聚焦医疗数据接口安全，探寻轻量合规之道

 近日，广西来宾网警发现一起严重的数据安全事件，某医院运营的小程序存在数据安全接口漏洞，早在五个月前就被发现并要求该医院立即进行整改，然而该医院责任部门的数据安全意识淡薄，对之前的整改工作未能给予足够的重视，导致安全风险长期未能得到有效解决。针对这一情况，网警立即责令医院采取有效措施彻底整改数据接口安全隐患，并对医院不履行数据安全义务的行为给予了行政处罚。

不久前，全知科技为某医疗行业客户进行数据接口安全风险监测排查，发现该医院的业务系统存在严重数据接口安全漏洞，其 RESTful API 接口可获取所有 API 接口，且大量 API 认证机制薄弱、API 传输数据未加密，导致百万级敏感数据（如病患身份、就诊信息等）可能泄露，还存在未鉴权的数据修改 API，可任意登录他人账号、修改信息。这并非个例，近年来 Web 应用数据泄露案例屡见不鲜，根本原因是对数据接口安全的不重视。许多企业追求快速开发交付，忽视了数据接口安全设计，导致僵尸 API、影子 API、敏感数据暴露等问题。

这些事件暴露了数据接口安全风险的严峻性。如今大部分数据开放渠道主要依托于数据接口的方式，数据接口作为应用与数据服务的通信接口、数据要素流通的技术基础，应用场景广泛，已经成为攻击者窃取数据的重点攻击对象。 

医疗行业安全现状
   
如同金融、教育行业一样，医疗作为存储和处理大量敏感信息的核心行业，确保数据接口安全不仅是遵循法律法规的基本要求，也是维护患者信任和保护其隐私权的基石。数据接口安全的忽视可能引发一系列连锁反应，其严重性远远超出了直接的信息泄露本身。如患者隐私泄露：违反数据保护法规导致医院面临巨额罚款、诉讼和声誉损失，严重的数据安全事件甚至会迫使医院暂时关闭部分服务进行系统检查和修复，影响医疗服务连续性和效率。  
从以往发生的数据泄露事件来看，医疗行业存在的数据风险点，主要表现为以下两点：　　1.勒索病毒攻击日渐频繁
近年来，勒索病毒已成为全球范围内主流的网络安全威胁。2017年的 WannaCry 勒索事件标志着勒索病毒的全面爆发。根据2021年5月的一项调查，全球30个国家/地区的 328 名医疗机构信息化部门负责人中，约 34% 表示其机构在2020年遭受了勒索软件的攻击。医疗数据因其高度个人化和敏感性，具有极高的商业价值，成为黑客攻击的重点目标。黑客往往通过加密或泄露医疗数据来勒索医疗机构和患者个人，造成双重打击。随着医疗行业数字化转型的加速，医疗数据的安全防护能力却普遍不足，导致医疗行业成为勒索病毒攻击的重灾区。　　
2.个人信息泄漏频发不止　　
根据中国信息通信研究院发布的《2020数字医疗：疫情防控期间网络安全风险研究报告》，近三成的医疗单位存在数据资产泄漏风险。其中44.39% 的医疗单位使用存在公开漏洞的低版本组件服务，由此可以看出目前不少医疗机构的数据安全意识和保护措施还很薄弱。随着智慧医院和互联互通的普及，越来越多的医疗数据暴露在公共互联网中，而移动应用和业务系统的数据安全保障机制却相对滞后，导致医疗机构的医疗数据容易受到黑客攻击，医疗数据泄露事件频发，对患者隐私和医疗机构声誉造成严重威胁。 

医疗行业数据接口安全治理痛点 

提供广泛医疗服务的医院内网环境通常具有大量的第三方集成接口，这些服务目前严重依赖各类 API 接口收集数据并展示在信息前台界面或直接面向患者。解决医疗行业数据接口安全问题，实际上是需要解决OWASP API Security Top 10所提出的API十大安全风险，如对象级别授权失败、身份认证失败、失效的功能级授权等。 

