互聯(lián)網(wǎng)醫(yī)療服務存數(shù)據(jù)泄露隱憂 騰訊智慧安全支招防御

網(wǎng)上掛號、在線問診、線上答疑……伴隨著“互聯(lián)網(wǎng)+醫(yī)療”就醫(yī)模式的不斷普及，線上醫(yī)療服務安全問題也日益突出。10月9日，騰訊智慧安全發(fā)布《醫(yī)療互聯(lián)網(wǎng)服務敏感數(shù)據(jù)泄露風險調(diào)查報告》，以安全大數(shù)據(jù)、第三方授權(quán)及公開信息數(shù)據(jù)為基礎，抽樣分析了國內(nèi)具有一定影響力的線上醫(yī)療服務平臺業(yè)務，并結(jié)合網(wǎng)絡安全威脅情報、黑灰產(chǎn)業(yè)鏈等情報信息，對國內(nèi)醫(yī)療數(shù)據(jù)泄露風險做了綜合性的評估。

《報告》顯示，線上醫(yī)療服務系統(tǒng)普遍存有業(yè)務漏洞、敏感端口開放等安全問題，給未授權(quán)訪問和不法黑客入侵滲透帶來極大的便利，從而增加醫(yī)療數(shù)據(jù)的安全風險。

第三方醫(yī)療平臺漏洞問題嚴重 或?qū)е禄颊呤喾N敏感信息泄露

《報告》顯示，由于服務商對安全的重視程度不夠以及各方面條件的限制，第三方醫(yī)療服務平臺發(fā)生的信息泄露風險大幅提升。

據(jù)騰訊智慧安全御見威脅情報中心分析發(fā)現(xiàn)，國內(nèi)多家三甲醫(yī)院接入的第三方醫(yī)療服務平臺存在嚴重邏輯漏洞，這或?qū)е缕脚_就診患者的個人信息包括姓名、手機號、身份證號以及就診信息和醫(yī)療診斷數(shù)據(jù)等多達十余種敏感信息存有泄露風險。

由于第三方醫(yī)療服務平臺匯集了包括全國多個省市數(shù)百家大型三甲醫(yī)院在內(nèi)的醫(yī)療資源，一旦被不法黑客攻擊、利用，平臺上的所有醫(yī)院都將受到影響。今年7月，騰訊智慧安全團隊曾協(xié)助某知名健康醫(yī)療平臺修復了包括登錄繞過、未授權(quán)訪問、平行越權(quán)等嚴重漏洞，保護了大量患者的隱私信息。

(圖：某第三方健康醫(yī)療平臺數(shù)據(jù)泄露漏洞影響情況)

七成醫(yī)院存在高危端口開放 恐遭攻擊者利用并實施勒索

除了嚴重邏輯漏洞之外，網(wǎng)絡設備的敏感端口和服務直接暴露在互聯(lián)網(wǎng)上，也會降低不法黑客入侵以及未授權(quán)訪問的技術門檻，增加數(shù)據(jù)泄露風險?；趯ヂ?lián)網(wǎng)資產(chǎn)的探測分析，騰訊智慧安全發(fā)現(xiàn)71%的三甲醫(yī)院存在高危端口開放情況，以最近幾年不法黑客攻擊事件中出現(xiàn)頻率較高的端口為參照，有超過1/3的醫(yī)院將SSH登錄、MySQL數(shù)據(jù)庫服務等高危端口直接開放于外網(wǎng)。

(圖：全國醫(yī)療行業(yè)高危端口開放情況)

騰訊智慧安全專家指出，數(shù)據(jù)庫系統(tǒng)的直接暴露還會增加勒索攻擊的風險，危及醫(yī)療業(yè)務的連續(xù)性，比如攻擊者先將數(shù)據(jù)庫進行備份，然后利用遠程命令刪除數(shù)據(jù)庫并對醫(yī)院實施勒索等情況。

(圖：開放高危端口的醫(yī)院比例)

針對互聯(lián)網(wǎng)醫(yī)療平臺面臨的數(shù)據(jù)泄露風險，騰訊智慧安全專家建議相關醫(yī)療機構(gòu)高度重視數(shù)據(jù)安全問題，慎重存儲和使用醫(yī)療敏感數(shù)據(jù);加強醫(yī)療服務平臺的上游服務商或團隊的要求和審核，保證相關服務的安全性和可靠性;針對已知的安全問題，可對線上服務進行自查或由第三方安全機構(gòu)進行協(xié)助排查修復;建立面向行業(yè)的應急響應協(xié)同機制，及時預警聯(lián)防共治，攜手應對網(wǎng)絡安全風險。

此外，加強在醫(yī)療信息安全領域的投入、建立系統(tǒng)化的安全保障體系也極為重要。作為騰訊安全旗下面向企業(yè)級用戶的行業(yè)安全解決方案提供者，騰訊智慧安全提出了“云、管、端”一體化綜合防護解決方案，通過騰訊御點終端安全管理系統(tǒng)、騰訊御界高級威脅檢測系統(tǒng)、騰訊御見安全態(tài)勢感知平臺和騰訊御知網(wǎng)絡空間風險雷達等系列產(chǎn)品，在終端安全、邊界安全、網(wǎng)站監(jiān)測、統(tǒng)一監(jiān)控方面為醫(yī)療機構(gòu)建立一套集風險監(jiān)測、分析、預警、響應和可視化為一體的安全體系，能夠及時有效發(fā)現(xiàn)全網(wǎng)已知和未知的威脅攻擊并快速響應處理，保障醫(yī)院信息系統(tǒng)安全。

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。