隨著我國信息技術(shù)的進(jìn)步和醫(yī)療衛(wèi)生改革的深入����,數(shù)字化轉(zhuǎn)型已滲透到醫(yī)療體系的各個(gè)業(yè)務(wù)領(lǐng)域��,如病歷電子化�、醫(yī)院上云�����、遠(yuǎn)程問診等�。同時(shí),“云��、大�����、物�����、移���、智”等新概念�����、新方法����、新技術(shù)在醫(yī)療行業(yè)的廣泛應(yīng)用����,為醫(yī)療服務(wù)的高效�、快捷、便民提供了信息化基礎(chǔ)����,但由此也產(chǎn)生了海量的�、高度集中化的、敏感的各類健康醫(yī)療數(shù)據(jù)����。這給醫(yī)療行業(yè)帶來了全新的數(shù)據(jù)安全挑戰(zhàn)�,加大了數(shù)據(jù)安全保障的難度�。
據(jù)奇安信威脅情報(bào)中心的最新監(jiān)測(cè)數(shù)據(jù)顯示,2023年我國醫(yī)療衛(wèi)生行業(yè)泄露的數(shù)據(jù)量達(dá)到了90252.9萬條��,相當(dāng)于344.7GB�����,其中不僅包含大量個(gè)人隱私信息����,還涉及到諸多商業(yè)機(jī)密���。這一情況無疑為我們敲響了警鐘���,醫(yī)療數(shù)據(jù)事關(guān)患者生命安全、個(gè)人信息安全�����、社會(huì)公共利益和國家安全�����,加強(qiáng)醫(yī)療數(shù)據(jù)安全技術(shù)防護(hù)和制度保障成為當(dāng)務(wù)之急。
醫(yī)療行業(yè)數(shù)據(jù)安全事件頻發(fā)
近年來����,醫(yī)療衛(wèi)生行業(yè)成為數(shù)據(jù)泄露的重災(zāi)區(qū),僅2024年以來�����,就有多起重大數(shù)據(jù)安全事件被曝光�,不僅嚴(yán)重?fù)p害了患者的隱私權(quán)益,也對(duì)醫(yī)療機(jī)構(gòu)的信譽(yù)造成了不可估量的影響����。
2024年3月美國聯(lián)合健康集團(tuán)支付勒索贖金2200萬美元,大量私人醫(yī)療健康數(shù)據(jù)被竊?����?;
2024年4月愛沙尼亞連鎖藥房遭到系統(tǒng)破壞,泄露全國一半人口數(shù)據(jù)���;
2024年4月法國戛納醫(yī)院遭到攻擊���,醫(yī)護(hù)被迫紙上辦公�����。
據(jù)《互聯(lián)網(wǎng)安全內(nèi)參》顯示��,截止到2024年4月底,針對(duì)全球醫(yī)療衛(wèi)生領(lǐng)域數(shù)據(jù)的重大襲擊事件數(shù)量���,就已經(jīng)超過2023年全年總和。醫(yī)療行業(yè)關(guān)系國計(jì)民生�,醫(yī)療數(shù)據(jù)一旦遭到篡改、破壞和泄露����,勢(shì)必造成對(duì)個(gè)人、組織��、社會(huì)公共利益甚至國家利益的嚴(yán)重威脅和損害����。這些事件暴露了當(dāng)前醫(yī)療行業(yè)在數(shù)據(jù)保護(hù)方面的脆弱性,提示我們迫切需要重新審視并加強(qiáng)數(shù)據(jù)安全管理機(jī)制��。
醫(yī)療行業(yè)數(shù)據(jù)安全面臨新要求
在醫(yī)療機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過程中��,醫(yī)院、患者�、管理者、公衛(wèi)以及科研人員等各方對(duì)數(shù)據(jù)利用和共享的需求日益強(qiáng)烈���,醫(yī)療數(shù)據(jù)由“靜態(tài)”轉(zhuǎn)為“動(dòng)態(tài)”�����,數(shù)據(jù)共享流通更加頻繁�,數(shù)據(jù)集中處理���、廣泛共享�����、交叉使用成為剛性業(yè)務(wù)需求,對(duì)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全防護(hù)能力提出新的要求���。
從國家層面��,以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》《密碼法》等法律為核心驅(qū)動(dòng)��,以《網(wǎng)絡(luò)安全等級(jí)保護(hù)條例(征)》《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》《商用密碼管理?xiàng)l例》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征)》等條例為抓手的數(shù)據(jù)安全保障體系���,通過賦予數(shù)據(jù)發(fā)展和應(yīng)用權(quán)利����,明確數(shù)據(jù)安全保護(hù)義務(wù)��,要求數(shù)據(jù)相關(guān)方落實(shí)安全責(zé)任和監(jiān)管職責(zé)�。分析來看,國家層面制度法規(guī)明確提出了衛(wèi)生健康主管部門承擔(dān)本行業(yè)����、本領(lǐng)域數(shù)據(jù)安全監(jiān)管職責(zé)���。
