《奇安信：网络安全行政执法案例集——医疗行业（2022）（21页）.pdf》由会员分享，可在线阅读，更多相关《奇安信：网络安全行政执法案例集——医疗行业（2022）（21页）.pdf（21页珍藏版）》请在三个皮匠报告上搜索。

1、2022.12医疗卫生行业网络安全行政执法案例集奇安信行业安全研究中心总体情况概述综述每一起重大的网络安全事故的发生，都与政企机构的网络安全建设运维管理疏失密切相关，有的是安全责任意识淡薄导致，有的是等保落实不到位，有的是机构内鬼等，导致的信息泄露、网页被篡改、传播违法信息等。作为网络安全执法部门，公安机关每年会查处和通报大量网络安全信息事故。通过整理、分析和研究网络安全行政执法案例可以帮助各行业政企机构更好的对照查找自身问题，找到自己在安全建设运维管理中的疏失，进而促进自身实战化安全运营能力的提升。综述奇安信行业安全研究中心联合安全内参，针对2020年4月至2022年6月，媒体公开披露的与政

2、企机构相关的各行业千余起网络安全行政执法案例进行整理和分析，筛选出不同行业典型网络安全行政执法案件进行重点分析形成此份报告。报告涉及政府及事业单位、金融、医疗卫生、教育培训、互联网等几大行业，事件涉及数据的非法采集与盗卖、破坏系统运行、网页篡改、传播违法信息、非法使用企业资源等多种不同情况，对公众利益和政企机构利益都产生了极大的影响。医疗卫生行业综述近年来，由于系统老旧和缺乏足够的网络安全规程，医疗行业已经成为了网络罪犯的首要目标。首先，医疗卫生行业个人信息保护问题仍较为严重。根据法律法规，违反国家有关规定，非法获取、出售或提供公民个人信息，情节严重的，个人将被处三年以下有期徒刑或拘役；单位判

3、处罚金，并对其直接负责的主管人员和其他直接责任人员，依照规定处罚。其次，部分单位在信息化建设和应用中，对网络安全工作不够重视、安全防护意识淡薄。由于建设运维管理疏失导致系统被篡改、破坏甚至是瘫痪的情况较为多发。公安机关通过开展“一案双查”，对于相关单位未履行安全管理义务情况开展调查并给予行政处罚，倒逼单位主动整改，切实履行网络安全保护义务。第三，由供应商、前员工、内部人员引发的网络安全事件值得高度警惕。这种情况在以往并不多见，而在最近两年则频繁发生。医疗卫生行业典型案例利用医疗机构公众号关联业务漏洞盗取10余万条数据案案件回顾：2022年10月，某市公安局网安大队民警在工作中发现，境外某黑客论

4、坛上有一名用户发贴出售公民个人信息数据，自称持有数据量约20GB，售价0.2比特币，该用户还公布了29条数据样本，样本中还包括了公民姓名、联系电话、家庭住址等个人信息。经专案组调查抓获麻某，并在其电脑中查获非法获取的公民个人信息10万余条。经审讯，麻某利用某医疗机构微信公众号关联业务的系统漏洞，在4月至10月间，通过技术手段非法获取该计算机系统数据10万余条，而后在境外某黑客论坛发帖出售，截至落网前，已非法获利1500美元。法律链接：根据中华人民共和国刑法第二百八十五条，麻某因涉嫌非法获取计算机信息系统数据罪被依法批准逮捕，违反国家规定，侵入前款规定以外的计算机信息系统或者采用其他技术手段，获

5、取该计算机信息系统中存储、处理或者传输的数据，或者对该计算机信息系统实施非法控制，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违法/犯罪 主体个人黑客违法/犯罪 性质外部入侵所属行业医疗卫生影响范围公众利益、政企机构利益关键词个人信息、非法入侵触犯法条中华人民共和国刑法第二百八十五条中华人民共和国网络安全法第二十七条机构责任公开资料未明确涉及领域个人信息入侵北京三甲医院挂号系统男子获利五千元被公诉案件回顾：2021年12月，陈某受人指使，编写、升级多个专门用于入侵北京三甲医院网络预约挂号信息系统的程序，非法获利5000元。经鉴

6、定，程序具有突破系统安全保护措施、未经授权调用服务访问接口、自动获取医院挂号数据的功能。检方认为陈某提供专门用于侵入计算机信息系统的程序，情节严重。同时，陈某能够如实供述，自愿认罪认罚，综上考虑，建议法院判处其十个月有期徒刑，并处罚金。法律链接：根据中华人民共和国网络安全法第二十七条，任何个人和组织不得从事非法侵入他人网络、干扰他人网络正常功能、窃取网络数据等危害网络安全的活动；不得提供专门用于从事侵入网络、干扰网络正常功能及防护措施、窃取网络数据等危害网络安全活动的程序、工具；明知他人从事危害网络安全的活动的，不得为其提供技术支持、广告推广、支付结算等帮助。违法/犯罪 主体个人黑客违法/犯罪