数字医疗时代的数据安全如何保障?
导读:
在十四五规划的背景下,《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等重要法律法规被提升为国家和社会发展的关键议题,并已陆续实施。做好数据安全建设已成为数字时代必须面对的重要课题。
针对数据安全问题采取的有效应对措施,并通过构建国家数据安全制度来推进相关布局不仅涵盖了大数据时代下的个人安全、公共安全以及国家安全等多方面内容,在全球新一轮信息技术变革背景下也关乎着我国如何实现由跟跑向并跑进而最终迈向领跑的目标。作为数字经济产业的重要组成部分之一的数字健康产业,在新型业务与应用持续涌现的情况下也面临着更为严峻的数据安全挑战。
本文总结了我国医疗行业数据安全的现状,并针对医疗机构如何保障数据安全问题提出了应对方案。
01
医疗行业数据安全现状
Protenus,一家位于美国巴尔的摩的医疗人工智能分析企业,在HHS官方公告数据以及媒体广泛报道的基础上发布了《2019年医疗行业数据安全报告》,显示数据显示:全球医疗行业在2019年的网络攻击数量较上一年激增48%,从2016年开始统计以来, 医疗行业的平均日发生率为每天至少一起患者信息泄露事件, 全国范围内每年约有 12.55% 的人口受到其医疗记录的数据泄露、意外公开或盗窃行为的影响;同样值得注意的是, IBM Security发布于 2020年的《数据泄露成本报告》中指出, 全球范围内仅在这一年, 医疗领域的数据泄露造成的平均成本就高达7,13万美元, 比上一年度增长超 10% 。
医疗行业数据安全保障问题已成为全球性共同挑战。尽管自2021年4月6日国家医保总局发布《关于印发加强网络安全和数据保护工作指导意见的通知》(以下简称《指导意见》),该文件明确了到2022年底基本实现"基础扎实、技术先进、制度完备、责任清晰、管理严格"的整体目标。至"十四五"末期,则进一步强化了这一目标体系的完善程度,在智慧医保与安全医保建设方面均取得了显著进展。
但我们医疗数据安全情况也不容乐观,主要体现在以下两方面:
1、等级保护工作落实情况不佳
自从2017年颁布实施《中华人民共和国网络安全法》以来,在整体上而言,医疗行业的网络安全等级保护工作开展情况尚不理想
根据中国医院协会信息管理专业委员会(CHIMA)发布的《2017-2018年度中国医院信息化调查报告》显示:在对484家样本量进行调查时发现,仅有约36.16%的医疗机构完成了信息安全等级保护制度测评工作;在2018-2019年的调查显示中,参与调查的机构数量达到839家,在这其中约有43.95%完成了相关测评;值得注意的是,在被调查的医疗机构中,三级以下等级医院中有75%的比例尚未开展过此类测评工作。
尽管医院对网络安全的重视程度日益提高,在推动相关措施方面仍存在一定的滞后性。医疗行业迫在眉睫需要加快落实相关措施的节奏,在此基础上进一步完善信息安全架构,并对现有信息系统的安全性进行全面排查与优化工作。同时还需要开展相应的等级保护测评以及加强系统安全防护设施的建设。
2、医疗行业数据安全风险高
研究表明《2019健康医疗行业观测报告》指出:医疗行业涉及多样化的网络安全风险以及众多可被利用的安全隐患,在整体上呈现出较为薄弱的安全防护能力水平;为全面评估现状并提出针对性建议,在全国范围内对15339家医疗行业相关机构进行了调查
共有1029家不同类型的恶意程序感染了相关计算机系统。
目前,在公共[互联网]上暴露的服务端口共有 6446个。
据调查发现,当前约有 4546家单位的网站存在潜在的安全隐患。
其中已有 261家单位的网站遭遇过网络攻击事件
基于观测数据分析显示,在当前医疗行业中具备脆弱性特征的企业数量共计9523家, 占总企业数的比例约为62.14%. 进一步表明的是, 在这一领域中普遍存在可被利用的脆弱性特征, 并且这种状况直接导致了医疗行业的漏洞被恶意勒索攻击所利用。
