作者:美创科技创始人、总经理 柳遵梁
依据Verizon数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析,医疗行业数据安全的主要风险包括如下几个方面:
一、人的安全风险和对策
1.人的安全风险是医疗数据安全的最大风险
从Verizon报告可以看出医疗行业数据安全的特殊性:医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业,内部威胁占比60%,外部威胁占43%。总体来看,各行业平均攻击类型是:70%为外部威胁,30%为内部威胁。下图就数据泄露的几个主要行业做了对比,包括:医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。
由于缺乏医疗行业的独立数据,我们以全行业数据来看威胁的构成。从全行业来看,在外部人员导致的泄漏事件中,62%都来自有组织的犯罪团伙;在内部威胁中,25.9%都跟企业系统管理员有关,终端用户占22.3%,医生或护士占11.5%,开发人员占5%。从这里可以看到很亮的数据:医生或者护士占11.5%。医生和护士只有在医疗行业才存在,也就是说,医生或护士造成的内部数据泄露事件在全行业中占据了11.5%的比例。
2.人具有复杂的情绪变化特征
在数字化的今天,当我们谈及数据,都会对其充满期待和憧憬。数据是永不生锈的资产,是新经济时代的原油,是黄金和财富,是一切生产的生产资料。当其成为重要资产、巨额财富的时候,现实生活中一切关于资产安全、财富安全的管理措施都可以成为数据安全领域的参照。
数据安全的本质是人的安全,只要人人都遵守规则和约束去访问数据,数据自然就安全了,但这只能是乌托邦色彩的梦想。我们每家机构和企业都制定了一系列的安全生产规章制度,这些规章制度无论针对人或者财物,最终都会作用在人身上。如果没有适当的技术实施手段,仅依赖于教育和培训,很难使流程和制度落地,数据安全最终也就会落空。
人既有复杂情绪变化的非理性,又有利益得失计算的理性。这种理性和非理性的交错让人的安全充满着巨大挑战。
3.医疗行业所面临的“人的风险”
众所周知,医疗数据单体价值过大是导致医疗行业内部威胁高达60%的基本因素。下面来看一下医疗行业数据泄露内部威胁的主要敞口:
(1)系统管理员和DBA
几乎在所有行业中,系统管理员和DBA(数据库管理员)都是内部数据的主要威胁,在医疗行业中也不例外。从Verizon报告中可以看出,在全行业调查中,高达26%的内部威胁是由于系统管理员和DBA造成的。而在国内医疗界,信息科也一直是漩涡之地,每次医疗数据泄露事件发生时,信息科总是会成为第一个怀疑对象。
(2)医生或者护士
从Verizon数据泄露调查报告来看,来自医生及护士的威胁可能远超于系统管理员。由于医疗数据的个体价值巨大,医生或者护士只需简单地获得权限之内的数据就可以获得巨大收益。但目前由于病案数据的交叉特征,几乎没有医院的业务系统可以实现基于患者授权查询病案数据的机制,因此医生及护士可以遍历所有患者数据。
(3)软件开发商和维护人员
在医疗行业,软件开发商的力量过于强大,甚至会让院方觉得医院数据不是自己的,而是归软件开发商所有。即使是一些顶级医院,医疗系统和数据的命脉都掌控在开发商手中。
(4)驻场服务人员
驻场服务人员的权限等同于DBA和系统管理员,同时因其不受医院管理和约束,更易受到外部诱惑而铤而走险。
(5)集体的无意识
相对来说,当前医院对于患者隐私保护的意识相对淡漠,这从核心隐私机密的纸质病案和处方可以被任意重新利用这个环节就可以看出。换句话说,有心人只要不断地在医院收集各种纸质垃圾,就可以获得想要的医疗数据。
