賽迪白皮書：移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)控白皮書（附下載）?三個皮匠微信公眾號每天給您帶來最全最新各類數(shù)據(jù)研究報告國家高度重視“互聯(lián)網(wǎng)+醫(yī)療健康”工作，近年來出臺了一系列政策推動其發(fā)展。移動互聯(lián)網(wǎng)醫(yī)療的出現(xiàn)，提升了患者就診方便性和就醫(yī)及時性。移動互聯(lián)網(wǎng)醫(yī)療通過移動終端或互聯(lián)網(wǎng)提供醫(yī)療健康服務(wù)，由于移動終端應(yīng)用安全保障機(jī)制和系統(tǒng)縱深防御不足，導(dǎo)致其面臨新的安全風(fēng)險挑戰(zhàn)。本白皮書通過分析移動互聯(lián)網(wǎng)醫(yī)療安全風(fēng)險現(xiàn)狀及成因，結(jié)合實際應(yīng)用，提出建立針對移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用的安全風(fēng)險監(jiān)控技術(shù)模型和管理機(jī)制。倡議成立安全風(fēng)控聯(lián)盟，形成政府監(jiān)管、行業(yè)自律、機(jī)構(gòu)自治的三重安全防線。移動互聯(lián)網(wǎng)醫(yī)療四類安全風(fēng)險日漸嚴(yán)峻隨著5G的持續(xù)推進(jìn)和移動智能終端設(shè)備的深化應(yīng)用，越來越多的生活服務(wù)類數(shù)據(jù)通過移動應(yīng)用涌入移動互聯(lián)網(wǎng)。工信部發(fā)布的中國互聯(lián)網(wǎng)市場移動應(yīng)用相關(guān)報告中指出，截至2018年，我國移動市場共檢測到移動應(yīng)用449萬款，凈增數(shù)量42萬款。作為與公民密切相關(guān)的互聯(lián)網(wǎng)醫(yī)療服務(wù)發(fā)展尤其迅速，各大醫(yī)院都推出了各自的移動醫(yī)療App，許多第三方機(jī)構(gòu)更是把握市場方向，建立醫(yī)院、醫(yī)生和患者三者撮合的第三方移動醫(yī)療App平臺，為公眾提供尋醫(yī)問診、預(yù)約掛號、購買醫(yī)藥產(chǎn)品及查詢專業(yè)信息等服務(wù)，當(dāng)前市場上已有2萬多款移動醫(yī)療App提供醫(yī)療相關(guān)服務(wù)。在新型冠狀病毒肺炎影響下及近年來國家對“互聯(lián)網(wǎng)+醫(yī)療健康”的鼓勵支持下，可以預(yù)見移動互聯(lián)網(wǎng)醫(yī)療業(yè)務(wù)呈蓬勃發(fā)展之勢。同時，移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用安全風(fēng)險也呈現(xiàn)著增加趨勢。主要表現(xiàn)在以下四個方面：系統(tǒng)安全風(fēng)險日益增加由于移動互聯(lián)網(wǎng)醫(yī)療數(shù)據(jù)中包含患者姓名、年齡、居住地址、電話、銀行賬戶、診斷、檢驗報告、用藥記錄、病史等個人敏感信息，蘊(yùn)含重要財富價值，移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)成為不法份子所覷視的重要目標(biāo)，黑客可通過后臺系統(tǒng)漏洞進(jìn)行攻擊從而獲得大量的醫(yī)療健康數(shù)據(jù)。醫(yī)療健康行業(yè)聯(lián)網(wǎng)系統(tǒng)高危漏洞需要警惕。根據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心發(fā)布的《2019年我國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全態(tài)勢綜述》報告顯示，醫(yī)療健康行業(yè)存在高危漏洞的聯(lián)網(wǎng)系統(tǒng)數(shù)量最多，安全風(fēng)險較高。據(jù)《2019醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全觀測報告》統(tǒng)計數(shù)據(jù)顯示，在被調(diào)查的醫(yī)療健康行業(yè)15339家單位中，網(wǎng)絡(luò)資產(chǎn)評估具有脆弱性的有9523家，應(yīng)用服務(wù)端口暴露在公共互聯(lián)網(wǎng)的有6446家，網(wǎng)站存在安全隱患的有4546家。