2022.12医疗卫生行业 网络安全行政执法案例集 奇安信行业安全研究中心总体情况概述综述 每一起重大的网络安全事故的发生 ，都与政企机构的网 络安全建设运维管理疏失密切相关 ，有的是安全责任意识淡 薄导致 ，有的是等保落实不到位 ，有的是机构内鬼等 ，导致 的信息泄露 、网页被篡改 、传播违法信息等 。 作为 网络安全执法部门 ，公安机关每年会查处和通报大 量网络安全信息事故 。通过整理 、分析和研究网络安全行政 执法案例可以帮助各行业政企机构更好的对照查找自身问题 ， 找到自己在安全建设运维管理中的疏失 ，进而促进自身实战 化安全运营能力的提升 。综述 奇安信行业安全研究中心 联合 《安全内参》， 针对2020 年4 月至2022 年6月，媒体公开 披露 的与政企机构相关的 各行业 千余 起网络安全行政执法案例 进行整理和分析 ，筛选出 不同行业 典型 网络安全行政 执法 案件进行 重点分析形成此份报告 。 报告涉及政府及事业单位、金融、医疗卫生、教育培训、互 联网等几 大行业 ，事件涉及数据的非法采集与盗卖、破坏系统运 行、网页篡改、传播违法信息、非法使用企业资源等多种不同情 况， 对公众利益和政企机构利益都产生了极大的影响。医疗卫生行业综述 近年来 ，由于系统老旧和缺乏足够的网络安全规程 ，医疗行业已经成 为了网络罪犯的首要目标 。首先 ，医疗卫生行业个人信息保护问题仍较为 严重 。根据法律法规 ，违反国家有关规定 ，非法获取 、出售或提供公民个 人信息 ，情节严重的 ，个人将被处三年 以下 有期徒刑或拘役；单位判处罚 金，并对其直接负责的主管人员和其他直接责任人员 ，依照规定处罚 。 其次 ，部分单位在信息化建设和应用中 ，对网络安全工作不够重视 、 安全防护 意识淡薄 。由于建设运维管理疏失导致系统被篡改 、破坏甚至是 瘫痪的情况较为多发 。公安机关通过开展 “一案双查 ”，对于相关单位未 履行安全管理义务情况开展调查并给予行政处罚 ，倒逼单位主动整改 ，切 实履行网络安全保护义务 。 第三 ，由供应商 、前员工 、内部人员引发的网络安全事件值得高度警 惕。这种情况在以往并不多见 ，而在最近两年则频繁发生 。医疗卫生行业典型案例利用医疗机构公众号关联业务漏洞盗取 10余万条数据案 案件回顾： 2022 年10月，某市公安局网安大队 民警在工作中发现 ，境外某 黑客论坛上有一名 用户发 贴出售公民个人信息数据 ，自称持有数据量 约20GB，售价0.2比特币 ，该用户还公布了 29条数据样本 ，样本中还 包括了公民姓名 、联系电话 、家庭住址等个人信息 。经专案组调查抓 获麻某 ，并在其电脑中查获非法获取的公民个人信息 10万余条 。经审 讯，麻某 利用某医疗机构微信公众 号关联业务的 系统漏洞 ，在4月至 10月间 ，通过技术手段非法获取该计算机系统数据 10万余条 ，而后 在境外某黑客论坛发帖出售 ，截至落网前 ，已非法获利 1500 美元 。 法律链接 ： 根据 《中华人民共和国刑法 》第二百八十五条 ，麻某因 涉嫌非法 获取计算机信息系统数据罪被依法批准逮捕 ，违反 国家规定 ，侵入前 款规定以外的计算机信息系统或者采用其他技术手段 ，获取该计算机 信息系统中存储 、处理或者传输的数据 ，或者对该计算机信息系统实 施非法控制 ，情节严重的 ，处三年以下有期徒刑或者拘役 ，并处或者 单处罚金；情节特别严重的 ，处三年以上七年以下有期徒刑 ，并处罚 金。