5月14日,奇安信集团举行发布会,披露国内外医疗机构数据和网络安全现状,以及对国内25家医疗机构的数据安全体检状况。

奇安信集团数据安全事业部副总经理姚磊透露,整个2023年,奇安信95015平台受理的医疗卫生行业应急响应事件中,数据安全相关事件占了将近50%。此外,奇安信威胁情报中心监测显示:2023年,国内医疗卫生行业泄露数据多达90252.9万条,约合344.7GB,内容涉及姓名、电话、身份证号、地址、账号密码、诊疗信息、缴费信息、内部文件等众多敏感个人信息和商业机密。由此可见,数据安全问题是医疗卫生行业数字化首要挑战。

打开网易新闻 查看精彩图片

▲奇安信集团数据安全事业部副总经理姚磊

发布会上,姚磊分享了恶意爬虫窃取门诊预约信息和某大医院数据遭到未鉴权任意访问两个典型案例。2023年8月,某知名医科大学附属医院发现境外某IP地址对医院服务器进行了3000余次的非法访问,成功获取敏感数据2100余条,经分析,该IP的活动特征属于典型的网络爬虫,危害极大但医院缺乏防范。另一家某知名三甲医院由于接口未进行鉴权设定,导致被某国内银行IP连续10余天,通过2个API接口全天候访问数据,返回数据结果约4万条,包括个人信息、病例信息、医生信息等,造成极大隐患。

国家卫健委等三部门2022年联合印发的《医疗卫生机构网络安全管理办法》规范了数据安全管理,强调各医疗卫生机构每年对本单位数据进行数据安全风险评估,及时掌握数据安全状态。

国外一份研究报告指出,高价值医疗数据成为不法分子攻击的主要目标之一,2024年第一季度针对医疗行业的勒索团伙的数量同比增加了55%,受害者数量同比增长了近20%。此外,赎金水平持续上升,反映了攻击者对高价值目标的定向勒索技术手段在进步,同时也凸显了受害者在自身数据保护意识和技术方法上仍有待提升。

仅今年以来,医疗卫生行业就被报道了多起重大数据安全事件。2024年3月美国联合健康集团支付勒索赎金2200万美元,大量私人医疗健康数据被窃取;2024年4月爱沙尼亚连锁药房遭到系统破坏,泄露全国一半人口数据;2024年4月法国戛纳医院遭到攻击,医护被迫纸上办公。据《互联网安全内参》显示,截止到今年4月底,针对全球医疗卫生领域数据的重大袭击事件数量,就已经超过2023年全年总和。

在发布会上,奇安信集团正式宣布启动“百家医院数据安全免费体检计划”。

红星新闻记者 胡伊文 北京报道

编辑郭宇 责编 邓旆光