安全漏洞,市公安局直属分局网安大队立即前往该医院调查取证。

经调查发现,该医院未履行网络安全等级保护制度,网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,严重影响网站信息安全,同时该网站未办理等级保护备案手续。

2020年3月,忻州市网安大队根据《网络安全法》第二十一条、五十九条之规定,决定对忻州市和美妇产医院处以行政警告处罚,并责令其限期整改。

3. 重庆永川某私立医院业务在互联网上长期“裸奔”

2019年5月,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”。重庆永川公安组织网安刑侦、勘验、管理民警和技术支持专家赶赴现场对该案件进行调查核实。

经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。

针对此案,永川公安按照公安部“一案双查”工作要求和《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

4. 湘阴县妇幼保健院被处5万元的罚款单

2019年4月26日,湘阴县公安局网监大队民警对湘阴县妇幼保健院进行互联网安全监督检査时,发现该院网络运行存在未部署入侵防护系统、防火墙及日志审计系统等问题,其行为已构成“不履行网络安全保护义务”的违法行为。湘阴公安依法决定对县妇幼保健院警告,并于2019年4月28日向该院发出责令限期整改通知书,但该院一直未按规定进行整改。

因未履行网络安全保护义务,2019年10月25日,湘阴县妇幼保健院医院网络信息系统遭到黑客勒索病毒攻击,致使该医院核心业务信息系统2019年所有数据和备份文件全部清除,并通过内网感染到医院办公终端,造成医院办公终端无法使用时间长达3天。

根据《中华人民共和国网络安全法》第二十ー条、第二十五条、第五十九条之规定,湘阴县公安局网监大队决定对湘阴县妇幼保健院罚款50000元整并责令该单位限期整改。

5. 河南安阳市某医院被罚款五万元

2019年1月,河南安阳市某医院因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展。

当地公安对网络攻击行为开展立案侦查的同时,依据《网络安全法》第五十九条之规定,对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。

值得注意的是,以上这些网络安全事故在医疗行业绝不仅仅是个例,仅仅是2019年以及2020年上半年中被报道的几个典型案例。希望通过这些案例能够引起医疗机构的警惕,进而对自家网络安全状况进行摸查评估,从而整改和排除潜在的完全漏洞和风险。

自2017年《中华人民共和国网络安全法》实施以后,网络信息系统运营者落实网络安全等级保护制度成为法律硬性要求。正如上文所说,公安部门对医院网络安全事故处罚的依据也是这部法律。所以,医疗机构再也不能忽视网络安全的建设和保护,一旦出问题,轻则数据泄露、重则系统瘫痪,最后还将面临监管部门严厉的行政处罚。

信息安全等级保护是指,对国家秘密信息、法人和其他组织及公民的专有信息以及公开信息和存储、传输、处理这些信息的信息系统分等级实行安全保护,对信息系统中使用的信息安全产品实行按 等级管理,对信息系统中发生的信息安全事件分等级响应、处置。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

同时,按照信息和信息系统在国家安全、经济建设、社会生活中的重要程度等标准,信息和信息系统的安全保护等级共分五级:

医院应如何进行信息安全建设?

早在1994年,国务院就发布了《中华人民共和国计算机信息系统安全保护条例》。条例对计算机信息系统安全保护的内容、主管监督单位的职责、运营和使用单位的职责、法律责任等作出规定。

随后,公安部、卫健委等部门相继发布系列信息安全保护的政策文件。健康界也梳理了这些政策文件中指导(医院)信息系统的运营者进行信息安全建设的规范和要求。

1. 《全国医院信息化建设标准与规范(试行)》

针对目前医院信息化建设现状,着眼未来 5-10年全国医院信息化应用发展要求,从软硬件建设、安全保障、新兴技术应用等方面规范了二级、三级乙等和三级甲等医院信息化建设的具体内容和要求。



其中,《建设标准》也对医院的数据中心安全、身份认证系统、网络安全管理等提出了具体规范要求,如下所示。

(1)数据中心安全。

(2)身份认证系统。

(3)网络安全管理。

2. 等级保护2.0

2019年5月,国家市场监督管理总局、国家标准化管理委员会正式发布了网络安全等级保护制度2.0标准。

下面是等保2.0关于安全保护的主要内容:

据《2019 健康医疗行业观测报告》数据统计,医疗行业总体处于“较大风险”级别,存在多种网络安全风险及大量可被利用的安全隐患,安全防护能力较弱。

报告显示,通过对 15339 家医疗行业相关单位的观测,存在僵尸、木马或蠕虫等恶意程序的单位共计 1029 家,应用服务端口暴露在公共互联网中的单位有6446 家,4546 家单位网站存在被篡改安全隐患,其中 261 家单位已发生网站被篡改情况。通过对观测的 15339 家医疗单位中的网络资产评估,具有脆弱性的有 9523 家,占比 62.14%。

由此可见,医疗行业存在可被利用脆弱性情况普遍,大部分单位没有定期对系统进行安全风险评估,识别资产存在的安全隐患。

医疗机构信息系统的运营和使用者们,一定要重视网络安全建设和保护工作,尽早排查医院信息系统的网络安全风险情况,否则后果不堪设想。