当前全球信息化进程已进入全面渗透阶段。医疗健康行业作为关乎国计民生的重要领域，是信息时代极力突破和改善的重点，也是黑客于不发分子最为活跃的领域之一。数字化转型的新时期，医疗健康行业面临着诸多网络安全挑战，也需要针对性的安全之道。
 
 

医疗健康业面临四大安全挑战

       外资医药企业的信息安全建设模式与国内企业非常不同。外资企业的全局观非常好，顶层建筑比较好，比如信息安全的政策、标准、标准作业程序（Standard Operating Procedure，SOP）等建设得非常完善，没有任何短板，这是其优势。
信息安全不是堆砌什么设备，包括所谓的人员能力，可能只是信息安全的一部分，更重要是顶层架构的设计和怎么制定信息安全政策和标准，只有这些完善了，企业才知道该怎么做信息安全，这是非常重要的。信息安全建设不能背道而驰，只想着技术问题，其实很多问题并不是技术可以解决的。
      相对来说，医疗健康行业的数字化水平并不先进，尤其是制药公司属于生产制造业，其数字化水平普遍较弱。随着制药行业逐渐扩展，出现化学药、生物药、药物研发、医疗服务等细分行业之后，整个产业发生了一些不同变化。但国内医药行业的信息安全能力普遍较弱。
        最近几年，医疗行业发生过很多安全事件，比如国内某企业的医疗数据泄露造成很严重的刑事和民事处罚。包括基因数据、电子病历、医患个人信息等都是高敏感的个人数据。2020年美国最大医疗服务机构之一的Universal Health Services遭到勒索软件的攻击。美国各地UHS机构的电脑和电话系统被锁定。如此等等，不一而足。
总结来看，医疗健康行业最为常见的网络安全攻击事件分为以下三类。

1. 以勒索病毒为代表的僵尸、木马、蠕虫等恶意程序风险。据中国信通院《2019健康医疗行业网络安全监测报告》发布的数据显示，由于钓鱼邮件、系统漏洞或弱口令等因素，导致全国约13%的医疗健康企业曾遭受勒索病毒的攻击，造成巨大损失。
2. 安全隐患导致的大数据泄露风险。医疗健康企业中，高达42%比例的应用服务如数据库服务、打印机服务等端口，暴露在公共互联网。
3. 网站篡改风险。医疗健康企业中，约29.6%的网站存在安全隐患，如果官方网站遭遇了恶意篡改，发布“黄、赌、毒”等非法信息，将造成严重的社会影响。

 
根据《医疗行业网络安全白皮书》发布的内容（见下图），医疗健康行业总体防护水平比较低。现阶段，绝大多数医疗健康企业仅采用防火墙保障网络安全，对网络进行VPN/VLAN划分和上网行为管理的医疗健康企业仅过半数，对防入侵、防毒墙等设备的采用率均小于50%。大部分医疗健康企业都缺乏必要的网络防护设备。58%的信息系统存在弱口令问题；59%信息系统存在网络防护架构不完善问题，包括网络区域划分不合理、网络链路无冗余等问题。


   
医疗健康行业唯一不同的地方是更加需要保障C端用户个人信息的安全；当然医疗机构更有责任保障病患数据的安全，所以医疗行业企业具有明显的强制合规要求，要做数据脱敏处理。包括要评估怎么合理使用这些数据；在使用前，必须做合规风险的评估，即在任何项目落实之前一定要做一些自我评估，检查技术风险、合规风险，甚至于业务风险点，这是做信息安全工作甚至设计业务逻辑时都需要考虑的问题。
目前医疗健康行业信息安全主要面临以下四大挑战。
一.数据开放化：随着“互联网＋医疗健康”的深入改革，医疗健康企业之间的数据交互更加频繁，如何确保传输过程中的数据安全，约定双方的责任与义务成为了未来企业发展的一大挑战。
二.系统终端互联化:更多的智能自助服务终端、移动设备终端、物联网终端加入到了医疗健康服务中，通过有线网络、无线网络、物联网络的方式相互连通依赖并提供各项服务，在拓展了管理抓手的同时也造成了不小的安全风险，不安全的数据使用及共享方式、不安全的医疗设备与物联网终端设备，都会给企业带来很大的运营风险，轻则造成经济名誉损失，重则威胁人们的生命安全。
三.信息系统云化：云计算已经成为了该行业在进行 T 服务架构选择时候的首选。在使用云计算方式大规模替代传统物理服务架构的同时，其平台自身的安全性（包括镜像安全、资源隔离）、租户业务应用数据的安全性，在云化之后也成为了主要问题之一，由于传统的软硬安全能力对云计算的基础适配能力不足，导致医疗伍康企业的云上业务安全成为了亟待解决的问题之一。
四.数据价值高，利益巨大：在医疗健康数据价值凸显的背后，内部人员非法获取大量的健康信息、处方数据通过非正常渠道方式流通到黑色产业的各个链条，数据倒卖等非法行为屡禁不止。2021年国外一条病患数据值15美金，价格已经超过信用卡号码的价值。医疗信息的价值越来越高，也会引起更多黑客和非法组织把这些企业列为攻击目标。
 