從行業(yè)層面�����,《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》和《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》基本確定了醫(yī)療行業(yè)的兩大方向:互聯(lián)網(wǎng)醫(yī)療和大數(shù)據(jù)應(yīng)用�����。隨后�,《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》《關(guān)于進(jìn)一步完善醫(yī)療衛(wèi)生服務(wù)體系的意見》《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法》《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《遠(yuǎn)程醫(yī)療服務(wù)管理規(guī)范(試行)》等規(guī)章制度的出臺(tái)保障了相關(guān)指導(dǎo)意見的落地實(shí)施�����。分析來看���,醫(yī)療行業(yè)重點(diǎn)關(guān)注可信體系建設(shè)���、個(gè)人隱私信息保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)�����、安全管理監(jiān)督����、健康醫(yī)療信息化復(fù)合型人才隊(duì)伍建設(shè)等重點(diǎn)方向。
從地方層面���,上海�、山東、四川和江蘇等地根據(jù)自己的實(shí)際情況出臺(tái)本地區(qū)的醫(yī)療行業(yè)安全法規(guī)�����。此外���,各地方政府圍繞大數(shù)據(jù)交易���、數(shù)據(jù)安全監(jiān)管保障等也出臺(tái)了有關(guān)制度和規(guī)范,如《上海市數(shù)據(jù)條例》《貴州省大數(shù)據(jù)安全保障條例》《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》等�。分析來看,地方層面更關(guān)注大數(shù)據(jù)資源目錄����、數(shù)據(jù)安全分類管理、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估����、容災(zāi)備份�����、數(shù)據(jù)安全應(yīng)急響應(yīng)與演練等方面的具體規(guī)范和指引��。
隨著醫(yī)療行業(yè)數(shù)字化轉(zhuǎn)型的開展,“互聯(lián)網(wǎng)+醫(yī)療”等新興業(yè)態(tài)快速興起��,國家對(duì)全民健康醫(yī)療的重視進(jìn)一步促進(jìn)了新業(yè)態(tài)的發(fā)展���,醫(yī)療數(shù)據(jù)逐步實(shí)現(xiàn)互聯(lián)互通��,數(shù)據(jù)的流動(dòng)性也得到了空前的提高�。有關(guān)方面關(guān)于數(shù)據(jù)安全的理念也在發(fā)生改變�����,即逐步認(rèn)識(shí)到數(shù)據(jù)分類分級(jí)對(duì)于數(shù)據(jù)安全保障的重要性���,不再局限于單點(diǎn)防護(hù)的安全理念����,開始接受圍繞數(shù)據(jù)全生命周期的安全防護(hù)理念�,通過對(duì)生命周期各階段進(jìn)行管控,以達(dá)到數(shù)據(jù)可見�,風(fēng)險(xiǎn)可知,威脅可控的安全目標(biāo)����。
醫(yī)療行業(yè)數(shù)據(jù)安全面臨諸多痛點(diǎn)
醫(yī)療行業(yè)由于自身數(shù)據(jù)高度敏感性以及高價(jià)值性等特性��,面臨著諸多的數(shù)據(jù)安全風(fēng)險(xiǎn),主要包括數(shù)據(jù)交換安全風(fēng)險(xiǎn)、數(shù)據(jù)管控安全風(fēng)險(xiǎn)��、業(yè)務(wù)連續(xù)性保障風(fēng)險(xiǎn)以及數(shù)據(jù)庫脆弱性風(fēng)險(xiǎn)。
隨著醫(yī)療數(shù)據(jù)價(jià)值的提升,數(shù)據(jù)面臨著來自內(nèi)外部的多重威脅����,包括惡意代碼、網(wǎng)絡(luò)攻擊���、數(shù)據(jù)竊取����、數(shù)據(jù)篡改、數(shù)據(jù)泄露等�����,這些威脅可能源自技術(shù)漏洞�����、人為誤操作、管理不善或惡意攻擊。
數(shù)據(jù)安全合規(guī)性挑戰(zhàn)
我國形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》為代表的數(shù)據(jù)安全頂層監(jiān)管框架。醫(yī)療行業(yè)也出臺(tái)了《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》等各項(xiàng)監(jiān)管政策,監(jiān)管要求日趨精細(xì)化,網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)管要求越來越多�����,滿足監(jiān)管的難度越來越大�。
