系統被黑 醫院CIO們準備好了嗎?
醫院系統被黑,再次來襲。2月6日,據”醫學界智庫“消息,上海某公立醫院系統被黑,黑客勒索價值2億元以太幣。
為什么黑客對醫院數據感興趣
黑客們的行為難以琢磨,誰都不知道下一個遭殃的是誰。為何黑客們更為青睞醫療數據呢?
醫療數據則不一樣,我們去醫院看醫生的時候,往往會透露社保帳號、個人財務信息、索賠數據和臨床資料等等關鍵信息,黑客們通過這些信息的拼湊,就可以勾畫出一幅完整的個人信息圖譜來。在黑市中,這些信息如果能夠讓不法分子侵入到個人銀行帳號,那么這些信息賣出個幾百美元也很正常。
另一方面,信息安全公司TrustedSEC LLC首席執行官大衛·肯尼迪(Dave Kennedy)表示,“醫院的安全系統很薄弱,因此也最容易被黑客入侵,并獲得大量病人信息。”這些信息包括病人的姓名、生日、保單號碼、診斷結果以及賬單信息等。詐騙集團會利用這些信息創建假的身份證,用以購買醫療器械或藥品,并最終實現倒賣目的。
除了內外,國外醫院系統遭黑客攻擊現象更為普遍
2016年2月,好萊塢一家醫療中心的系統受到黑客攻擊,將其內部電腦系統關閉一周。為求能夠盡快順利工作,院方繳納40比特幣(價值約為1.7萬美元),系統才得以恢復正常。
2017年5月,立陶宛的一家整形外科醫院系統遭到黑客攻擊。黑客對在這家醫院接受過整容手術(有來自德國、丹麥、英國、挪威以及其它歐洲國家)的客戶索要贖金,否則將公開客戶的個人信息。報道稱約25000多張個人隱私照片和信息被泄露。
2017年5月12日,英國NHS,即全民醫療體系旗下,多家醫療機構遭受網絡攻擊。導致多家公立醫療機構的電腦系統“癱瘓”,無法查閱病例資料,預約信息及內部電話和電子郵件系統。據了解,很多電腦的屏幕突然彈出一條對話框,對話框中的信息稱,電腦中所有的數據、照片、視頻及其他文件都已被加密,只有支付相當于300美元的比特幣到一個“錢包”鏈接才能恢復數據;如果七天之內沒完成支付,遭到攻擊的電腦中所有的數據將會永久丟失。當天,有多家醫療機構的系統受到干擾,預約信息和醫院內部系統癱瘓,很多患者就醫預約甚至手術都被迫取消。
黑客不死,醫院CIO要做哪些準備
作為我國第一部全面規范網絡空間安全管理的基礎性法律,《中華人民共和國網絡安全法》(以下簡稱《網絡安全法》)于2017年6月1日正式實施,它的施行,標志著我國網絡安全從此有法可依,網絡空間治理、網絡信息傳播秩序規范、網絡犯罪懲治等即將翻開嶄新的一頁,同時對保障我國網絡安全、維護國家總體安全具有深遠而重大的意義。《網絡安全法》在保護社會公共利益,保護公民合法權益,促進經濟社會信息化健康發展方面扮演重要角色。
所以對于CIO來說,網絡安全是無法躲避的話題,必須予以重視。既要有正確的思想認識,還有要良好的工作方法。既然網絡安全問題已明確定位在戰略層面,那么信息部門就應從戰略角度看待“網絡安全”,而不應把它當作信息化建設領域里的“技術問題”。對于如何制定安全策略,對于CIO 來說,他們需要妥善的保護和維護他們的系統,一旦發生網絡攻擊,可能面臨刑事問責。
從醫療信息安全角度來講,同樣要求建立健全網絡安全監測預警和信息通報制度,建立網絡應急工作機制,制定應急預案,重大突發事件等同于醫療事故,所造成的經濟損失和社會影響將是無法估量的。
《網絡安全法》第三十三條建設關鍵信息基礎設施應當確保其具有支持業務穩定、持續運行的性能,并保證安全技術措施同步規劃、同步建設、同步使用。依據“網絡安全法”的三同步原則,在目前情況下,信息部門的工作著眼點不僅追求的是系統建設,更重要的是已建系統或在建、將建系統的運轉狀態及運維能力,恐怕這和“自身安全”的關系更加密切。另外,就“網絡安全”而言,信息部門無疑是主力軍。但是,要打贏這場戰爭,并在戰斗中生存下來,主力軍決不可孤軍奮戰,必須與領導、醫護人員、專業公司等保持良好、有效地溝通和協作。
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