 

四个医疗网络安全需求

       随着数字化转型的深入推进，目前医疗健康行业对网络安全的需求日益迫切，主要有以下四个方面。


 
一.医药移动业务安全（APP、企业微信、微信公众号等）
当前医药企业也在不断发展移动业务，例如面向员工、医生、医药代表、病患的移动App。企业微信、公众号等对外渠道多由业务部门如市场部门负责，一般以用户体验及营销等目的为主。出于业务部的需求，可能会存在过量或不合理收集个人信息乃至个人敏感信息的情形。根据咨询公司的调研发现，部分医药企业微信公众号等平台未能进行个人信息最小化收集、使用及披露等。甚至，一些企业可能时至今日还在使用数年前的隐私声明等。某些业务逻辑也可能涉及到个人隐私、数据安全的合规保障制度等。在此情形下，一旦发生安全事件，可能会导致企业遭受处罚及声誉风险。
比如，国内病人会为了一个应用上的错误打电话投诉，也可能因为企业没有很好地展示个人隐私政策被投诉，被投诉之后，可能会引起某些监管机构的访谈，严重一点可能导致APP关停，再严重一点可能是民事罚款，更严重一点可能是负责人需要被约去喝茶。
二.系统终端互联化(loT)                              
除了互联网医药，医药物联网也是企业网络安全面临的重要挑战。目前医药物联网可能涉及到如药品追踪、风险评估、体征监测、移动护理等多个应用场景。用于人体健康护理的可穿戴传感器设备是比较典型的医药物联网设备。比如很多药房、物流，供应链上下游都需要配备IoT设备或者IoT+传感器，一次性特制的注射器、某些药品的安全等也需要精确定位和监控；远程医疗中需要家庭医生帮助病人进行远程血压、血糖、血脂、心跳的监控等，甚至通过一些监控指标去判断病人有没有抑郁症的前兆，从而可以干预治疗或防御因为抑郁症而做出一些极端行为。
这些医疗物联网设备生成的数据包含了个人信息及敏感信息，例如病患人员的血压、血型、药物史、过敏史等。同时，医药物联网安全不仅仅是数据泄露，黑客可利用无线电通讯完全控制这些设备在不知情的情况下夺去病人的生命。这些风险都对维护医药物联网安全提出了更高的要求。
三.医药企业工业控制系统安全
一般医药企业从药品的生产原材料、物流、人员、设备、生产过程、质量控制等一系列药品生产流程都十分谨慎。生产管理系统(MES)给药品生产质量与生命周期管理提供有效管控，同时降低合规成本。从网络安全角度出发，医药企业还应该关注工厂整体安全架构如安全运维(远程运维工具及通讯安全、设备可用性)、安全防御、安全响应、安全监测等。
医药行业有很多工控设备，工控系统安全是现在运营网络最重要的部分，因为现在工控网络非常脆弱，缺乏商业化的安全套件；而且工控系统的数据备份和系统补丁远远落后于业务网络。比如办公室里的防火墙、杀毒软件、主机补丁非常完善，而工控网络中嵌入式设备十年没有更新过，也没有安装任何杀毒防御软件；USB是敞开式的，也没有数据备份的。如果被攻击，整个生产线都瘫痪了。
四.互联网医药(如:在线健康咨询、开药、药品配送等)            
近几年来，互联网医院、网上预约诊疗、远程医药、健康资讯、院间转诊、医药电商、临床研究等方面快速发展。2020年初爆发的新冠肺炎疫情，更是清晰印证了互联网医药的便捷与重要性。根据咨询公司的调研，目前众多医药机构内部网络架构由于系统老旧等原因存在极大的安全威胁，而且未能得到很好的解决。这些风险都会在医药企业互联网化的过程中暴露出来，进而影响互联网医药的业务运营及网络安全。
关键是怎么把内网和外网的数据进行隔离，对数据进行分类分级等。企业的安全控制做得不好，原因不只是技术问题，还在于企业不知道自己的数据到底处于哪个安全等级。技术部门需要与业务部门一起定义数据等级，比如仅供内部使用的、机密的、极度机密的等。这是目前安全行业或企业里最难做的，数据等级出台之后，才能打造后面的安全防护体系。
 

