隨著黑客不斷采用各種惡意軟件工具，醫療行業正在抵御一波勒索軟件攻擊。最近的一項調查發現，在過去的四年中成功打擊了172次針對醫療保健系統的網絡攻擊。

[[321847]]

除醫院和診所外，醫療保健行業還包括牙科服務提供者，老年護理提供者，醫療檢測，實驗室，健康保險，醫療用品等。盡管74%的攻擊針對醫院和診所，但該行業的任何部門都可能成為勒索軟件攻擊的犧牲品。只要它能夠保存有價值的患者數據或能夠產生收益，黑客就將設法破壞該系統的這一部分。

自2016年以來，已經在1,446個各種醫療組織(包括醫院，診所等)上記錄了172起個人攻擊?？傮w費用估計為1.57億美元，但實際數字可能更高，因為很少有機構報告付款或最終費用。

根據攻擊的大小和目標，贖金的價值千差萬別，從最低的1600美元到最高的1400萬美元。而且，這還不包括停機時間的成本，停機時間可能遠遠超過付款本身，尤其是因為要完全修復大型醫院的基礎架構可能需要幾個月的時間。

自2016年以來，有關黑客需求的最佳估計總計約為1,648萬美元，但缺乏透明度會影響公共數據。收集過去四年中所有已知的付款只會產生640,000美元。

美國的大多數醫療保健行業都是私人的，并非所有機構都報告有入侵或攻擊。此外，只有安全事件影響到至少500人(這是任意行)，美國衛生服務部才共享數據。Comparitech 調查收集了來自官方政府來源的數據，并匯總在一個地方。

醫療數據安全存在哪些風險?

• 數據管控風險

雖然醫療組織正在逐漸增強數據安全意識，但關于數據管控尚未建立統一管理機制，制度的完善相對滯后，同時“互聯網+”等新興業態的不斷涌現，并滲透至醫療領域的各個環節，客觀上導致原本相對封閉的使用環境被逐漸打破。

• 外部攻擊風險

醫療行業數據價值高，很容易引發來自互聯網的攻擊行為，漏洞如果無法及時修復，自然會為外部攻擊提供了途徑，黑客能夠非常精準地獲取數據，繼而進行精確詐騙，因此必須采取有效措施應對外部攻擊風險。

• 數據交換風險

為了規避數據交換風險，需要建立科學的對外數據交換標準，提高數據安全要求，同時強化對病患敏感數據的脫敏處理能力。

• 數據泄露風險

內部人員的權限管控制度如不完善，非權限人員便可隨意訪問病患隱私信息，數據泄露風險很大;加之內部人員監管手段不足，引發取證難等更多問題。

保護數據安全，從HTTPS加密開始

如何保障平臺數據安全也成為了各級單位不可忽視的一個問題，當今互聯網環境下，各類數據泄露事件頻發，對國家和個人造成的影響都是巨大的，信息安全是實現平臺安全的第一道防線，必須要為平臺加上一把“安全鎖”——SSL證書。

網絡安全威脅可能會從各個渠道滲透到醫療系統中，任何一個疏忽都可能導致前功盡棄,因此數安時代GDCA建議醫療機構建立全面的網絡安全防護，在服務器、網絡、終端等多個渠道提升網絡威脅防御能力，防護患者入口網站、電子病歷系統、醫療終端等各個節點，防止數據外泄，第一步就是要實現HTTPS加密。

我們都知道在HTTP頁面中，用戶的各項數據都是明文出現在互聯網中，一旦數據在傳輸過程中被人截獲，就會被泄露，更有甚者，還會遭到惡意篡改。數安時代GDCA建議各醫療機構盡快將網站、APP等遷移到HTTPS加密，在數據傳輸層就對數據進行全方位保護，避免數據被泄露或篡改，同時也樹立權威的官方形象。

HTTPS加密在醫療平臺的作用：

身份驗證：通過驗證HTTPS中的SSL證書信息，確認網站的真實身份，增強用戶識別正確醫院網站信息，避免用戶點擊了假冒醫院網站而上當受騙。

數據加密傳輸：通過SSL加密層，對傳輸的數據進行加密和解密，確保數據在傳輸過程中的安全，保障數據的機密性和完整性。

保障病人隱私信息：經過SSL層加密后，用戶的個人住址、聯系電話、病歷內容等都經過嚴密的加密，第三方無法進行竊取，保障了用戶隱私信息的安全，同時也增強用戶對平臺的信任感。

促進全國HTTPS加密進程：全國推行HTTPS加密已成趨勢，醫療信息平臺應該走在最前沿，率先推進HTTPS的進程，保護廣大民眾的醫療信息安全，更維護好醫療系統機密數據不被第三方竊取。