医疗卫生行业 网络安全行政执法案例集 奇安信行业安全研究中心 2022.12 总体情况概述 综述 每一起重大的网络安全事故的发生,都与政企机构的网络安全建设运维管理疏失密切相关,有的是安全责任意识淡薄导致,有的是等保落实不到位,有的是机构内鬼等,导致的信息泄露、网页被篡改、传播违法信息等。 作为网络安全执法部门,公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题,找到自己在安全建设运维管理中的疏失,进而促进自身实战化安全运营能力的提升。 综述 奇安信行业安全研究中心联合《安全内参》,针对2020年4月至2022年6月,媒体公开披露的与政企机构相关的各行业千余起网络安全行政执法案例进行整理和分析,筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。 报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业,事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况,对公众利益和政企机构利益都产生了极大的影响。 医疗卫生行业综述 近年来,由于系统老旧和缺乏足够的网络安全规程,医疗行业已经成为了网络罪犯的首要目标。首先,医疗卫生行业个人信息保护问题仍较为严重。根据法律法规,违反国家有关规定,非法获取、出售或提供公民个人信息,情节严重的,个人将被处三年以下有期徒刑或拘役;单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照规定处罚。 其次,部分单位在信息化建设和应用中,对网络安全工作不够重视、安全防护意识淡薄。由于建设运维管理疏失导致系统被篡改、破坏甚至是瘫痪的情况较为多发。公安机关通过开展“一案双查”,对于相关单位未履行安全管理义务情况开展调查并给予行政处罚,倒逼单位主动整改,切实履行网络安全保护义务。 第三,由供应商、前员工、内部人员引发的网络安全事件值得高度警惕。这种情况在以往并不多见,而在最近两年则频繁发生。 医疗卫生行业典型案例 利用医疗机构公众号关联业务漏洞盗取10余万条数据案 案件回顾:2022年10月,某市公安局网安大队民警在工作中发现,境外某黑客论坛上有一名用户发贴出售公民个人信息数据,自称持有数据量约20GB,售价0.2比特币,该用户还公布了29条数据样本,样本中还包括了公民姓名、联系电话、家庭住址等个人信息。经专案组调查抓获麻某,并在其电脑中查获非法获取的公民个人信息10万余条。经审讯,麻某利用某医疗机构微信公众号关联业务的系统漏洞,在4月至10月间,通过技术手段非法获取该计算机系统数据10万余条,而后在境外某黑客论坛发帖出售,截至落网前,已非法获利1500美元。 法律链接:根据《中华人民共和国刑法》第二百八十五条,麻某因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕,违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 违法/犯罪主体 个人黑客 违法/犯罪性质 外部入侵 所属行业 医疗卫生 影响范围 公众利益、政企机构利益 关键词 个人信息、非法入侵 触犯法条 《中华人民共和国刑法》 第二百八十五条《中华人民共和国网络安全法》 第二十七条 机构责任 公开资料未明确 涉及领域 个人信息 入侵北京三甲医院挂号系统男子获利五千元被公诉 案件回顾:2021年12月,陈某受人指使,编写、升级多个专门用于入侵北京三甲医院网络预约挂号信息系统的程序,非法获利5000元。经鉴定,程序具有突破系统安全保护措施、未经授权调用服务访问接口、自动获取医院挂号数据的功能。检方认为陈某提供专门用于侵入计算机信息系统的程序,情节严重。同时,陈某能够如实供述,自愿认罪认罚,综上考虑,建议法院判处其十个月有期徒刑,并处罚金。法律链接:根据《中华人民共和国网络安全法》第二十七条,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 违法/犯罪主体 个人黑客 违法/犯罪性质 外部入侵 所属行业 医疗卫生 影响范围 政企机构利益 关键词 挂号系统、入侵 触犯法条 《中华人民共和国网络 安全法》第二十七条 机构责任 公开资料未明确 涉及领域 数据安全 何某非法获取公民个人信息54亿条 案件回顾:2021年10月,犯罪嫌疑人何某利用为相关单位、企业建设信息系统之机,非法获取医疗、出行、快递等公民个人信息54亿条,搭建对外提供非法查询服务的数据库,通过暗网发布广告招揽客户,出售牟取不法利益。法律链接:根据《中华人民共和国刑法》第二百五十三条,公民个人信息不容侵犯,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金。何某利用工作过程中获得的公民个人信息,出售给他人的,依照前款规定从重处罚 违法/犯罪主体 内部人员 违法/犯罪性质 其他 所属行业 医疗卫生、交通出行 影响范围 公众利益 关键词 内鬼、非法出售个人信息 触犯法条 《中华人民共和国网络安全法》第六十四条 《中华人民共和国刑法》第二百五十三条 机构责任 其他 涉及领域 个人信息 某医院遭受网络攻击导致全院系统瘫痪 案件回顾:2021年6月,某医院遭受网络攻击,造成全院系统瘫痪。当地公安机关迅速调集技术力量赶赴现场,指导相关单位开展事件调查和应急处置工作。经调查发现,该医院未制定内部安全管理制度和操作流程,未确定网络安全负责人,未采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施,导致被黑客攻击造成系统瘫痪。