4.如何防范人的安全风险
防范人的安全风险,本质上是保护好我们的员工和伙伴,降低他们接受诱惑的可能性,以避免其犯错。防范人的安全风险需要从两个方面加以努力:机制保证和技术保证。
(1)机制保证
机制保证的核心在于降低受到诱惑的机会,降低可能产生的侥幸心理。机制保证主要体现在两点:一是隔离诱惑,可以在很大程度上避免被动犯错,也可以大幅度提高主动犯错的难度。隔离诱惑的主要措施在于实现两点:最小权限和三权分立。特别是当涉及到高敏感数据和高风险操作访问时,建议建立工作流多级审批机制。
二是责任到人,模糊和共享会导致责任不清,从而助长侥幸心理。当机制可以确保任何行为都可以追溯到个人的时候,事件审计就可以产生巨大的威慑力,降低侥幸心理。
(2)技术保证
大部分机构都具有清晰的安全生产制度,但是能够在实践中落地的并不多。安全制度的落地不能依赖于培训和人的自觉性,需要在日常操作中进行技术规范。
· 确认人是真实的人,不是被盗用、伪造、共享的身份。只要可以确认访问数据的人是真实的,就为数据安全奠定了最为坚实的基础。为了确认人是真实的人,需要映射计算机身份和真实身份,并确保这种映射是不可假冒的。双因素或者多因素是确认人是真实的人的基本技术措施。
· 确认所做的事情是真实意愿的表达,不是被胁迫的。真实意愿的表达检测需要依赖于当事人日常行为特征的检测。
· 确认所作的事情是合乎规范的、已被授权的而非越权、合乎流程和控制。合乎规范可以从两个层面加以约束:被允许的操作以及正确的上下文环境。
· 确认风险操作或者所有操作是可审计和可追踪的,风险操作或者所有操作留痕是技术保证的一个基本措施,是增强威慑力和降低侥幸心理的基本技术保障。
二、开放网络环境风险和对策
医院网络具有开放网络的基本特征,具有很大的安全风险。开放网络使心怀叵测的人可以轻易接触和到达,就如同互联网一样,是一个不设防或者低设防的网络环境。
1.开放网络:可以轻易接触和到达的网络
医院提供的任何网络服务,我们都是可以轻易到达的。如:医生或者护士的工作终端、开放的自助服务工作终端、开放的互联网服务、开放的医院无线网络。总之,医院网络是存在太多接触点的开放网络,相对比较脆弱。
2.终端管控:让开放网络具有可识别身份
医院是相对开放的网络,就如同互联网是开放网络一样,是一种客观的存在。数据安全工作需要在这个客观的前提下进行。互联网如果不具备安全措施,就等于不设防的金库。医院网络如果不具备安全措施,就如同不具备任何安全措施的互联网。
医院网络终端不同于互联网网络终端,绝大部分互联网网络终端是独占的、非共享的,安全自我保障。而绝大部分医院网络终端则是共享的、非独占的、安全他人负责的。也就是说,终端工作者并不会关注安全问题,甚至会厌恶安全问题,这种场景必然导致的结果就是终端是不安全的。而在传统网络中,我们总是假设终端是安全的。医院开放网络的终端不安全性和传统网络终端安全的假设存在巨大裂缝,使医院网络安全面临巨大威胁。
终端管控是实现开放网络安全的有效手段,从安全的角度来看,主要实现两个目标:一是实现脱离于非安全终端的可识别身份和凭证,由于终端是不可信任的,这个时候网络和数据,特别是数据需要可信任的身份作为访问凭证。由于终端的不可信赖,这个凭证需要在终端之外提供,比如密码,指纹,key或者离线验证码等。
二是防止关键应用被注入和假冒。可通过应用程序访问终端数据,如果应用程序不可信赖,那数据就会处于非常危险的境地。
三、勒索病毒的威胁和对策
1.勒索病毒的威胁