互聯(lián)網(wǎng)醫(yī)療網(wǎng)站被篡改現(xiàn)象依然突出。移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用通常通過互聯(lián)網(wǎng)網(wǎng)站提供醫(yī)療服務(wù)或進(jìn)行系統(tǒng)管理。根據(jù)中國互聯(lián)網(wǎng)信息中心發(fā)布的《第44次中國互聯(lián)網(wǎng)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計報告》統(tǒng)計數(shù)據(jù)，2019年上半年國家計算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測發(fā)現(xiàn)并協(xié)調(diào)處置我國境內(nèi)被篡改的網(wǎng)站近4萬個。根據(jù)《2019醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全觀測報告》統(tǒng)計數(shù)據(jù)，有4546家單位網(wǎng)站存在安全隱患,其中261家單位的網(wǎng)站發(fā)現(xiàn)被惡意篡改。App漏洞和第三方SDK漏洞成為移動醫(yī)療領(lǐng)域的主要安全隱患。根據(jù)《2019醫(yī)療健康行業(yè)移動App安全觀測報告》統(tǒng)計，88.83%的醫(yī)療健康行業(yè)App存在高危漏洞。攻擊者可利用漏洞對App進(jìn)行仿冒、植入惡意程序、非法竊取個人敏感信息等。醫(yī)療健康行業(yè)的機(jī)構(gòu)為了給公眾提供更多的便民服務(wù)，在App中集成了第三方SDK。據(jù)愛加密2019年發(fā)布的《全國移動應(yīng)用SDK市場占有率分析報告》顯示，有25.58%的醫(yī)療健康行業(yè)App引入了第三方SDK，高于全行業(yè)平均水平，平均每款A(yù)pp引入了2.5個SDK，同時也指出超過60%的SDK含有多種漏洞。應(yīng)用渠道安全風(fēng)險不可忽視移動互聯(lián)網(wǎng)醫(yī)療應(yīng)用渠道主要分為兩類：一類是PC端互聯(lián)網(wǎng)門戶網(wǎng)站，另一類是移動客戶端軟件下載渠道。釣魚網(wǎng)站威脅移動互聯(lián)網(wǎng)醫(yī)療安全。2018年8月21日，奧古斯塔大學(xué)醫(yī)療中心遭遇了網(wǎng)絡(luò)釣魚攻擊，導(dǎo)致約41.7萬份記錄遭泄露。遭泄露的數(shù)據(jù)包含患者個人信息以及他們的醫(yī)療健康記錄、財務(wù)記錄和社會安全號碼。的爆發(fā)引發(fā)了網(wǎng)絡(luò)釣魚和惡意軟件攻擊的新潮流，不良行為者希望以此流行病為誘餌進(jìn)行攻擊。根據(jù)Checkpoint的研究，全球超過4000個與冠狀病毒相關(guān)的域名中，3%是惡意域名，5%是非?？梢捎蛎Ｒ苿涌蛻舳塑浖旅皫砻舾行畔⑿孤秵栴}。由于下載渠道的多樣性，以及渠道對移動客戶端軟件的管理、技術(shù)檢測等手段的不足，使得具有釣魚目的、欺詐行為的移動客戶端軟件仿冒成為不法者的工具?；颊吆歪t(yī)生使用仿冒或被篡改的移動客戶端軟件后，其個人醫(yī)療信息和金融信息將被不法之徒獲取，給患者和醫(yī)生帶來安全和財產(chǎn)風(fēng)險。隨著移動醫(yī)療應(yīng)用的加速普及，該威脅愈發(fā)突出。違法違規(guī)收集使用個人信息問題日益凸顯在中央網(wǎng)信辦、工信部、公安部、市場監(jiān)管總局四部委2019年開展的App違法違規(guī)收集使用個人信息專項治理行動中發(fā)現(xiàn)移動醫(yī)療App存在違規(guī)收集個人隱私信息行為，如讀取用戶聯(lián)系人數(shù)據(jù)、讀取用戶日歷信息、讀取用戶短信內(nèi)容、允許應(yīng)用發(fā)送短信/彩信導(dǎo)致意外收費、允許應(yīng)用程序錄制音頻等超范圍收集用戶信息的情況，部分存在無用戶協(xié)議和隱私政策。據(jù)愛加密發(fā)布的2019年《全國移動App安全性研究報告》，70%以上的App存在違規(guī)收集個人隱私信息的行為。數(shù)據(jù)泄露事件頻發(fā)，影響程度加劇由于很多移動互聯(lián)網(wǎng)醫(yī)療運營機(jī)構(gòu)在安全保障和健康醫(yī)療據(jù)生命周期管理措施不足，運行在互聯(lián)網(wǎng)上的移動互聯(lián)網(wǎng)醫(yī)療系統(tǒng)成為黑客攻擊