|
|
人民网深圳 10 月 9 日电网上挂号、在线问诊、线上答疑……伴随着 " 互联网 医疗 " 就医模式的不断普及,线上医疗服务安全问题也日益突出。10 月 9 日,腾讯智慧安全发布《医疗互联网服务敏感数据泄露风险调查报告》,对国内医疗数据泄露风险做了综合性的评估。
《报告》显示,由于服务商对安全的重视程度不够以及各方面条件的限制,第三方医疗服务平台发生的信息泄露风险大幅提升。
据腾讯智慧安全御见威胁情报中心分析发现,国内多家三甲医院接入的第三方医疗服务平台存在严重逻辑漏洞,这或将导致平台就诊患者的个人信息包括姓名、手机号、身份证号以及就诊信息和医疗诊断数据等多达十余种敏感信息存有泄露风险。
由于第三方医疗服务平台汇集了包括全国多个省市数百家大型三甲医院在内的医疗资源,一旦被不法黑客攻击、利用,平台上的所有医院都将受到影响。今年 7 月,腾讯智慧安全团队曾协助某知名健康医疗平台修复了包括登录绕过、未授权访问、平行越权等严重漏洞,保护了大量患者的隐私信息。
除了严重逻辑漏洞之外,网络设备的敏感端口和服务直接暴露在互联网上,也会降低不法黑客入侵以及未授权访问的技术门槛,增加数据泄露风险。基于对互联网资产的探测分析,腾讯智慧安全发现 71% 的三甲医院存在高危端口开放情况,以最近几年不法黑客攻击事件中出现频率较高的端口为参照,有超过 1/3 的医院将 SSH 登录、MySQL 数据库服务等高危端口直接开放于外网。
腾讯智慧安全专家指出,数据库系统的直接暴露还会增加勒索攻击的风险,危及医疗业务的连续性,比如攻击者先将数据库进行备份,然后利用远程命令删除数据库并对医院实施勒索等情况。
针对互联网医疗平台面临的数据泄露风险,腾讯智慧安全专家建议相关医疗机构高度重视数据安全问题,慎重存储和使用医疗敏感数据;加强医疗服务平台的上游服务商或团队的要求和审核,保证相关服务的安全性和可靠性;针对已知的安全问题,可对线上服务进行自查或由第三方安全机构进行协助排查修复;建立面向行业的应急响应协同机制,及时预警联防共治,携手应对网络安全风险。
此外,加强在医疗信息安全领域的投入、建立系统化的安全保障体系也极为重要。作为腾讯安全旗下面向企业级用户的行业安全解决方案提供者,腾讯智慧安全提出 " 云、管、端 " 一体化综合防护解决方案,通过腾讯御点终端安全管理系统、腾讯御界高级威胁检测系统、腾讯御见安全态势感知平台和腾讯御知网络空间风险雷达等系列产品,为医疗机构建立一套集风险监测、分析、预警、响应和可视化为一体的安全体系,保障医院信息系统安全。
|
|
发表于 2018-10-10 23:52:19
收藏
