隨著我國信息技術的進步和醫(yī)療衛(wèi)生改革的深入,數(shù)字化轉型已滲透到醫(yī)療體系的各個業(yè)務領域����,如病歷電子化�����、醫(yī)院上云�、遠程問診等����。同時,“云����、大、物��、移���、智”等新概念�����、新方法����、新技術在醫(yī)療行業(yè)的廣泛應用,為醫(yī)療服務的高效�����、快捷����、便民提供了信息化基礎,但由此也產生了海量的����、高度集中化的、敏感的各類健康醫(yī)療數(shù)據(jù)���。這給醫(yī)療行業(yè)帶來了全新的數(shù)據(jù)安全挑戰(zhàn)����,加大了數(shù)據(jù)安全保障的難度。
據(jù)奇安信威脅情報中心的最新監(jiān)測數(shù)據(jù)顯示���,2023年我國醫(yī)療衛(wèi)生行業(yè)泄露的數(shù)據(jù)量達到了90252.9萬條�,相當于344.7GB�����,其中不僅包含大量個人隱私信息��,還涉及到諸多商業(yè)機密�����。這一情況無疑為我們敲響了警鐘�����,醫(yī)療數(shù)據(jù)事關患者生命安全�、個人信息安全���、社會公共利益和國家安全����,加強醫(yī)療數(shù)據(jù)安全技術防護和制度保障成為當務之急。
醫(yī)療行業(yè)數(shù)據(jù)安全事件頻發(fā)
近年來���,醫(yī)療衛(wèi)生行業(yè)成為數(shù)據(jù)泄露的重災區(qū)��,僅2024年以來�,就有多起重大數(shù)據(jù)安全事件被曝光�����,不僅嚴重損害了患者的隱私權益�����,也對醫(yī)療機構的信譽造成了不可估量的影響���。
2024年3月美國聯(lián)合健康集團支付勒索贖金2200萬美元�,大量私人醫(yī)療健康數(shù)據(jù)被竊?��?�;
2024年4月愛沙尼亞連鎖藥房遭到系統(tǒng)破壞�����,泄露全國一半人口數(shù)據(jù)�;
2024年4月法國戛納醫(yī)院遭到攻擊,醫(yī)護被迫紙上辦公���。
據(jù)《互聯(lián)網安全內參》顯示�,截止到2024年4月底����,針對全球醫(yī)療衛(wèi)生領域數(shù)據(jù)的重大襲擊事件數(shù)量,就已經超過2023年全年總和��。醫(yī)療行業(yè)關系國計民生�����,醫(yī)療數(shù)據(jù)一旦遭到篡改��、破壞和泄露����,勢必造成對個人�����、組織、社會公共利益甚至國家利益的嚴重威脅和損害��。這些事件暴露了當前醫(yī)療行業(yè)在數(shù)據(jù)保護方面的脆弱性�,提示我們迫切需要重新審視并加強數(shù)據(jù)安全管理機制。
醫(yī)療行業(yè)數(shù)據(jù)安全面臨新要求
在醫(yī)療機構數(shù)字化轉型過程中��,醫(yī)院��、患者�����、管理者����、公衛(wèi)以及科研人員等各方對數(shù)據(jù)利用和共享的需求日益強烈,醫(yī)療數(shù)據(jù)由“靜態(tài)”轉為“動態(tài)”��,數(shù)據(jù)共享流通更加頻繁�,數(shù)據(jù)集中處理、廣泛共享���、交叉使用成為剛性業(yè)務需求�����,對醫(yī)療機構的數(shù)據(jù)安全防護能力提出新的要求��。
從國家層面����,以《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》《密碼法》等法律為核心驅動,以《網絡安全等級保護條例(征)》《關鍵信息基礎設施安全保護條例》《商用密碼管理條例》《網絡數(shù)據(jù)安全管理條例(征)》等條例為抓手的數(shù)據(jù)安全保障體系�,通過賦予數(shù)據(jù)發(fā)展和應用權利,明確數(shù)據(jù)安全保護義務��,要求數(shù)據(jù)相關方落實安全責任和監(jiān)管職責��。分析來看�����,國家層面制度法規(guī)明確提出了衛(wèi)生健康主管部門承擔本行業(yè)����、本領域數(shù)據(jù)安全監(jiān)管職責���。