当地公安机关根据《中华人民共和国网络安全法》第二十一条和五十九条之规定,对该院处以责令改正并警告的行政处罚。法律链接:根据《中华人民共和国网络安全法》第二十一条,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。 违法/犯罪主体 政企机构 违法/犯罪性质 建设运维管理疏失 所属行业 医疗卫生 影响范围 政企机构利益 关键词 系统瘫痪、负责人 触犯法条 《中华人民共和国网络安全法》第二十一条、第五十九条 机构责任 未履行安全管理义务 涉及领域 管理问题 某医院前员工因不满恶意破坏医院服务器被刑拘 案件回顾:2021年5月,某医院负责人报案称,自2021年3月起,该院网络系统持续出现故障,导医台、诊室系统等网络设备无法正常联网,医院诊疗秩序受到破坏。经院方网络工程师初步排查,医院网络系统重要文件疑似被人为更改,诊疗系统全面瘫痪。当地公安第一时间展开调查取证收集攻击日志近10万条,提取电子证据1.2TB。抓获该医院前网络系统管理员犯罪嫌疑人白某某,法律链接:根据《中华人民共和国网络安全法》第二十七条,任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动;不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具;明知他人从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 违法/犯罪主体 内部人员 违法/犯罪性质 外部入侵 所属行业 医疗卫生 影响范围 政企机构利益 关键词 内鬼、黑客入侵 触犯法条 《中华人民共和国网络 安全法》第二十七条 机构责任 公开资料未明确 涉及领域 管理问题 男子泄露确诊人员隐私信息被行政处罚 案件回顾:2020年12月7日,王某(男,24岁)将一张内容涉及“成都疫情及赵某某身份信息、活动轨迹”的图片在自己的微博转发,严重侵犯他人隐私,造成不良社会影响。经公安机关调查,王某对散布泄露赵某某个人隐私的行为供认不讳,并深刻认识到自己的错误。目前,王某因违反《中华人民共和国治安管理处罚法》相关规定已被我局依法予以行政处罚。法律链接:依据《中华人民共和国治安管理处罚法》与《中华人民共和国个人信息保护法》第十条,任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;公民个人隐私受法律保护,对于侵犯公民个人隐私的行为,涉嫌犯罪的,公安机关将依法追究刑事责任。 违法/犯罪主体 内部人员 违法/犯罪性质 其他 所属行业 医疗卫生 影响范围 公众利益 关键词 个人隐私、泄露 触犯法条 《中华人民共和国治安管理处罚法》 《个人信息保护法》第十条 机构责任 公开资料未明确 涉及领域 个人信息 某医院网站疏于管理被安装非法赌博小程序 案件回顾:2020年6月,某地网络安全民警在日常巡查中发现,当地某医院网站首页上存在隐藏的赌博小程序,该医院于2015年申请医院网站后,长期疏于对网站的管理,致使网站被他人安装了非法赌博小程序,未履行网络安全保护义务,对社会造成不利影响。根据《中华人民共和国网络安全法》第二十一条、第五十九条之规定,现决定对该医院处以警告处罚。法律链接:根据《中华人民共和国网络安全法》第二十一条、第五十九条,网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改;网络运营者不履行网络安全保护义务的,由有关主管部门责令改正,给予警告;拒不改正或者导致危害网络安全等后果的,处一万元以上十万元以下罚款,对直接负责的主管人员处五千元以上五万元以下罚款。 违法/犯罪主体 政企机构 违法/犯罪性质 建设运维管理疏失 所属行业 医疗卫生 影响范围 公众利益、政企机构利益 关键词 非法赌博 触犯法条 《中华人民共和国网络安全法》第二十一条、第五十九条 机构责任 未履行安全管理义务 涉及领域 管理问题 法条链接 《中华人民共和国网络安全法》 http://www.npc.gov.cn/npc/c30834/201611/270b43e8b35e4f7ea98502b6f0e26f8a.shtml 《中华人民共和国刑法》https://flk.npc.gov.cn/detail2.html?ZmY4MDgxODE3OTZhNjM2YTAxNzk4MjJhMTk2NDBjOTI%3D 《中华人民共和国治安管理处罚法》https://flk.npc.gov.cn/detail2.html?MmM5MDlmZGQ2NzhiZjE3OTAxNjc4YmY3NDc4ZTA2OTU%3D 名词解释——违法/犯罪主体 本文违法/犯罪主体主要指对发生的事件负有直接责任的主体。本文包括政企机构、内部人员、个人黑客、黑产团伙与APT组织。 政企机构:本文中指公司、企业、事业单位、机关、团体。 内部人员:指在政企机构任职或曾经任职能获取到“内部信息”的人员。个人黑客:本文中指利用IT技术入侵或攻击他人电脑/系统的个人。 黑产团伙:指两至三任以上,为实施违法犯罪行为组织起来的一中犯罪组织形式。APT组织:具备高级、长期、持久而有效针对特定主体,进行网络威胁(APT攻 击)的团伙/组织 名词解释——违法/犯罪性质 国家实行网络安全等级保护制度。网络运营者应当按照法律法规和相关要求履行 安全保护义务,保障网络免受干扰、破坏或者未经授权的访问。针对性质不同,本文对违法/犯罪性质做了分类,包括建设运维管理疏失、机构犯罪、外部入侵等。 建设运维管理疏失:网络运营者未能履行网络建设和运维、管理、监测、记录等安全保护义务,导致网络受到干扰、破坏或未经授权的访问。 机构犯罪:指公司、企业、事