勒索病毒是医疗安全的主要威胁。Verizon数据威胁报告显示,在医疗行业,高达85%的恶意软件面临勒索病毒威胁。Verizon报告特别强调,为了获得更多的收益,勒索者越来越倾向于企业级服务器,特别是数据库服务器,是核心勒索目标。基于Verizon报告我们可认为,只要成功防御了勒索病毒威胁,医疗数据外部安全风险就获得了相对安全。
勒索病毒对于医疗行业的威胁是全方位的:
(1)工作终端和自助服务终端,互联网接入和开放网络使医院工作终端极其容易受到勒索病毒的侵袭。
(2)数据库服务器,高价值的数据库服务器是勒索病毒威胁的主要目标,导致数据和业务的双重损失。
(3)应用服务器,它是勒索病毒威胁的主要入口之一,应用服务器被勒索可以导致医疗业务完全中断。
2.勒索病毒威胁的对策
勒索病毒可以从以下不同层次防御,但需要强调的是,由于勒索病毒的巨大威胁性,仅仅做常规性防御会置医疗机构于巨大的不可预测风险之中,在实践中不建议。执行系统防御和主动防御是防御勒索病毒威胁的必须组成部分,特别是主动防御。
(1)常规防御,并不只针对勒索病毒,其实是针对所有恶意软件的常规性安全措施。主要包括:
· 及时更新系统补丁,防止攻击者通过已知漏洞入侵系统;
· 弱口令检测和弱口令的定期变更,使用复杂密码;
· 关闭不必要的端口,比如445、139、3389等高危端口;
· 安装部署杀毒软件,检测和防御已知勒索病毒威胁;
· 安全教育,不上可疑网站,不接受可疑邮件,不随意接受社交文件;
· 安全教育,不用未经审核的应用和工具;
· 做好备份,特别注意备份不能与源文件存储在相同终端,最好是备份在不同操作系统之中,避免被勒索病毒一锅端。
(2)系统防御,围绕着勒索病毒和恶意软件的特点,依据入侵生命周期做系统化的常规性防御。
· 服务:关闭不必要的服务,关闭不必要的账户;
· 端口:禁止缺省端口,使服务端口区别于缺省端口;
· 账户:关闭缺省账户,不要设置共享账户;
· 密码:不追求密码复杂性,限定密码最小长度不小于16位;
· 诱饵:设置不可能被想到的密码,设置无法破解的密码,设置诱饵文件和数据;
· 漏洞:及时修复已知漏洞,特别是无需认证的漏洞;
· 溯源:禁止运行来自不可靠源头的应用程序,如需运行,必须经过明确许可;
· 底线:做好备份,特别注意备份不能存储在相同终端上,最好是备份在不同操作系统之中,避免被勒索病毒一锅端。
(3)主动防御,针对勒索病毒防御,最有效的还是部署专用的防勒索软件。当医疗行业85%的恶意软件攻击来自于勒索病毒的时候,针对性的主动防护应该成为必选项。主动防御不仅更加有效帮助用户达成防御目标,而且比常规防御和系统防御更加省心省力。
四、互联网和云医疗风险和对策
1.互联网和云医疗风险
云和互联网几乎是任何一家医疗机构都不可回避的话题,云和互联网的安全自然也就成为医疗机构的热门话题。对于医疗机构来说,云运营商会进行云上网络安全的服务覆盖,不需要过于忧虑。但是数据安全,对于云上医疗或者互联网医疗则是一个不可回避的核心命题。
在云医疗中,数据安全风险众多,我们主要考虑以下两个核心点:
(1)如何在不受信任和管控的基础设施中存储敏感数据?
(2)如何让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?
2.云医疗的数据安全对策
(1)如何在不受信任和管控的基础设施中存储敏感数据?
答案只有两个:加密或者不存储敏感数据。原则上要求存储在云环境中的任何数据都需要进行加密存储和加密传输,任何需要进行开放式流转处理的数据都需要进行脱敏存储和传输。
(2)如何让无法控制的、拥有超级权限账户的云运营商运维人员(上帝之手)隔离业务数据?
