DBSEC情报处，致力于挖掘分析行业数据安全发展动态。

DBSEC情报处第1期 | 医疗行业咨询专家 Murray

伴随信息技术的飞速发展，医院信息化的普及和深入，信息系统成为医疗行业运营核心技术支撑，医院信息系统面临着前所未有的新风险。近日，Verizon发布《2019数据泄露调查报告》也显示医疗行业数据安全形势日趋严峻。

问1：从Verizon发布的《2019数据泄露调查报告》来看，在所有行业的网络安全事件中，勒索软件占24%，而医疗行业勒索软件占70%。为什么医疗行业更容易受勒索病毒威胁？ 

答：目前大部分医院对操作系统级的安全防护方式仍以网络版防病毒软件为主，有少部分医院甚至没有采取操作系统安全防护。当前医疗行业对数据安全的重视仍然不乐观。各单位推进数据安全等级保护工作的力度和进展存在较大差别。少部分医院仍未开展科学、合理的系统定级工作，使系统缺乏必要的安全保障措施。这就导致医疗行业成为勒索病毒威胁的重灾区。

问2：病案和药物等信息是医疗行业的核心数据，也是患者个人隐私，所以加强数据安全的管理必不可少。只依靠传统的边界防护手段进行安全防护就能保障医疗行业核心数据安全吗？ 

答：目前医疗行业主要还是以传统的边界防护手段和以数据库审计技术为基础的防统方系统进行安全防护，这可以有效的实现对违规统方行为的监控、审计和追溯。但单纯只依靠这些防护手段已经不足以实现全面防护。比如之前大牌艺人“侃爷”住院治疗信息被泄露的问题，就直指人员权限过多的问题。这个问题传统的防护手段就很难解决。所以医疗行业核心数据需要系统、科学的数据安全主动防御体系进行全方位的保障。

问3：除了上面提到的两个问题，目前医疗行业面临的其他问题有哪些？ 

答：安全事件频发，但少部分医院还处于观望状态，未做出及时的防护措施；对于信息系统开展定期渗透测试的重要性还未得到重视；部分医院没有进行安全相关的培训；数据的流动共享过程中，保证数据的不泄露也是个很难的问题；医疗数据明文存储，可直接接触者众多，如何规范核心数据的访问？这些问题都威胁着医疗行业数据的安全。

面临这些威胁，医疗行业从加强信息安全等方面入手，逐渐重视加强数据安全工作；并采取数据灾备、离线存储等数据安全措施，为医疗行业核心数据提供保障。医疗行业对医疗信息安全工作的重视不断提高，是进行数据安全防护的第一步。

想要了解针对医疗行业面临这些威胁的解决办法，请持续关注DBSEC情报处。

扫描下方二维码，

下载《2019数据泄露调查报告》及《2017-2018中国医院信息化状况调查》

此资料来源于CHIMA。