奇安信发布百家医院数据安全免费体检计划

转自：新华财经

新华财经北京5月14日电（记者王艳刚） 今年以来，医疗卫生行业发生多起重大数据安全事件。奇安信集团14日在北京召开“百家医院数据安全免费体检计划”发布会，宣布向全国医疗卫生机构推出“百家医院数据安全免费体检计划”，帮助医院看清自身数据安全风险，加速数据安全建设。

高价值医疗数据成为攻击者主要目标

2024年3月美国联合健康集团大量私人医疗健康数据被窃取，公司被勒索赎金2200万美元。GuidePoint Security的研究报告指出，高价值医疗数据成为不法分子攻击的主要目标之一，2024年第一季度针对医疗行业的勒索团伙的数量同比增加了55%，受害者数量同比增长了近20%。2024年4月爱沙尼亚连锁药房遭到系统破坏，泄露全国一半人口数据；2024年4月法国戛纳医院遭到攻击，医护被迫纸上办公。据《互联网安全内参》显示，截至今年4月底，针对全球医疗卫生领域数据的重大袭击事件数量，就已经超过2023年全年总和。

奇安信集团董事长齐向东致辞。

“医疗卫生行业正在经历一场全球性的数据安全大危机。这场大危机不仅让广大医疗机构付出了惨痛代价，还时刻威胁病患的信息安全、财产安全甚至生命安全。”奇安信集团董事长齐向东表示，一方面医疗行业的大数据应用快速普及，重要数据引起了黑客觊觎，另一方面行业安全基础薄弱，导致安全事件频发。

2023年，为响应广东、江苏、河南等地卫健委相关要求，奇安信数据安全事业部为国内25家重点医疗卫生行业机构进行了数据安全风险检测试点工作，对国内医疗卫生机构的安全风险状况有了基础掌握，并梳理出敏感数据违规传输、数据安全设计缺陷、互联网数据接口暴露、数据跨境流动等几类典型风险场景。

数据安全问题是医疗卫生行业数字化首要挑战

奇安信集团数据安全事业部副总经理姚磊披露了一组数据：整个2023年，奇安信95015平台受理的医疗卫生行业应急响应事件中，数据安全相关事件占了将近50%。同样，奇安信威胁情报中心监测显示：2023年，国内医疗卫生行业泄露数据多达90252.9万条，约合344.7GB，内容涉及姓名、电话、身份证号、地址、账号密码、诊疗信息、缴费信息、内部文件等众多敏感个人信息和商业机密。

姚磊介绍了恶意爬虫窃取门诊预约信息和某大医院数据遭到未鉴权任意访问两个典型案例。2023年8月，某知名医科大学附属医院发现境外某IP地址对医院服务器进行了3000余次的非法访问，获取敏感数据2100余条，经奇安信分析，该IP的活动特征属于典型的网络爬虫，危害极大但医院缺乏防范；另一家某知名三甲医院由于接口未进行鉴权设定，导致被某国内银行IP连续10余天，通过2个API接口全天候访问数据，返回数据结果约4万条，包括病历信息、医生信息等，造成极大隐患。

武汉市中心医院信息科安全负责人瞿朗。

“医院数据具有单体价值特别高、变现价值特别高、获得性简单等三大特点，这也是数据安全事件频发的重要原因。”作为参与2023年数据安全体检的25家机构之一，武汉市中心医院信息科的安全负责人瞿朗表示，医院开展数据安全检查是确保数据安全、合规性，以及提升医疗服务质量和公众信任的重要措施，通过这些措施，医院不仅能够保护患者信息，还能维护自身的声誉和业务连续性。

医院数据安全体检十分紧迫

“缺乏基于医疗业务场景的数据安全构建能力，尤其是缺乏健康医疗数据全生命周期数据安全能力，是当前数据安全面临的典型问题。”东软集团股份有限公司网安终端事业部产品总监张泉说：“通常业务侧了解健康医疗数据全生命周期的数据流转过程，却不掌握数据资产的家底，无法全面认知数据安全威胁和风险；安全侧了解数据安全措施，但不清楚有哪些数据库、敏感数据存于何处、敏感数据的体量有多大、哪些人员在哪些场景下拥有这些敏感数据的访问和使用权限，落实数据安全策略难度加大，这是当前医卫行业数据安全的普遍现状。”

数字化正成为驱动医疗卫生产业构建新质生产力的核心引擎。国家卫健委等三部门印发的《“十四五”全民健康信息化规划》提到，要夯实网络与数据安全保障体系，提升数据安全运营保障能力，坚持医疗数字化与安全并重。

奇安信集团副总裁刘洪亮介绍，奇安信“百家医院数据安全免费体检计划”将持续进行至2024年底，为全国至少100家大型医疗机构进行为期7天的数据接口暴露面检查、数据接口安全风险检查、敏感数据违规传输检查，为其展开数据安全规划建设工作提供科学的参考依据。

编辑：罗浩