存储级加密解决了在云环境中存储敏感数据的风险,但是依然无法隔离上帝之手接触和窥视业务数据。需要提供一种机制,禁止超级权限的DBA访问业务数据,从而保证云上数据安全性。
五、数据流动的风险和对策
1.数据畅流是数据价值的核心体现
数据作为和资金、原油、资产相似的生产资料,只有不断被使用才会产生价值,只有不断地流动才会让更多的人使用,只有让数据流动到可以产生更大价值的地方才能发挥数据的价值。医疗数据作为生活中最具价值的基础数据之一,具有不可避免的数据流动趋势。
不断流动的数据带来巨大价值的同时,也给数据安全带来了巨大的挑战。机构和企业对于流动中的数据控制力会越来越弱,不断流动的数据必然会流出数据的安全边界,传统基于静态目标保护的网络安全和数据安全保护措施在此场景下会不断弱化,甚至完全失效。解决好数据流动的安全问题是实现数据价值最大化的巨大挑战和先决条件。
2.数据流动涉及的主要风险
(1)敏感数据认知。不知道数据在哪里就不知道如何保护,不知道数据的分级分类就无法施加适当的保护。事实上我们每个用户都希望可以做到敏感数据分级分类,但是数据分级分类的巨大困难和成本总是让人望而却步。在缺乏敏感数据认知的数据安全措施下,具有其天生的脆弱性。
(2)数据流动到非授权目标,本质上属于一种误操作,在生活中经常发生,比如机密邮件发错了对象、文件发错了微信群等。
(3)身份盗用、假冒和验证绕过。身份是访问数据的凭证,身份被盗用意味着数据财富面临巨大风险。其中数据库中存在的广泛共享的账户和缺省账户是身份盗用的天然温床。身份盗用手段包括密码猜测和破解、身份伪造、撞库等。
(4)从非安全区直接访问敏感数据。大多数情况下,数据流动软件在网络边界具有较高的安全脆弱性。这种安全脆弱性很容易给数据流动带来伤害。
(5)数据流动到弱安全区域或者失控区域,这是数据流动安全的本质所在,是数据流动的自然目标和业务属性。
(6)运维端流动,是传统数据安全的主要构成部分,也是流动安全的巨大风险之一。
(7)终端业务包含敏感信息,和运维端流动一样,是传统的数据安全的一部分。
(8)数据的再次流动。当数据流动到非受控制区域的时候,很容易产生多次流动。而这个数据流动可能并非是数据流动者所期望的。
(9)数据泄露追踪。当数据泄露事件发生之后,数据提供方需要确定数据是哪个环节出去的,以实现事件追责。
3.数据流动安全风险的基本对策
数据流动安全的措施必须建立在两个基本假设之上:数据总是会趋向于流动到弱安全区域、流动的数据最终会失去控制。
从这两个基本假设出发,提出解决流动数据安全的基本思路:
(1)源端控制:流动的数据总是被脱敏的,无需关注安全;
(2)数据内置的安全性:和源断控制一致的,通过加密等手段实现内置安全性;
(3)建立审计检查机制:数据提供方可对数据利用方进行数据使用审计。
【作者简介】
柳遵梁,杭州美创科技有限公司创始人、总经理。毕业于中国人民解放军信息工程大学,中国(中关村)网络与信息安全产业联盟理事,中国信息协会信息安全专委会数据安全工作组组长。拥有二十年数据管理和信息安全从业经验,在通信、社保、医疗、金融等民生行行业积累了大量实践经验。具备长远战略眼光,准确把握技术发展趋势,持续创新,带领公司完成运维、服务、产品多次转型,均获得成功。目前公司已经完成全国布局,成为国内重要的数据安全管理综合供应商,个人著有《Oracle数据库性能优化方法论和最佳实践》书籍,多次发表学术文章。