本研究基于2018年腾讯智慧安全发布的《医疗行业勒索病毒专题报告》指出,在这些顶尖医疗机构中进行调查后发现共有247家机构被检测出感染了勒索软件。其中广东省、湖北省以及江苏省等地区的相关机构被发现感染情况最为突出。
医疗行业信息系统具有显著的数据资产价值,并对系统运行稳定性要求极高,在勒索软件攻击中往往被视为首要保护目标。此类攻击可能迫使相关医疗机构产生巨额经济损失。
02
医疗数据安全面临的三大挑战
基于相关机构对于医疗数据泄露案例的深入研究以及结合行业运行规则的相关分析,当前在医疗数据安全领域仍面临诸多挑战。
- 数据管控
近年来,在医疗数据分析日益复杂的背景下,《关于加强医疗数据安全体系建设的意见》等系列文件相继出台。这些法规举措主要聚焦于构建覆盖全生命周期的安全管理体系,并对数据处理、使用以及信息孤岛等关键环节进行了明确规定:包括建立严格的审批机制、明确区分信息系统运维人员与经办业务人员的职责范围等具体要求。然而目前尚缺乏统一的管理体系框架,《数字健康》概念下的企业不断涌现带来的技术革新也在逐步打破传统意义上的数据隔离状态,在这种背景下如何提升 medical data 的管控能力已成为一项更具挑战性的课题。
- 数据泄露
一般而言,医疗数据泄露主要源自以下几个原因:
一是医疗业务系统存在的业务漏洞以及敏感端口开放状态为未授权访问者和网络攻击者提供了便捷的入侵途径,并最终提高了医疗数据被非法获取的风险水平。
第二部分指出,在内部管理中若权限控制度未能得到有效配置,则可能导致若干非授权人员在操作过程中越界接触病患信息,并可能带来严重的数据泄露风险;此外,在监控机制上也存在明显不足的情况下,则会进一步加剧取证难度的问题。
第三条指出,在同一平台或同一代码架构内整合众多医疗机构的服务资源后,
该系统可为企业级医院提供便捷的一站式服务,
包括线上预约挂号、体检安排以及专家会诊等多项功能,
若某平台存在严重的安全漏洞,
则可能对整个系统造成毁灭性打击,
成为这些医疗机构的新攻击点。
四是医疗机构在搭建线上医疗服务系统过程中存在安全漏洞,在未采取必要措施对网络设备的敏感端口及服务进行防护的情况下,黑客入侵和未授权访问的技术门槛有所降低;这不仅提高了潜在的数据泄露风险,并可能导致严重的数据泄露危机。
- 外部攻击
医疗过程中产生的临床辅助诊疗和健康管理中的诊疗、健康数据具有重要的应用价值,在企业和国际竞争中占据重要地位;同时,在诊疗过程中所涉的支付数据与个人隐私信息也受到大量关注。此外,在勒索攻击中发现者普遍认为医疗数据作为关系到人身安全和个人隐私的重要信息资源,在遭受勒索病毒感染导致的数据丢失及业务系统中断的情况下不仅会危及患者的生命安全还会面临法律追责压力因此相关从业者往往愿意付出较高代价来尽快恢复数据以规避等待从备份中恢复的风险这些因素共同促成了医疗数据成为容易遭受外界攻击的对象
03
数字医疗机构保障数据安全的关键
医疗数据安全的保护措施应在数据管理的全过程进行。具体而言,在整个流程中必须实施多重防护机制以防止信息泄露、防止数据篡改以及防止信息丢失。本研究者主张,在数字医疗机构中保障数据安全可以从以下几个方面着手分析与推进:首先建立完善的数据分类分级管理制度;其次优化敏感信息处理流程;最后实施多层次的安全防护体系。
1、对数据分级管理
基于数据属性的不同特征, 医疗信息划分为绝密级.机密级.保密级.内部共享型.跨院共用型及对外公开级别等.不同级别的数字医疗机构需依据其属性特点制定相应的管理规范, 包括数据安全范围与保密期限等参数设定;涵盖授权权限范围与操作流程规范;规定操作步骤与核验标准;明确记录保存要求与审查机制;落实责任追究措施;确立技术防护措施方案;并制定应急预案以应对突发事件.