 图为API十大安全风险的列表及排名变化 
具体来说，医疗行业在数据接口安全风险方面面临着四个主要问题:　
1.数据接口资产理不清　　
数据安全治理的首要任务是明确治理对象，即“谁”和“多少”。然而，医疗机构业务系统和数据接口数量庞大且增长迅速，许多医院难以全面掌握自身拥有的数据接口数量和状态。数据治理初期，业务系统归属部门众多，与外部对接关系错综复杂，导致数据接口资产梳理工作面临巨大挑战。由于大量数据接口未被梳理，数据接口资产不清晰，安全责任难以划分和落实，也无法有效管理数据接口的生命周期安全。因此，医疗机构需要建立完善的数据接口资产管理制度，定期进行数据接口资产梳理，明确数据接口资产清单，确保数据接口安全责任落实到位，并实现对数据接口生命周期的有效管理。　　
2.数据接口安全业务状况不明确　　
智慧医院必然拥有着数量众多的在线业务系统，而在实际的业务系统中，数据接口是获得各种高价值服务和敏感数据的重要途径。有些数据接口的流量虽然很低，却是业务的核心部分，并且这些类型的数据接口很可能携带着敏感数据，但是相关从业人员却不能及时有效的监测数据传输过程中的安全风险，不清楚业务系统数据接口是否应该携带这些敏感数据，其数据处理方式是否合法以及涉敏数据是否被恶意使用。　　
3.数据接口安全暴露面广，被攻击风险大　　
随着医疗行业云化的不断推进，医疗机构数据接口需要整合大量系统来实现业务彼此之间的交互，越来越多的个人数据以及敏感数据将存储在云上、使用在云上，根据智慧医院建设标准，需要实现互联互通，这也意味着更多的数据接口将暴露到互联网中，相对于传统数据中心的单点调用，东西向和南北向都可能成为数据接口的攻击面。另外，研发人员常常会因为测试需要、启用第三方开发人员访问以及为合作伙伴演示等不经意原因向外部公开数据接口，其中不安全的数据接口会持续扩大应用程序攻击面，让黑客更容易进行侦察、收集配置信息以及策划网络攻击。　　
4.传统安全防御部分失效　
传统意义上安全工具，如传统防火墙以及Web应用防火墙 (WAF)缺乏针对数据接口脆弱性的有效治理方法，目前均不能对业务系统数据接口风险进行准确感知和防御。传统安全防御工具实现方式是基于已知特征和规则进行风险审计，这种技术路径下的缺陷在于行为特征规则越复杂，规则的可依赖性就越低。由于业务的不确定性和持续迭代特点，会让行为特征本身的可依赖性降低，这使得无法直接判定风险，且会产生较高的误判率。  

医疗行业轻量合规的解决思路

从法律层面分析，我国《数据安全法》第二十二条及二十九条，明确数据处理活动应当加强风险监测，建立监测预警机制；从国家标准层面分析，《数据安全技术 数据接口安全风险监测方法》(征求意见稿)对数据接口安全监测提出方法，数据接口的安全风险监测预警和防护能力已成为数据安全流动的首要关注技术点。

 近期，中国网络安全产业联盟（CCIA）数据安全工作委员会联合数字化转型工作委员会，集合法律、技术、标准专家，基于《数据安全法》中风险监测相关要求，依托《数据安全技术 数据接口安全风险监测方法（征求意见稿）》相关试点工作，根据数据接口应用场景不同，编制数据接口安全风险监测方法试点验证方案，发起了“数据接口安全风险监测（DiRM）专题工作”（以下简称“DiRM专题工作”）。
DiRM专题工作组根据数据采集、共享、开放、交易、跨境流动等不同接口应用场景，编制数据接口安全风险监测方法评估验证方案，形成数据接口安全风险监测能力评估报告模板，有助于关键信息基础设施运营单位更好地识别、评估和防范数据接口安全风险，确保公民个人信息和数据安全得到有效保护。
参与DiRM专题工作不仅能够通过第三方权威认证机构的专业视角，帮助企业对自身的数据安全治理进行全面审视与深入理解，获取针对性的专业指导和建议，取得DiRM标识的企业还将形成行业内数据接口安全监测能力标杆，提升企业的竞争力和信誉度。企业应当积极参与DiRM专题工作，共同推动我国数据接口安全领域的健康发展。
DiRM专题工作的流程具体如下。

  l 评估准备：按照评估内容，对数据接口的应用场景、信息调研、风险监测方法等进行详细评估，确保对数据接口的全面了解。

 l 评估实施：企业按照国家标准进行自评估，并且根据实际需求，准备并部署合适的监测工具，如流量采集工具等，以实现对数据接口的实时监测。

  l 评估审核：企业提交DiRM自评估报告，根据审核结果进行整改或重新提交报告。

数据接口安全风险并非医疗行业独有，金融、教育、政府等众多行业都面临着同样的挑战。数据接口安全风险事件层出不穷，数据接口安全治理的重要性愈发凸显。数据接口作为数据流通的桥梁，其安全性直接影响着数据安全乃至国家安全。提高数据接口安全是有效管理数据的重要举措，是实现数字化转型的必经之路，对提升各行业业务运营效率和数字化转型具有重要意义。参与DiRM专题工作有助于行业把控数据接口安全态势，提高数据接口安全治理效率，降低信息化数据安全风险。全知科技作为“数工委”认证专题工作支撑单位，不仅牵头编制了《数据安全技术 数据接口安全风险监测方法》国家标准，同时为DiRM 专题工作组提供了技术支持。
未来，全知科技将通过专业的技术和服务，积极有力地推动DiRM专题工作及相关认证工作的推广和落地，为用户提供更为全面、高效的轻量合规服务，助力行业的健康蓬勃发展。

关注全知科技微信公众号可以获取DiRM专题工作申报材料