违法/犯罪主体 个人黑客 违法/犯罪性质 外部入侵 所属行业 医疗卫生 影响范围公众利益、 政企机构利益 关键词 个人信息、非法入侵 触犯法条《中华人民共和国刑法 》 第二百八十五条 《中华人民共和国网络 安全法 》 第二十七条 机构责任 公开资料未明确 涉及领域 个人信息入侵北京三甲医院挂号系统男子获利五千元被公诉 案件回顾： 2021 年12月，陈某受人指使 ，编写 、升级多个专门用于入侵北 京三甲医院网络预约挂号信息系统的程序 ，非法获利 5000 元。经鉴 定，程序具有突破系统安全保护措施 、未经授权调用服务访问接口 、 自动获取医院挂号数据的功能 。检方 认为陈某提供专门用于侵入计算 机信息系统的程序 ，情节严重 。同时 ，陈某能够如实供述 ，自愿认罪 认罚 ，综上考虑 ，建议法院判处其十个月有期徒刑 ，并处罚金 。 法律链接 ： 根据 《中华人民共和国网络安全法 》第二十七条 ，任何 个人和组 织不得从事非法侵入他人网络 、干扰他人网络正常功能 、窃取网络数 据等危害网络安全的活动；不得提供专门用于从事侵入网络 、干扰网 络正常功能及防护措施 、窃取网络数据等危害网络安全活动的程序 、 工具；明知他人从事危害网络安全的活动的 ，不得为其提供技术支持 、 广告推广 、支付结算等帮助 。违法/犯罪主体 个人黑客 违法/犯罪性质 外部入侵 所属行业 医疗卫生 影响范围 政企机构利益 关键词 挂号系统、入侵 触犯法条《中华人民共和国网络 安全法 》第二十七条 机构责任 公开资料未明确 涉及领域 数据安全何某非法获取公民个人信息 54亿条 案件回顾： 2021 年10月，犯罪嫌疑人何某利用为相关单位 、企业建设信息 系统之机 ，非法获取医疗 、出行 、快递等公民个人信息 54亿条 ，搭建 对外提供非法查询服务的数据库 ，通过暗网发布广告招揽客户 ，出售 牟取不法利益 。 法律链接 ： 根据 《中华人民共和国刑法 》第二百五十三条 ，公民 个人信息不 容侵犯 ，违反国家有关规定 ，向他人出售或者提供公民个人信息 ，情 节严重的 ，处三年以下有期徒刑或者拘役 ，并处或者单处罚金 。何某 利用工作过程中获得的公民个人信息 ，出售给他人的 ，依照前款规定 从重处罚违法/犯罪主体 内部人员 违法/犯罪性质 其他 所属行业 医疗卫生、交通出行 影响范围 公众利益 关键词内鬼、 非法出售个人信息 触犯法条《中华人民共和国网络 安全法 》第六十四条 《中华人民共和国刑法 》 第二百五十三条 机构责任 其他 涉及领域 个人信息某医院遭受网络攻击导致全院系统瘫痪 案件回顾： 2021 年6月，某医院遭受网络攻击 ，造成全院系统瘫痪 。当地公 安机关 迅速调集技术力量赶赴现场 ，指导相关单位开展事件调查和应 急处置工作 。经调查发现 ，该医院未制定内部安全管理制度和操作流 程，未确定网络安全负责人 ，未采取防范计算机病毒和网络攻击 、网 络侵入等危害网络安全行为的技术措施 ，导致被黑客攻击造成系统瘫 痪。当地公安机关 根据 《中华人民共和国网络安全法 》第二十一条和 五十九条之规定 ，对该院处以责令改正并警告的行政处罚 。 法律链接 ： 根据 《中华人民共和国网络安全法 》第二十一 条，国家 实行网络 安全等级保护制度 。网络运营者应当按照网络安全等级保护制度的要 求，履行下列安全保护义务 ，保障网络免受干扰 、破坏或者未经授权 的访问 ，防止网络数据泄露或者被窃取 、篡改 。违法/犯罪主体 政企机构 违法/犯罪性质 建设运维管理疏失 所属行业 医疗卫生 影响范围 政企机构利益 关键词 系统瘫痪、负责人 触犯法条《中华人民共和国网络 安全法 》第二十一条、 第五十九条 机构责任 未履行安全管理义务 涉及领域 管理问题