为什么医疗行业需要零信任解决方案?

中国的医疗行业正在面临新一轮变革,国内的政策环境和病患需求都在发生快速的变化。突如其来的新冠疫情更是加速了整个医疗行业的数字化进程,为医疗行业的技术发展和创新带来前所未有的发展前景和机遇。在医疗行业数字化转型的过程中,医疗行业安全风险也在不断的加剧。近年来,由于忽视网络安全及数据隐私导致的安全事件及合规问题层出不穷。

在今年突发的新冠疫情期间,也发生多起令人印象深刻的网络安全事件。其中某公司成功捕获了一例利用肺炎疫情相关题材投递的APT攻击案例,网络攻击者利用肺炎疫情相关题材作为诱饵文档,通过邮件投递进行攻击,获取有价值的私密信息。

疫情当前,国家危难时刻,在一线抗击疫情、丝毫不敢停歇的医疗工作领域也会遭到黑客无情的袭击,它无时无刻在提醒着我们,扛起生死的医疗机构,在面对网络安全时,更加脆弱,更需要我们花时间和精力去保护!因此,医疗行业在拥抱数字化转型、开启新的模式时,必须及时将网络安全纳入整体风险管理重点。

数字化时代下,医疗行业的现状

由于医疗行业相对薄弱的安全防护体系,和医疗机构数据的高价值“诱惑”,让网络攻击者不断进行更加周密的筹划,他们正在选择更精进、更隐秘的攻击方式,渗透到医疗系统中,在数据横跨的多个系统、多个环节中寻找攻击点,伺机窃取高价值的医疗数据。在数字化时代下,我国医疗行业的现状愈发严峻,需要投入更多的精力去建设医疗行业的网络安全。

01、业务系统暴漏:

1、医疗行业的网络安全防护参差不齐,少数医院采用物理隔断的方法,用户无法通过互联网直接访问内网应用,但是并没有对内网进行有效的防护手段,一旦有非法分子侵入内网就等于应用完全暴露,将会造成大量私密数据外泄;

2、多数医院会根据不同的应用提供访问内内外网的权限,某些包含重要信息的应用用户只能通过内网进行访问。通过外网用户可以进行在线挂号、自助缴费、访问用户APP等,虽然通过不同的应用可以控制访问权限问题,但还是有很多应用数据共享,会造成严重的安全隐患;

3、虽然大型私立医院安全防护意识较强,大多采用内网+VPN的方式,但是VPN的不稳定性和经常断线会导致用户体验较差。而其他中小型私立医院的安全防护意识则较差,缺少有效的防护手段和工具。

02、风险集中问题:

《2019健康医疗行业网络安全观测报告》指出:

1、以勒索病毒为代表的僵木蠕等恶意程序风险在15339家相关企业观测时被发现,存在僵木蠕等恶意程序的单位共1029家,其中受勒索病毒影响的企业共有136家。这些恶意程序可导致大范围的网络欺诈、信息泄露和医疗信息系统瘫痪等破坏性后果。

2、安全隐患带来的大数据泄露风险:本次观测发现,有6446家企业的应用服务端口暴露在公共互联网上,其中375家企业的应用服务使用了极简易的密码,攻击者可通过公共互联网轻易获取到这些服务的控制权,可能会导致批量应用服务被恶意控制、大量健康医疗数据泄露的安全事件。

03、观测结果评估情况:

《2019健康医疗行业网络安全观测报告》将风险分为四个级别,分别为重大风险(0-500)、较大风险(500-800)、一般风险(800-900)和低风险(900-1000)。分数越高,网络安全风险越低;分数越低,网络安全风险越高。健康医疗行业整体评分为788分,总体行业处于“较大风险”的风险级别,存在多种网络安全风险以及大量可以被利用的安全隐患,防御公共互联网攻击的能力较弱。

医疗行业关乎民生,医疗行业相关企业应提升自身网络数据安全综合防护能力,加强在网络数据安全领域的投入,建立系统化的安全保障体系,构建安全长效机制。传统基于边界的防护已经无法满足医疗行业数字化的需求,零信任针对企业数字化转型提供了新的防护理念和思路。零信任是如何解决医疗行业的难题的?下面我们将一一为大家进行解读。

数字化医疗的灾难,我们该如何避免?

在医疗机构加速数字化的今天,网络安全能力匮乏,已经严重影响了全球公民健康数据的个人隐私,威胁着医疗机构庞大的数字资产。我国医疗行业现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,医疗行业整体网络安全保障水平还需要提升。医疗行业网络安全建设落后主要有两个方面的原因:

01、医院信息化建设本身投入就相对来说不足,资金更多投入在应用和硬件上,安全方面投入很少;

02、医院信息部门缺乏安全建设经验,安全专业能力不足。

医疗行业覆盖面广,产值巨大,成为网络攻击者目标的可能性几乎是其他行业的2倍,每年都有数不清的数据泄露事件发生,数百万患者的隐私信息被盗窃,目前黑市上个人医疗信息的价值比信用卡信息高出50倍。那么针对医疗机构这样涉及人群广、隐私信息多的信息系统,医疗机构可以从以下几个方面着手进行防护:

1、采用数据加密、内网管控、虚拟桌面等安全防护技术,防止信息外泄,最大限度地保障数据的安全。

2、完善网络安全组织机构和管理的信息,加强信息安全人才队伍建设和从业人员医德意识;

3、纵深防御信息系统,合理规划网络结构,应用安全防护设备,建立监控报警机制;

4、细分层级管理进行,制定各层用户的权限,让用户对私密信息的接触,处于有效的监控之下;