從行業(yè)層面����,《關于促進“互聯(lián)網+醫(yī)療健康”發(fā)展的意見》和《關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》基本確定了醫(yī)療行業(yè)的兩大方向:互聯(lián)網醫(yī)療和大數(shù)據(jù)應用。隨后��,《醫(yī)療衛(wèi)生機構網絡安全管理辦法》《關于進一步完善醫(yī)療衛(wèi)生服務體系的意見》《國家健康醫(yī)療大數(shù)據(jù)標準�、安全和服務管理辦法》《互聯(lián)網診療管理辦法(試行)》《互聯(lián)網醫(yī)院管理辦法(試行)》《遠程醫(yī)療服務管理規(guī)范(試行)》等規(guī)章制度的出臺保障了相關指導意見的落地實施。分析來看�,醫(yī)療行業(yè)重點關注可信體系建設、個人隱私信息保護���、網絡安全等級保護�、安全管理監(jiān)督�����、健康醫(yī)療信息化復合型人才隊伍建設等重點方向����。
從地方層面,上海��、山東���、四川和江蘇等地根據(jù)自己的實際情況出臺本地區(qū)的醫(yī)療行業(yè)安全法規(guī)�。此外,各地方政府圍繞大數(shù)據(jù)交易�����、數(shù)據(jù)安全監(jiān)管保障等也出臺了有關制度和規(guī)范����,如《上海市數(shù)據(jù)條例》《貴州省大數(shù)據(jù)安全保障條例》《深圳經濟特區(qū)數(shù)據(jù)條例》等。分析來看�����,地方層面更關注大數(shù)據(jù)資源目錄��、數(shù)據(jù)安全分類管理����、數(shù)據(jù)安全風險評估、容災備份����、數(shù)據(jù)安全應急響應與演練等方面的具體規(guī)范和指引。
隨著醫(yī)療行業(yè)數(shù)字化轉型的開展�,“互聯(lián)網+醫(yī)療”等新興業(yè)態(tài)快速興起,國家對全民健康醫(yī)療的重視進一步促進了新業(yè)態(tài)的發(fā)展,醫(yī)療數(shù)據(jù)逐步實現(xiàn)互聯(lián)互通����,數(shù)據(jù)的流動性也得到了空前的提高��。有關方面關于數(shù)據(jù)安全的理念也在發(fā)生改變���,即逐步認識到數(shù)據(jù)分類分級對于數(shù)據(jù)安全保障的重要性����,不再局限于單點防護的安全理念���,開始接受圍繞數(shù)據(jù)全生命周期的安全防護理念�,通過對生命周期各階段進行管控�,以達到數(shù)據(jù)可見,風險可知����,威脅可控的安全目標。
醫(yī)療行業(yè)數(shù)據(jù)安全面臨諸多痛點
醫(yī)療行業(yè)由于自身數(shù)據(jù)高度敏感性以及高價值性等特性����,面臨著諸多的數(shù)據(jù)安全風險,主要包括數(shù)據(jù)交換安全風險、數(shù)據(jù)管控安全風險����、業(yè)務連續(xù)性保障風險以及數(shù)據(jù)庫脆弱性風險。
隨著醫(yī)療數(shù)據(jù)價值的提升���,數(shù)據(jù)面臨著來自內外部的多重威脅�,包括惡意代碼����、網絡攻擊、數(shù)據(jù)竊取�����、數(shù)據(jù)篡改���、數(shù)據(jù)泄露等�����,這些威脅可能源自技術漏洞����、人為誤操作、管理不善或惡意攻擊�。
數(shù)據(jù)安全合規(guī)性挑戰(zhàn)
