日前��,中國(guó)信通院云計(jì)算與大數(shù)據(jù)研究所,聯(lián)合醫(yī)療器械企業(yè)��、醫(yī)療衛(wèi)生機(jī)構(gòu)�����、網(wǎng)絡(luò)安全企業(yè)共同編制發(fā)布了《醫(yī)療器械數(shù)據(jù)安全白皮書(2023年)》����。白皮書圍繞醫(yī)療器械數(shù)據(jù)安全發(fā)展概況、醫(yī)療器械數(shù)據(jù)存在安全風(fēng)險(xiǎn)和挑戰(zhàn)�����、醫(yī)療器械數(shù)據(jù)安全發(fā)展規(guī)劃�、醫(yī)療器械數(shù)據(jù)安全行業(yè)應(yīng)用實(shí)踐、醫(yī)療器械數(shù)據(jù)安全發(fā)展展望進(jìn)行了深入研究�����。
隨著5G�����、云計(jì)算、物聯(lián)網(wǎng)等新一代信息技術(shù)與醫(yī)療器械產(chǎn)業(yè)的不斷深化融合�����,我國(guó)醫(yī)療器械產(chǎn)業(yè)蓬勃發(fā)展�����,并逐步向數(shù)字化�����、智慧化邁進(jìn)��,與此同時(shí)��,醫(yī)療器械勒索病毒�����、醫(yī)療健康數(shù)據(jù)泄露等安全事件時(shí)有發(fā)生�����,智能化醫(yī)療器械網(wǎng)絡(luò)和數(shù)據(jù)安全形勢(shì)愈加嚴(yán)峻���。
1
合規(guī)與風(fēng)險(xiǎn)驅(qū)動(dòng)醫(yī)療器械數(shù)據(jù)安全
醫(yī)療器械是醫(yī)療衛(wèi)生機(jī)構(gòu)資產(chǎn)構(gòu)成的重要組成部分���,據(jù)調(diào)查分析��,某醫(yī)院每臺(tái)PET-CT設(shè)備的年均治療人次達(dá)6000以上�����,彩超機(jī)多達(dá)1.5萬(wàn)人次��,產(chǎn)生大量醫(yī)療數(shù)據(jù)�。然而,在醫(yī)療器械管理領(lǐng)域����,針對(duì)數(shù)據(jù)安全的重視程度亟待加強(qiáng)。
01
醫(yī)療器械數(shù)據(jù)安全面臨多合規(guī)需求
從國(guó)家層面�����,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》作為三部上位法����,對(duì)醫(yī)療行業(yè)安全保障工作提出了基本規(guī)范和要求����。從行業(yè)層面�����,《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”行業(yè)發(fā)展的意見(jiàn)》《關(guān)于深入推進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”“五個(gè)一”服務(wù)行動(dòng)的通知》等政策文件的出臺(tái)�,智慧醫(yī)療迎來(lái)蓬勃發(fā)展。針對(duì)醫(yī)療器械數(shù)據(jù)安全方面�,黨中央、國(guó)務(wù)院及醫(yī)療監(jiān)管部門相繼發(fā)布一系列政策指導(dǎo)文件�,逐步完善醫(yī)療器械網(wǎng)絡(luò)安全與數(shù)據(jù)安全體系。
醫(yī)療器械網(wǎng)絡(luò)安全事件頻發(fā)���,引發(fā)數(shù)據(jù)泄露
醫(yī)療器械種類眾多�,增長(zhǎng)迅速�����。一方面�����,醫(yī)療器械信息化水平相較其他行業(yè)存在一定差距�����,安全建設(shè)能力不足,數(shù)據(jù)安全建設(shè)處于起步階段����,自身安全防護(hù)能力薄弱。
2019年3月�����,某品牌心臟除顫儀所使用的Conexus無(wú)線遙測(cè)協(xié)議存在網(wǎng)絡(luò)安全漏洞���,未使用加密、身份驗(yàn)證或授權(quán)�,可能導(dǎo)致未經(jīng)授權(quán)的個(gè)人訪問(wèn)并操縱可植入設(shè)備。
2019年6月���,某品牌部分型號(hào)及版本的胰島素泵存在潛在的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���,攻擊者可以通過(guò)更改胰島素泵設(shè)置的手段,導(dǎo)致高血糖和糖尿病酮癥酸中毒�。
2019年7月,相關(guān)安全研究人員當(dāng)時(shí)使用最為廣泛的嵌入式設(shè)備實(shí)時(shí)操作系統(tǒng)VxWorks中發(fā)現(xiàn)了11個(gè)高危漏洞��,主要受影響的醫(yī)療器械包含影像系統(tǒng),輸液泵和麻醉機(jī)等�����。
2022年6月�,某基因測(cè)序儀的本地運(yùn)行管理軟件存在網(wǎng)絡(luò)安全漏洞,可以實(shí)現(xiàn)對(duì)基因測(cè)序儀進(jìn)行遠(yuǎn)程控制外�,還可以影響患者的臨床測(cè)序結(jié)果,從而導(dǎo)致診斷過(guò)程中的結(jié)果被篡改�。
