醫(yī)療行業(yè)總體處于“較大風險”級別，存在多種網絡安全風險及大量可被利用的安全隱患，安全防護能力較弱。
據《中國醫(yī)療行業(yè)網絡安全行業(yè)分析》報告顯示，通過對15339家醫(yī)療行業(yè)相關單位的觀測，1029家單位存在僵尸、木馬或蠕蟲等惡意程序，6446家單位的應用服務端口暴露在公共互聯(lián)網中，4546家單位網站存在被篡改安全隱患，其中261家單位已發(fā)生網站被篡改情況。

醫(yī)療行業(yè)信息系統(tǒng)安全問題分析
58%的醫(yī)療信息系統(tǒng)存在弱口令問題；59%醫(yī)療信息系統(tǒng)存網絡防護架構不完善問題，包括網絡區(qū)域劃分不合理、網絡鏈路無冗余等問題；60%的醫(yī)療信息系統(tǒng)數據備份機制不健全，包括無異地備份機制、備份策略不合理等問題；72%的醫(yī)療信息系統(tǒng)在數據存儲和傳輸過程中未采取加密措施；絕大多數醫(yī)療信息系統(tǒng)在管理方面存在監(jiān)管不力、制度不完善、人員安全意識較弱等問題。

大部分醫(yī)院缺乏必要的網絡防護措施
現階段絕大多數醫(yī)院僅采用防火墻保障網絡安全，對網絡進行VPN/VLAN劃分和上網行為管理的醫(yī)院僅過半數。醫(yī)院對網閘、防入侵、防毒墻等設備的采用率均小于50%。

在疫情期間，醫(yī)療機構作為“抗疫”的最前線，在網絡空間的戰(zhàn)場上同樣面臨著嚴峻的安全威脅與考驗。數據顯示，疫情期間的醫(yī)院攻擊事件，其中多起事件是利用冠狀病毒熱點事件，通過釣魚軟件、惡意鏈接等方式誘導攻擊目標打開、下載并啟用攻擊文件。一旦電腦被感染，病毒會進行橫向移動，感染更多網絡中的機器。

醫(yī)療行業(yè)三種常見的網絡安全風險類型

第一類，以勒索病毒為代表的僵木蠕等惡意程序風險。
在15339家健康醫(yī)療相關單位的觀測樣本中，發(fā)現存在“僵木蠕”等惡意程序的單位共計1029家，其中受勒索病毒影響的單位共計136家。這些惡意程序可導致大范圍的網絡欺詐、信息泄露和醫(yī)療信息系統(tǒng)癱瘓等破壞性后果。

我國首款勒索軟件是于2006年出現的Redplus勒索木馬。該木馬隱藏用戶文檔，然后彈出窗口勒索贖金，金額從70元至200元不等。

勒索病毒利用各種加密算法對文件進行加密后，向文件所有者索要贖金。如果感染者拒付贖金，就無法獲得加密的私鑰，無法恢復文件?，F今，勒索軟件仍然是一項流行性安全威脅。為了攻擊大型企業(yè)和組織，勒索軟件不斷研究新型變體，企業(yè)機密文件和數據的安全風險與日俱增。

第二類，安全隱患帶來的大數據泄露風險。
觀測樣本中，有6446家單位的應用服務（如數據庫服務、FTP服務、打印機服務等）端口暴露在公共互聯(lián)網，其中375家單位的應用服務使用了極簡易密碼，攻擊者可通過公共互聯(lián)網輕易獲取這些服務的控制權，這可能引發(fā)批量應用服務被惡意控制、大量健康醫(yī)療數據泄露的安全事件。

第三類，網站篡改風險。
對樣本觀測后發(fā)現，有4546家單位網站存在安全隱患，其中261家單位網站已有被惡意篡改的記錄。醫(yī)療行業(yè)的網站同政府網站、教育機構網站等都是境外機構的重點攻擊對象，且網站篡改手法多變。

醫(yī)療系統(tǒng)攻擊也是較為常見的醫(yī)療信息安全事故類型。2017年，我國某部委醫(yī)療服務信息系統(tǒng)遭“黑客”入侵，超過7億條公民信息遭泄露，超8000萬條公民信息被販賣。同年，美國醫(yī)療設備公司Patient Home Monitoring的醫(yī)療數據存儲紀錄遭破解泄露，導致47.5GB的數據泄露，包含多達31.5萬份PDF檔案，涉及近15萬患者的個人基礎信息、醫(yī)生和病例記錄以及血液檢查結果等隱私信息。

雖然我國醫(yī)療數據信息泄露事件在公眾視野下暴露的較少，實則暗潮涌動。

2018年，威瑞森發(fā)布的《受保護健康信息泄露報告》表明，受訪醫(yī)療提供商遭遇的數據泄露中，有57.5%都是內部人導致的，只有42%是外部攻擊者所為。外部攻擊可用技術預防，但內部人員問題的確是防不勝防。

相對于其他行業(yè)來說，醫(yī)療行業(yè)對信息安全的關注度和重視程度是不夠的，風險意識薄弱，監(jiān)管力度不足，行業(yè)整體缺乏完整的安全體系建設和包括應急響應在內的一套完整、成熟的流程制度，尤其是中基層醫(yī)療機構，由于無法做到專人專職，在體系化建設和專業(yè)技術能力支撐方面存在加大的缺口。

因此，加強人員網絡安全意識培訓，定期組織相關人員學習網絡安全，對安全崗位人員技能提升與培養(yǎng)，落實網絡安全管理制度是網絡安全保護建設中容易被忽視卻也是非常重要的一個環(huán)節(jié)。

2019年，中國網絡安全審查技術與認證中心根據醫(yī)療行業(yè)網絡安全的實際狀況，特別對醫(yī)療行業(yè)安全崗位能力培訓推出了信息安全保障人員認證（CISAW-HSP），兼顧醫(yī)療信息安全技術與管理，定崗提升安全從業(yè)人員的崗位能力。中科至善作為CISAW-HSP授權培訓機構，已累計幫助近400名醫(yī)療從業(yè)人員取得資格認證。