医院的固定电话,本该是患者求助的生命线。可在少数医院,它却在无人察觉间,成了电诈分子拨向陌生人的作案工具。
“湖南网警”近日披露的这起案件,为医疗机构的网络安全防护工作敲响警钟。
撰文 | 郭雪梅
据公众号“湖南网警”7月1日消息,当地网警近日查处一起三甲医院不履行网络安全保护义务案。
警方披露,不法分子潜入医院内弱电井,加装诈骗设备,医院固话沦为电信诈骗的作案工具,而医院自身因安防管理存在重大漏洞、未履行网络安全保护义务,被依法处以罚款1万元,责令限期整改。
“医学界”梳理发现,这并非孤例。近两年,湖南长沙、浙江建德、陕西安康等地的医院接连曝出同类案件,疏于看管的弱电井、通信机房等,正成为电诈分子重点下手的目标,也暴露出医疗机构在日常运维与反诈管理上的普遍短板。
更值得注意的是,今年1月1日,新修订的《中华人民共和国网络安全法》正式施行,医疗机构网络安全履职不到位的违法成本大幅抬升。信息科、后勤、各科室、院领导层层压实硬性责任,容不得半点侥幸。
医院暗藏诈骗设备,被罚1万元
据公众号“湖南网警”通报,今年6月,岳阳公安网安部门在工作中发现异常线索:有犯罪分子在辖区内某三甲医院的弱电井房内,加装了VOIP设备(Voice over Internet Protocol),借此远程操控医院固话对外拨打诈骗电话。
这起顺藤摸瓜的核查,牵出了这家医院一连串的安全漏洞。
涉事医院对机房、弱电井房没有巡查巡检制度,弱电井房既未明确安全管理责任人,也未上锁,更没有采取网络边界监测、线路异常通话监测等技术防护措施。
据此,岳阳市公安机关依据《中华人民共和国网络安全法》,对该院不履行网络安全保护义务的情形处以罚款1万元、责令改正。
截至2026年6月,该案仍在侦办中。当地公安网安部门已会同市委网信办、市卫健委召开医疗行业警示约谈会,要求全市各级医疗机构全面开展弱电井、通信机房安全自查,切实履行网络安全主体责任。
图源:湖南网警
据了解,VOIP设备即“网络语音网关设备”,是一种将互联网信号转换成传统电话信号的通讯设备。其核心功能是通过互联网实现语音通话,将音频数据分解成小数据包进行网络传输,接收端再将其还原为语音。
简而言之,这是一种可以“用网络打电话”的设备,将其接入医院固定电话线路后,能让不法分子远程操控异地设备、伪装成医院的本地固定号码拨打电话或发送短信,实现作案人与作案设备的空间分离,隐蔽性极强,也因此成了电诈团伙青睐的作案工具。
这类设备又是怎么被装进医院的?
据杭州市政协新闻网2025年报道,杭州市公安局刑侦支队政治处主任王海燕曾介绍,电诈分子一般先通过网络以“高佣金”的噱头招募“安装工”,吸引不法分子铤而走险,到医院、学校等疏于防范的相关单位弱电井去安装VOIP设备。
而医院这类公共场所人流量大、通信设施公信力高,一旦被得手,危害尤甚。实际上,不止是岳阳这家医院,全国有不少医疗机构曾出现此类事件。
2025年6月,陕西省安康民警在城区某医院的弱电井中发现了两个黑色盒子,确认是VOIP设备。短短几天,这两台设备已向全国各地随机拨号数万次。一旦触发反诈预警,整栋楼的固话就会被强制停机,医院的正常调度、患者咨询、回访都会陷入瘫痪状态;
2025年7月,长沙市某医院附近的多位居民反映,自己接到医院来电称有亲属住院需缴纳住院费等,可家中并没人住院,最终民警随到医院查看发现弱电井疑似被安装电诈设备;
2025年12月,杭州市公安局临安区分局发现辖区内某医院3楼弱电箱内被非法安装了VOIP设备,该设备已拨打了数百个诈骗电话……
“湖南网警”提醒,各单位的通信线路、弱电井同样属于网络基础设施,近年来因弱电井房管理不严而导致的案事件频发,严重侵害人民群众财产安全,各网络运营单位必须严格落实网络安全主体责任,补齐物理安防、日常巡检、技术监测等管理短板。
网络安全,医院容不得半点侥幸
一系列案件集中暴露医院通信基础设施管理的潜在漏洞。
长期以来,大众对医院网络安全的认知,大多停留在患者数据泄露、系统被攻击;如今,风险已下沉到物理设施层面,无人看管的弱电井、通信机房,成了最易被忽视的盲区之一。
与此同时,医院存储着海量身份信息、就诊记录、体检与诊疗数据,却仍有不少机构未严格落实数据加密、漏洞修复、防火墙运维等法定措施。
此前,已有多地医院因数据安全制度缺失、防护设备闲置、系统存在弱口令等问题,导致大量医疗信息面临泄露风险,被网信、公安部门处罚,部分直接责任人还被追究个人责任。
未来,法律的红线也会越收越紧。
今年1月1日起施行的新修订《中华人民共和国网络安全法》,是这部法律自2017年实施以来的首次重大修改。它构建起“梯度处罚”体系,按一般、严重、特别严重后果分级追责,并大幅抬高违法成本:
最高罚款额度提升至1000万元;对直接负责的主管人员和其他直接责任人员等个人的罚款上限,也从10万元提高到100万元,真正实现“责任到人”。
与此同时,新法也保留了必要的弹性,对符合《中华人民共和国行政处罚法》从轻、减轻或不予处罚情形的,依法从宽,体现过罚相当。
对医院而言,这意味着什么?
医疗机构信息系统承载着大量敏感数据与公共服务功能。有业内专家指出,部分大型医院的核心系统,一旦被认定为关键信息基础设施,适用的正是最严一档的处罚;即便按一般网络运营者论处,只要不履行安全保护义务,同样要面临责令改正、警告乃至罚款。
北京航空航天大学法学院副教授赵精武曾解读,关键信息基础设施往往承载着社会公共服务的核心功能,一旦出事,影响范围与损害后果都难以估量;罚款上限的提升,叠加对相关责任人员的追究,正是为了共同发挥震慑作用。
医疗机构作为公共服务场所,固话与网络设施公信力高、受众面广,一旦被电诈团伙利用,不仅会造成群众财产损失、损害医院声誉,更会扰乱正常的医疗秩序。
这也要求医疗机构彻底摒弃侥幸心理,补齐安防巡查、数据防护等管理短板,扎实筑牢医疗网络安全防线。