零信任的适用场景及优势

传统基于边界的安全防护体系已然不能满足于数字化医疗体系的需求,为了保障整个医疗行业可以正常的运转,我们迫切的需要寻找一个更适合的安全防护方式。零信任理念的一大特征是就是默认不信任,总是验证和最小授权,通过这些特征可以在很大的程度上,减少被攻击的风险。零信任在医疗行业中具体的使用场景有:

01、安全防护过弱:

2018年1月,某警方侦破了一起新生婴儿信息倒卖链条。某社区中心工作人员徐某,掌握了某市“妇幼信息某管理系统”市级权限账号密码,累计非法下载新生婴儿数据50余万条,贩卖新生婴儿信息数万余条。

不法分子通过非法手段获取医院员工账号信息,远程登录医院系统下载用户的详细数据。医院系统中存在严重的安全漏洞,导致不法分子可以轻易的盗取患者的隐私信息,除了人为的因素之外医院安全防护不到位也是很重要的一个原因。

但是通过零信任默认不信任持续验证的行为,可以加强医疗机构的身份安全管理。默认不信任任何人和设备,通过不断的身份验证来获取登录访问的权限,使业务系统的身份验证更加安全。

02、纯内网物理隔断:

正规医科大学毕业的陈某,经常装模做样地走进医院,但是却从来不看病。找到医院的公用查询电话之后,他悄悄拔下网络插头,通过无线路由器等设备,让自己携带的笔记本电脑,连上医院的“内网”。

之后,他利用黑客程序,侵入医院的计算机信息系统。这一切,都是为了窃取医院的医药信息,转手高价卖给他人。5月9日,温州鹿城区检察院透露,陈某因涉嫌非法获取计机信息系统数据罪,已被依法批准逮捕。

如果信任为零,则企业设备或网络对于不受信任的公共网络或个人设备都是不信任的。在用户和设备上执行相同的安全检查,每个人都同样受到怀疑,但每个人也同样可以获得他们所需要的访问权限。这种零信任的访问策略适用于保存数据的任何位置,并且在访问数据时将其应用于所有系统的接口。

陈某通过医院内部网线,接入医院内网,从而实施了偷窃数据的违法行为。虽然医院采用了物理隔离的网络结构,但是内网却没有有效的安全防护手段,并且可以说是存在很大的漏洞,随便找到的一个网线接口就可以连接到内网,甚至只要连上医院内部的wifi就可以扫描内网服务器端口并进行恶意访问,由此可见物理隔离也并非安全可靠。

零信任打破了传统的防护理念,不再区分内外网,建立基于安全状态的动态可信访问控制机制,细粒度的按需授权,只给员工能完成工作的最小权限,而不是暴漏整个内网资源。

03、远程访问:

某著名品牌体检机构,全国有超过600家分店,统一使用总部提供的医疗体检平台,直接暴漏在互联网上登陆访问,频繁遭到黑客的恶意攻击,经常出现服务器被攻破紧急停机的情况。而且分店员工的安全意识薄弱,工作电脑中木马、蠕虫病毒等情况十分常见,更加重了总部运维的压力。

对于拥有大量分支机构的医疗企业来说,信息安全显得尤为重要,员工安全意识薄弱,使用行为不够规范,都有可能会造成信息主动或被动泄露,若大量的个人隐私信息遭到暴漏并在暗网交易,这种情况会降低企业的品牌影响力和用户认知度,从而影响收益。

零信任可以实现所有用户接入前统一认证,进一步减少攻击面。进行多层级细粒度的授权,实现全面最小授权,降低数据泄露的风险。实时评估终端环境,用户行为等,发现异常立刻出发响应,行为闭环,减少系统被攻击的风险。而且 通过零信任可以让员工拥有内外网一致的办公体验,终端用户可以直接在公网进行认证之后,访问授权的企业应用,不会因为网络的连通性问题而影响办公效率。

04、代替VPN:

某高端私立医院,患者多为各行业佼佼者,其中不乏演艺明星,跨国企业驻华高管这样的精英人士,个人隐私就显得尤为重要。患者住院之后,护士换药、医生巡房的时候都会将患者当前信息录入系统,医生下班后也可以通过APP查看患者的情况,如果有紧急情况还需要医生通过APP确定授权护士临时采取一些紧急救治措施。

大部分的医院都采取内网+VPN的网络防护方式,所有业务应用在内网,外部访问只能通过VPN,但是VPN的卡、慢、掉线等情况影响医生对患者情况的掌握,可能会产生严重的后果。VPN的不稳定性影响医生远程掌握患者信息,影响解决紧急情况的响应速度,还影响日常医护人员的远程访问体验。

零信任的安全理念是建立在身份验证、设备验证、网络隔离和访问控制的基础上,是保护管理应用和数据的关键。传统保护网络安全的方式是先访问资源再验证身份,而零信任的理念则是先验证身份,再授权进行访问。基于零信任网络,无论攻击者是否已经获得用户的授权凭证,他们的行动都将受到限制,遵循最小授权原则,所有其他资源对用户不可见。零信任网络可以划定一个清晰的边界,在网络种使用微分段创建安全区域以此加强网络的安全性。

2020年,数据安全建设仍将是医疗行业的重要工作内容,医疗机构需要做的是:深入了解数据全生命周期面临的安全风险,并对这些环节的关键风险点进行分析,借助和利用最新的技术、方法,提高自身的安全防护能力,从而赢得患者的信任、实现医疗数字化转型的数据之安。

为了更好的完成医疗数字化转型,医疗机构需要采用更加适合的零信任安全防护理念和方法,不仅可以提高医疗机构的安全性,也可以让医疗行业的工作更加便捷,让患者看病的过程更加安全可靠!

分享到:

深云SDP

云时代的企业安全体系

申请试用

免费试用