近日,北京市朝阳区人民检察院裁定,2020年至2021年,刘某、姜某某、吴某某在多家国内医院内,多次通过技术手段秘密接入医院内网数据库,获取大量药品编码、数量、金额、单位等药品数据后出售,违法所得人民币200余万元。
经查,刘某、姜某某、吴某某采用黑客技术手段,非法获取多家医疗机构数据,系情节特别严重,其行为均已构成非法获取计算机信息系统数据罪,依法应予惩处。最终依法进行追缴和没收非法所得,并处四年至五年六个月有期徒刑,及四万到六万罚款。
由于医疗数据兼具隐私特性与高价值性,在各种利益的非法驱动下,医疗领域早已成为数据泄漏、勒索软件攻击、黑客攻击的重灾区。并且,伴随着新技术新应用在健康医疗领域的不断创新,医疗机构原本相对封闭的应用环境逐渐打开,数据流转加快,整体管控难度显著上升。
在面临各类外部威胁的同时,医疗行业也面临着各类内部风险管理问题:
1、技术人员不足
在当前的建设条件下,各个医院的信息化设备一般都采取机房集中式托管的模式。在实际应用中,往往是数十台至几百台服务器的机房,却只能配备1-2名技术人员,显然,人员需求是不足的。
2、管理手段需要强化
在设备的日常管理和维护方面,大多数操作都是直接远程登录操作管理,或者派人员去机房对所需设备外接显示器进行操作。对于这些操作过程的记录和可追溯性不足,不满足相关法规要求。
3、安全建设意识薄弱
安全建设一直处于一种“重建设、轻管理”的状态,通常也只是在网络安全层面部署安全产品,如网络层面的内外隔离、防止底层的网络攻击等。
随着IT技术的不断深入发展,面临的安全危险也越来越多,传统的网络安全界限也逐渐模糊化。对于实际的日常工作中遇到的最核心的数据层面的安全问题,缺乏有效的建设防护。
那么,政企、医疗等行业如何确保数据安全呢?
1、对敏感且涉密的数据进行加密保护。当前保护数据安全最有效的措施就是加密。即使出现数据泄露,也能保障数据不被非法访问。
2、政企等涉密机构,可部署数据防泄漏系统,可有效避免内部人员无意或恶意的数据外泄。
3、对数据进行技术性保护,防止使用相机或第三方软件拍照、截图将内部数据已图片的形式流出。
智企365企业邮箱作为数据安全的守护者,为用户打造最具安全、高效、实用的电邮产品,并结合实际情况,从用户业务场景出发,秉承“内外兼防”的部署策略,提供从邮件建立到接收的全周期邮件安全解决方案。