數(shù)據(jù)資產(chǎn)管理挑戰(zhàn)
數(shù)據(jù)資產(chǎn)的識(shí)別�、分類分級(jí)��、保護(hù)與全生命周期管理成為難題���,尤其是在醫(yī)療數(shù)據(jù)量級(jí)巨大��、類型多樣的情況下��,如何確保數(shù)據(jù)的機(jī)密性、完整性和可用性是一大挑戰(zhàn)�����。目前的行業(yè)分類分級(jí)標(biāo)準(zhǔn)更多是指引性的內(nèi)容���,在具體落地層面沒有一個(gè)權(quán)威性的標(biāo)準(zhǔn)����。
數(shù)據(jù)流動(dòng)挑戰(zhàn)
醫(yī)療數(shù)據(jù)在不同處理環(huán)節(jié)間的流動(dòng)加劇了風(fēng)險(xiǎn)�,包括數(shù)據(jù)所有權(quán)變更����、數(shù)據(jù)傳輸?shù)葐栴}��,增加了數(shù)據(jù)保護(hù)的復(fù)雜性����。
構(gòu)建全流程數(shù)據(jù)安全治理體系至關(guān)重要
醫(yī)療數(shù)據(jù)是國家重要的基礎(chǔ)性戰(zhàn)略資源�����,關(guān)系到國家戰(zhàn)略安全��、國家生物安全��、人民生命安全和公民個(gè)人隱私安全。道普信息風(fēng)險(xiǎn)管控專家建議�����,建立一套完善的健康醫(yī)療數(shù)據(jù)安全治理體系����,以網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施安全�、數(shù)據(jù)安全保障措施、數(shù)據(jù)流轉(zhuǎn)全程留痕�、數(shù)據(jù)安全監(jiān)測(cè)和預(yù)警、數(shù)據(jù)泄露事故可溯源為中心的防護(hù)手段�,對(duì)于醫(yī)療行業(yè)來說迫在眉睫。
1.加強(qiáng)數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估有效預(yù)防數(shù)據(jù)泄露
明確醫(yī)療數(shù)據(jù)資產(chǎn)清單����,確保高價(jià)值數(shù)據(jù)得到重點(diǎn)保護(hù)。強(qiáng)化數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估���,對(duì)數(shù)據(jù)全生命周期進(jìn)行風(fēng)險(xiǎn)識(shí)別和評(píng)估�����,提升數(shù)據(jù)安全保障能力�、風(fēng)險(xiǎn)發(fā)現(xiàn)能力,確保數(shù)據(jù)安全風(fēng)險(xiǎn)可控�。
2.多規(guī)管理融合加強(qiáng)數(shù)據(jù)安全合規(guī)
基于網(wǎng)絡(luò)安全責(zé)任制、等級(jí)保護(hù)����、關(guān)基保護(hù)、密碼應(yīng)用��、數(shù)據(jù)安全��、個(gè)人信息保護(hù)等監(jiān)管要求�,一次測(cè)評(píng),多規(guī)滿足��,針對(duì)風(fēng)險(xiǎn)提出改進(jìn)建議���,實(shí)現(xiàn)合規(guī)工作的規(guī)范化,降低合規(guī)管理成本����,滿足監(jiān)管部門各項(xiàng)數(shù)據(jù)安全要求,減少監(jiān)管部門的通報(bào)��,實(shí)現(xiàn)醫(yī)療行業(yè)全面合規(guī)�。
3.構(gòu)建安全防護(hù)體系實(shí)現(xiàn)數(shù)據(jù)安全運(yùn)營(yíng)
實(shí)施數(shù)據(jù)生命周期管理����,從數(shù)據(jù)生成��、傳輸�、存儲(chǔ)到銷毀的每一個(gè)環(huán)節(jié)加強(qiáng)控制。實(shí)施數(shù)據(jù)分類分級(jí)����,對(duì)敏感數(shù)據(jù)采取加密、脫敏等保護(hù)措施����,確保數(shù)據(jù)安全。同時(shí)����,建立數(shù)據(jù)共享和傳輸?shù)募用芡ǖ溃訌?qiáng)終端和通信安全����,防止數(shù)據(jù)泄露。
醫(yī)療信息化建設(shè)已成大勢(shì)所趨���,以數(shù)據(jù)為核心資源的數(shù)字化時(shí)代�,正在成為引領(lǐng)和推動(dòng)新一輪科技革命的核心力量,將會(huì)深刻影響衛(wèi)生健康行業(yè)��。道普信息風(fēng)險(xiǎn)管控專家強(qiáng)調(diào)��,面對(duì)日益復(fù)雜的數(shù)據(jù)安全挑戰(zhàn)����,構(gòu)建并完善全流程數(shù)據(jù)安全治理體系,不僅是對(duì)當(dāng)前困境的有效突破�,更是為醫(yī)療行業(yè)的長(zhǎng)遠(yuǎn)發(fā)展鋪設(shè)堅(jiān)實(shí)的基礎(chǔ),助力健康中國建設(shè)��。