醫(yī)療器械數(shù)據(jù)安全存在諸多風(fēng)險(xiǎn)
醫(yī)療器械數(shù)據(jù)作為醫(yī)療健康數(shù)據(jù)的重要組成部分��,具有高度敏感性����。隨著技術(shù)發(fā)展,醫(yī)療器械聯(lián)網(wǎng)設(shè)備激增����,分布廣泛,應(yīng)用場(chǎng)景多樣���,并展露出類型多���、型號(hào)多��、遠(yuǎn)程運(yùn)維方式多的“三多”趨勢(shì)��,直接導(dǎo)致安全風(fēng)險(xiǎn)暴露面的增加����。
1.數(shù)據(jù)交換風(fēng)險(xiǎn)
隨著技術(shù)發(fā)展�,數(shù)據(jù)交換場(chǎng)景和頻次增多,涉及數(shù)據(jù)所有者����、數(shù)據(jù)處理者��、數(shù)據(jù)使用者等多重角色和大量人員����,導(dǎo)致安全責(zé)任方無(wú)法有效的監(jiān)測(cè)資產(chǎn)流轉(zhuǎn)過(guò)程中的安全風(fēng)險(xiǎn),無(wú)法有效地識(shí)別參與人員的異常行為�����。
2.數(shù)據(jù)管控風(fēng)險(xiǎn)不少醫(yī)療機(jī)構(gòu)的器械缺乏有效管控措施���,可通過(guò)插拔門診自助機(jī)網(wǎng)線的方式輕易接入醫(yī)院內(nèi)網(wǎng)���,訪問(wèn)電子病歷等系統(tǒng)的敏感數(shù)據(jù)��。3.數(shù)據(jù)傳輸風(fēng)險(xiǎn)醫(yī)療器械可以通過(guò)包括以太網(wǎng)通信方式�、藍(lán)牙����、串口通信方式等多種渠道完成數(shù)據(jù)的遠(yuǎn)程傳輸。但是部分醫(yī)療器械在其使用前并未針對(duì)其數(shù)據(jù)傳輸接口開(kāi)展必要的滲透測(cè)試�、漏洞掃描等工作,導(dǎo)致其上線后不具備數(shù)據(jù)傳輸?shù)耐暾?��、機(jī)密性和可用性的安全保障�,可能會(huì)導(dǎo)致安全風(fēng)險(xiǎn)���。4.數(shù)據(jù)泄露風(fēng)險(xiǎn)黑客通過(guò)網(wǎng)絡(luò)安全漏洞控制醫(yī)療器械進(jìn)而向醫(yī)院索要贖金的勒索攻擊���,正在成為最主要的信息安全危害,醫(yī)療數(shù)據(jù)泄露隱患突出��。
第三方風(fēng)險(xiǎn)管控夯實(shí)醫(yī)療器械數(shù)據(jù)安全
針對(duì)以上問(wèn)題�����,道普信息風(fēng)險(xiǎn)管控專家建議,通過(guò)第三方信息化風(fēng)險(xiǎn)管控���,采取多規(guī)管理融合��、數(shù)據(jù)安全治理等手段��,積極跟蹤國(guó)內(nèi)主要政策�����,切實(shí)落實(shí)數(shù)據(jù)安全要求�,建立起可信賴的醫(yī)療器械數(shù)據(jù)安全環(huán)境��。
1.多規(guī)管理融合加強(qiáng)數(shù)據(jù)安全合規(guī)
基于網(wǎng)絡(luò)安全責(zé)任制����、等級(jí)保護(hù)�、關(guān)基保護(hù)、密碼應(yīng)用����、數(shù)據(jù)安全、個(gè)人信息保護(hù)等監(jiān)管要求,一次測(cè)評(píng)�,多規(guī)滿足,針對(duì)風(fēng)險(xiǎn)提出改進(jìn)建議�����,幫助完成醫(yī)療行業(yè)合規(guī)整改���。2.數(shù)據(jù)安全治理實(shí)現(xiàn)數(shù)據(jù)核心價(jià)值
通過(guò)數(shù)據(jù)治理體系建設(shè)�����,不斷開(kāi)發(fā)創(chuàng)新的數(shù)據(jù)服務(wù)��,融合目標(biāo)�����、流程�����、方法��、工具���,建立覆蓋數(shù)據(jù)全生命周期的“數(shù)據(jù)管理機(jī)制�、數(shù)據(jù)管理平臺(tái)��、數(shù)據(jù)開(kāi)放平臺(tái)”框架����,實(shí)現(xiàn)醫(yī)療器械數(shù)據(jù)的資產(chǎn)化、可視化�、服務(wù)化,保障醫(yī)療器械數(shù)據(jù)的核心價(jià)值����。
3.構(gòu)建安全防護(hù)體系實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營(yíng)
構(gòu)建長(zhǎng)期、有序���、常態(tài)的運(yùn)營(yíng)體系����,在前期做好基礎(chǔ)安全防護(hù)����,在具備基礎(chǔ)之后�,做好分類分級(jí)、數(shù)據(jù)流轉(zhuǎn),做分級(jí)管控和安全防護(hù)�,實(shí)現(xiàn)多源數(shù)據(jù)匯聚、數(shù)據(jù)流動(dòng)監(jiān)測(cè)���、監(jiān)測(cè)與分析��、安全事件及時(shí)發(fā)現(xiàn)等安全運(yùn)營(yíng)��。