安全应对方案

面对安全挑战和安全需求，医疗健康企业如何应对？
建议从以下五个方面入手。
一、红队服务
红蓝对抗已成为国内外各类企业运用的网络安全监测手段。近三年比较著名的红蓝对抗实例有：2016年美国国防部邀请黑客攻击五角大楼系统并提供报酬。2019年11月美台首次联合演习网络攻防。2019年9月起，国内各省公关机关组织本省重点单位攻防实战演练。
红队服务与渗透测试尽管在部分方法与实施过程中有一定程度的重叠与相似，但二者存在本质不同（见下图）。


外部对抗甚至政治法律风险，包括很多监管机构带来的合规压力，也使医疗公司面临的风险不断上升，企业通过红队服务知道自身安全体系处于什么水平，包括整个企业的安全防御能力，自身存在哪些高危漏洞，以及让红队在完全不知道企业背景信息的情况下进行黑盒攻击渗透，找出安全问题，比如防火墙边界、应用补丁、人员流程，甚至本身员工安全意识不到位问题等。最后通过攻击复盘、防御能力评估，帮助企业进行后续的安全规划。以前我个人很喜欢参考一些国际标准，像ISO2701等国际知名标准和安全框架，可以帮助我们知道怎么样符合相关控制点。建议每年做一次红队服务。
 
二、安全能力成熟度评估

做过红队服务之后，基本可以得到安全能力成熟度的分解报告，可以它为蓝本做一个三年规划或五年规划等。安全能力成熟度不是企业管理风险评估、信息安全管理体系评估和信息安全合规性评估，而是包含量化成熟度、确定蓝图以及进行行业对标的一个评估过程。
量化成熟度主要是评估信息安全防御能力的成熟度，包括识别出当前能力已达到何种级别，如初始定义级、可重复级、已记录级和可测量级。
确定蓝图指的是评估结果将包含一个由一些列优先举措组成的路线图，通过循环渐进地持续建设，在未来达到预期设定的成熟度分数。
行业对标则是以相同标准在相近行业内完成横向对标，使管理层明确自身企业已达到的安全水平。比如一些咨询公司可以帮助提供一些行业参考信息。Gartner曾为医药行业提供了一个信息安全投入成本的大概基准。IT预算应该占整个企业年收入的3%~5%，这是健康的。目前很多公司可能连1%都没有。
通过安全能力成熟度评估，可以为企业带来诸多收益。比如使企业准确把握信息安全建设现状和能力，通过改善措施，以达到理想的成熟度；详细说明改善措施所需的成本投入、资源、人力等；帮助企业保护最核心的信息资产。对于预期收益的描述，一定要讲一个能够达到的目标，搞不定目标不行。
 
三、钓鱼邮件意识测试       

网络钓鱼是企业和组织目前面临的最主要的攻击方式之一。有关数据显示，高达90％的目标攻击都是从网络钓鱼开始的，也是从一封钓鱼邮件开始的。钓鱼攻击会导致内部和客户端数据的泄露，生产力的损失，客户信任的损失，以及昂贵的响应成本。据统计，清理一台被入侵的电脑将耗费成本约为1500美元，其中包括损失的业务时间和修理电脑所花费的时间。
曾经我们在公司做了一个关于疫情退税的钓鱼测试邮件，好多员工都去点开。建议大家买一个更好一点的反钓鱼垃圾邮件服务，也要不断培训员工的安全意识。
 
四、应急响应演练

信息安全事件响应计划（IRP）的处置流程分五个阶段（见下图）：识别事件&启动评估、遏制影响&恢复业务、通知&报告、事件后管理&评估、沟通&公关通告。
好的应急响应需要合作伙伴、团队、IT部门等各方面具有这样的能力和认知。有些时候我们知道自己能做，但是不知道在突发情况下怎么反馈，这是非常要命的。因此需要提前做一些剧本演练，要沉浸式进去玩，真实体验一下，及时总结经验，提高应急反应能力。    


 
五、云安全评估 

很多制药公司，包括创新医疗公司没有自建数据中心，一般都采用公有云，购买SaaS服务，或者是部署一些IaaS服务的服务器。这些公司的目标是拿到融资之后，快速把业务推向市场，所以更倾向于购买云资源去快速部署IT服务能力，包括应用、开发、架构等。因此他们对云上安全的需求是比较渴望的。如果没有云服务资源，云服务瘫痪了，业务就开展不下去了。还需要做云安全评估，以保证云上业务正常运行，而不使在某个关键时候导致业务瘫痪（见下图）。


 
  
 
 
关于企业网D1net(www.d1net.com)：
国内主流的to B IT门户，同时在运营国内最大的甲方CIO专家库和智力输出及社交平台-信众智(www.cioall.com)。同时运营18个IT行业公众号(微信搜索D1net即可关注)