我國形成了以《網絡安全法》《數(shù)據(jù)安全法》《個人信息保護法》為代表的數(shù)據(jù)安全頂層監(jiān)管框架。醫(yī)療行業(yè)也出臺了《醫(yī)療衛(wèi)生機構網絡安全管理辦法》等各項監(jiān)管政策�,監(jiān)管要求日趨精細化,網絡和數(shù)據(jù)安全監(jiān)管要求越來越多�,滿足監(jiān)管的難度越來越大��。
數(shù)據(jù)資產的識別�、分類分級、保護與全生命周期管理成為難題����,尤其是在醫(yī)療數(shù)據(jù)量級巨大、類型多樣的情況下����,如何確保數(shù)據(jù)的機密性、完整性和可用性是一大挑戰(zhàn)�����。目前的行業(yè)分類分級標準更多是指引性的內容�����,在具體落地層面沒有一個權威性的標準。
醫(yī)療數(shù)據(jù)在不同處理環(huán)節(jié)間的流動加劇了風險�����,包括數(shù)據(jù)所有權變更���、數(shù)據(jù)傳輸?shù)葐栴}��,增加了數(shù)據(jù)保護的復雜性�。
構建全流程數(shù)據(jù)安全治理體系至關重要
醫(yī)療數(shù)據(jù)是國家重要的基礎性戰(zhàn)略資源�����,關系到國家戰(zhàn)略安全��、國家生物安全���、人民生命安全和公民個人隱私安全�����。道普信息風險管控專家建議��,建立一套完善的健康醫(yī)療數(shù)據(jù)安全治理體系���,以網絡安全等級保護�����、關鍵信息基礎設施安全���、數(shù)據(jù)安全保障措施、數(shù)據(jù)流轉全程留痕�����、數(shù)據(jù)安全監(jiān)測和預警�、數(shù)據(jù)泄露事故可溯源為中心的防護手段�����,對于醫(yī)療行業(yè)來說迫在眉睫�。
1.加強數(shù)據(jù)風險評估有效預防數(shù)據(jù)泄露
明確醫(yī)療數(shù)據(jù)資產清單,確保高價值數(shù)據(jù)得到重點保護��。強化數(shù)據(jù)安全風險評估�,對數(shù)據(jù)全生命周期進行風險識別和評估,提升數(shù)據(jù)安全保障能力�、風險發(fā)現(xiàn)能力��,確保數(shù)據(jù)安全風險可控�����。
2.多規(guī)管理融合加強數(shù)據(jù)安全合規(guī)
基于網絡安全責任制��、等級保護�����、關基保護�����、密碼應用�����、數(shù)據(jù)安全��、個人信息保護等監(jiān)管要求���,一次測評,多規(guī)滿足���,針對風險提出改進建議�,實現(xiàn)合規(guī)工作的規(guī)范化,降低合規(guī)管理成本���,滿足監(jiān)管部門各項數(shù)據(jù)安全要求��,減少監(jiān)管部門的通報�,實現(xiàn)醫(yī)療行業(yè)全面合規(guī)���。
3.構建安全防護體系實現(xiàn)數(shù)據(jù)安全運營
實施數(shù)據(jù)生命周期管理�����,從數(shù)據(jù)生成、傳輸���、存儲到銷毀的每一個環(huán)節(jié)加強控制��。實施數(shù)據(jù)分類分級����,對敏感數(shù)據(jù)采取加密���、脫敏等保護措施�����,確保數(shù)據(jù)安全��。同時�,建立數(shù)據(jù)共享和傳輸?shù)募用芡ǖ溃訌娊K端和通信安全����,防止數(shù)據(jù)泄露。
醫(yī)療信息化建設已成大勢所趨��,以數(shù)據(jù)為核心資源的數(shù)字化時代�����,正在成為引領和推動新一輪科技革命的核心力量���,將會深刻影響衛(wèi)生健康行業(yè)�。道普信息風險管控專家強調���,面對日益復雜的數(shù)據(jù)安全挑戰(zhàn)�����,構建并完善全流程數(shù)據(jù)安全治理體系�,不僅是對當前困境的有效突破,更是為醫(yī)療行業(yè)的長遠發(fā)展鋪設堅實的基礎����,助力健康中國建設。
