据数据统计,通过对 15339 家医疗行业相关单位的观测,存在木马或蠕虫等恶意程序的单位共计 1029 家,4546 家单位网站存在被篡改安全隐患。

   近日,山西原平市第一人民医院被市公安局网安大队处以行政警告处罚。

   原因是这样,网安大队在工作中发现该医院的门户网站存在安全漏洞,后来调查发现,医院网络安全意识淡薄,未履行网络安全等级保护制度,未采取防范计算机病毒和网络攻击等危害网络安全行为的技术措施,严重影响了医院网站的信息安全。

   因此,市公安局网安大队根据《网络安全法》第二十一条、五十九条规定,决定对该医院处以行政警告处罚,并责令其限期整改。

   目前,个人医疗健康数据主要集中于医院等医疗机构,因而医院网络安全的保护、建设至关重要。但近期,不少地方医院因安全意识淡薄,未能履行网络安全等级保护制度,使得医院业务长期在互联网上处于“裸奔”状态,更有甚者因此导致服务器被攻击,业务停摆,最终被当地公安部门行政警告并处罚。

   医疗数据安全为何这么重要?清华大学软件学院副教授金涛曾强调,健康医疗数据不仅涉及到个人层面,也涉及到公共利益,甚至是国家安全。比如,一个人患上流行病、传染病,其个人数据可能涉及整个治疗方案的优化改进,对整个社会大众都有福祉;基因数据则可能关乎国家安全。

 

近年来医院网络安全事故案例:

1.湖北丹江口市某医院被要求网站断网整改

   近日,湖北丹江口市公安局网安大队查处一起网站未履行网络安全保护义务案件,并依法对涉案单位予以行政处罚,并责令该公司技术部门立即进行整改。

   4月19日,民警接上级公安机关线索通报,辖区某医院门户网站存在数据库高危漏洞。接到线索后,网安大队组织警力,联合技术人员到该医院进行网络安全检查。经查,该医院网络安全部门对门户网站数据库敏感字符未屏蔽、对已知漏洞未及时修补,导致数据库注入检测时提示错误信息,存在极大网络安全隐患。民警立即要求该医院将网站临时关闭,断网整改,并函告整改情况。

2.忻州市和美妇产医院被处行政警告处罚

   2019年12月,忻州市公安局在工作中发现,和美妇产医院门户网站存在安全漏洞,市公安局直属分局网安大队立即前往该医院调查取证。

   经调查发现,该医院未履行网络安全等级保护制度,网络安全意识淡薄,未确定网络安全责任人,未制定网络安全应急事件预案,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,严重影响网站信息安全,同时该网站未办理等级保护备案手续。

   2020年3月,忻州市网安大队根据《网络安全法》第二十一条、五十九条之规定,决定对忻州市和美妇产医院处以行政警告处罚,并责令其限期整改。

3.重庆永川某私立医院业务在互联网上长期“裸奔”

   2019年5月,重庆永川某私立医院服务器突然陷入瘫痪,医院业务全面“停摆”。重庆永川公安组织网安刑侦、勘验、管理民警和技术支持专家赶赴现场对该案件进行调查核实。

   经过民警和技术专家调查核实,该私立医院因未按照网络安全等级保护制度的要求履行安全保护义务。医院未安装边界防护设备、未安装日志行为审计设备,未设置数据安全备份策略等其他网络安全技术措施,使医院业务在互联网上长期处于“裸奔”状态。黑客通过互联网攻破医院系统后植入勒索病毒,导致医院业务全面“停摆”。

   针对此案,永川公安按照公安部“一案双查”工作要求和《中华人民共和国网络安全法》第五十九条之规定,对医院处以罚款一万元,对直接负责的主管人员处以罚款五千元的行政处罚。

4.湘阴县妇幼保健院被处5万元的罚款单

   2019年4月26日,湘阴县公安局网监大队民警对湘阴县妇幼保健院进行互联网安全监督检査时,发现该院网络运行存在未部署入侵防护系统、防火墙及日志审计系统等问题,其行为已构成“不履行网络安全保护义务”的违法行为。湘阴公安依法决定对县妇幼保健院警告,并于2019年4月28日向该院发出责令限期整改通知书,但该院一直未按规定进行整改。

   因未履行网络安全保护义务,2019年10月25日,湘阴县妇幼保健院医院网络信息系统遭到黑客勒索病毒攻击,致使该医院核心业务信息系统2019年所有数据和备份文件全部清除,并通过内网感染到医院办公终端,造成医院办公终端无法使用时间长达3天。

   根据《中华人民共和国网络安全法》第二十ー条、第二十五条、第五十九条之规定,湘阴县公安局网监大队决定对湘阴县妇幼保健院罚款50000元整并责令该单位限期整改。

5.河南安阳市某医院被罚款五万元

   2019年1月,河南安阳市某医院因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展。

   当地公安对网络攻击行为开展立案侦查的同时,依据《网络安全法》第五十九条之规定,对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。

   值得注意的是,以上这些网络安全事故在医疗行业绝不仅仅是个例,仅仅是2019年以及2020年上半年中被报道的几个典型案例。希望通过这些案例能够引起医疗机构的警惕,进而对自家网络安全状况进行摸查评估,从而整改和排除潜在的安全漏洞和风险。