2、加强内部管理
强化管理措施的同时, 完善监督机制, 包括日常监督与考核评价环节。对于医疗数据的安全性, 应定期开展数据分析与风险评估工作, 全面掌握以下关键指标: 系统运行稳定性及硬件设施维护情况; 各项管理制度落实到位的情况; 数据备份过程中的安全性; 设备更换或报废后的处理流程是否合规; 以及信息安全防护等级划分是否合理等。此外, 还需重点审查技术方案设计文件, 包括但不限于: 是否遵循国家信息安全相关标准; 是否存在潜在的安全漏洞; 数据访问控制机制是否完善; 数据加密标准是否符合国家规定; 数据访问日志存储方式是否符合要求; 以及本地临时存储设备的安全性保障措施等各项指标均达到国家信息安全管理体系要求的基础上
3、加强日常监控
实施医疗信息系统的安全监控与预警机制,并协助技术人员及时识别并消除潜在的安全隐患与故障。对于涉及保密性的电脑设备,则需配备相应的监控及报警软件系统,以实现异常事件的即时响应及敏感数据的安全删除。
4、采取必要的技术措施
安全技术措施涵盖多方面内容:首先是系统的容灾备份策略制定与实施;其次是终端设备接入控制与网络准入管理;然后是病毒防治体系的构建与维护;接着是基于身份的访问控制机制设计;之后是网络入侵防护系统的部署与优化;此外还包括数据库审计功能的确保运行;防火墙配置方案的设计以及堡垒机的安全配置策略等。在应用软件架构中加强数据保护机制具有重要意义:一方面通过实现数据访问权限细粒度管理提升安全性;另一方面要完善数据访问日志实时记录机制;同时建议采用多表存储策略以增强数据冗余度并建立定期校验机制;对于敏感数据则建议采取加密存储技术以确保其安全性。
5、数据备份
即使采用最先进、最严格的数据安全措施,在理论上也不可能彻底消除数据丢失的风险;而建立完善的数据备份机制仍然是维护数据安全的关键保障。在实际应用中可以根据不同数字医疗系统的具体特征和需求选择相应的备份策略类型;如根据不同数字医疗系统的具体特征和需求可以选择完全备份、差异备份、日志备份等其他常见类型以及本地备份、异地备份、磁带备份等存储方式的结合使用方案。
6、引入第三方服务
第三方专业级的数据安全保障方案能够显著作用于提升医疗机构的整体数据安全性水平。借助专业的第三方数据安全保障服务,医疗机构能够建立起完善的医疗数据安全管理架构,从而实现快速且有前瞻性地识别信息系统的安全漏洞及潜在威胁,显著提升了应对突发网络安全事件的能力,并确保了医疗信息安全环境的安全性。
随着互联网技术和大数据应用的快速发展和广泛应用,在信息系统的支撑下,构建完善的医疗管理体系并致力于优化医疗服务水平的同时,在深化医药卫生体制改革的过程中持续提高卫生服务系统的运行效率
随着业务和服务模式的转变过程不断深化,在推动医疗信息化系统应用的过程中日益广泛地展现出其作用价值。其中的数据资源已成为医疗机构实现持续稳定健康发展的重要资产之一;然而,在保障医疗机构运营效率的同时也需要面临更为复杂的挑战:一方面要应对各种类型的数据安全威胁与管理需求;另一方面由于涉及病例记录和医患沟通记录等内容的特殊性导致其在安全性方面面临着更为严峻的考验。特别是在当前社会经济快速发展的背景下如何构建高效的安全防护体系不仅关系到医疗机构的专业形象更直接地影响着人民群众的健康权益和社会公共利益。因此加强相关领域的安全防护体系建设刻不容缓!