《中國(guó)信息安全》雜志收錄
山石網(wǎng)科文章《數(shù)字化轉(zhuǎn)型背景下的健康醫(yī)療
數(shù)據(jù)安全治理體系構(gòu)建與場(chǎng)景實(shí)踐》
山石網(wǎng)科數(shù)據(jù)安全治理體系
為健康醫(yī)療保駕護(hù)航
【中國(guó)信息安全】隨著我國(guó)信息技術(shù)的進(jìn)步和醫(yī)療衛(wèi)生改革的深入��,數(shù)字化轉(zhuǎn)型已滲透到醫(yī)療體系的各個(gè)業(yè)務(wù)領(lǐng)域�,如病歷電子化�、醫(yī)院上云、遠(yuǎn)程問(wèn)診等�。同時(shí)“云、大、物�、移、智”等新概念�、新方法�、新技術(shù)在醫(yī)療行業(yè)的廣泛應(yīng)用也為醫(yī)療服務(wù)的高效、快捷����、便民提供了信息化基礎(chǔ)。但由此也產(chǎn)生了海量的����、高度集中化的、敏感的各類(lèi)健康醫(yī)療數(shù)據(jù)�,這給醫(yī)院帶來(lái)了全新的數(shù)據(jù)安全挑戰(zhàn),同時(shí)醫(yī)療業(yè)務(wù)數(shù)字化轉(zhuǎn)型的進(jìn)程也加大了數(shù)據(jù)安全保障的難度����。
圖注:《中國(guó)信息安全》雜志收錄山石網(wǎng)科文章
一�����、健康醫(yī)療數(shù)據(jù)面臨的風(fēng)險(xiǎn)及挑戰(zhàn)
在醫(yī)療機(jī)構(gòu)數(shù)字化轉(zhuǎn)型過(guò)程中��,醫(yī)院、患者�����、管理者�、公衛(wèi)以及科研人員等各方對(duì)于數(shù)據(jù)利用和共享的需求日益強(qiáng)烈�,健康醫(yī)療數(shù)據(jù)由“靜態(tài)”轉(zhuǎn)為“動(dòng)態(tài)”,數(shù)據(jù)共享流通更加頻繁�,數(shù)據(jù)集中處理、廣泛共享�、交叉使用成為剛性業(yè)務(wù)需求,對(duì)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全防護(hù)能力提出新的要求�,數(shù)據(jù)安全防護(hù)任務(wù)更加艱巨。具體健康醫(yī)療數(shù)據(jù)面臨的風(fēng)險(xiǎn)及挑戰(zhàn)如下:
(一)醫(yī)院內(nèi)部數(shù)據(jù)安全管理體系缺失
隨著《數(shù)據(jù)安全法》的頒布實(shí)施�,醫(yī)院整體數(shù)據(jù)安全意識(shí)逐步增強(qiáng)���,但大部分醫(yī)院數(shù)據(jù)管理機(jī)制的建立和完善相對(duì)滯后。同時(shí)����,醫(yī)院內(nèi)部擁有大量?jī)?nèi)部職工和第三方運(yùn)維人員,如果對(duì)重要數(shù)據(jù)的訪問(wèn)權(quán)限管控不足�����,將會(huì)造成越權(quán)訪問(wèn)風(fēng)險(xiǎn),這些人員可以隨意接觸病患信息���,重則造成數(shù)據(jù)泄露�,加之?dāng)?shù)據(jù)使用審計(jì)手段不足�,后續(xù)追溯也會(huì)發(fā)生取證難的問(wèn)題�。
(二)數(shù)據(jù)開(kāi)放共享風(fēng)險(xiǎn)
伴隨著醫(yī)院數(shù)據(jù)中心所存儲(chǔ)的醫(yī)療數(shù)據(jù)快速增長(zhǎng)��,同時(shí)醫(yī)聯(lián)體的建設(shè)也促使醫(yī)療數(shù)據(jù)種類(lèi)不斷豐富���,醫(yī)療機(jī)構(gòu)面領(lǐng)著極高的數(shù)據(jù)安全管理壓力���。體量龐大、種類(lèi)豐富的健康醫(yī)療數(shù)據(jù)受到了社會(huì)的極大關(guān)注��,包括健康醫(yī)療信息系統(tǒng)廠商����、健康醫(yī)療數(shù)據(jù)分析公司���、輔助診療解決方案公司�、商業(yè)保險(xiǎn)機(jī)構(gòu)、藥企等都在積極尋求與醫(yī)院的合作�����,實(shí)現(xiàn)數(shù)據(jù)的商業(yè)化變現(xiàn)��。醫(yī)院自身也希望能將多年積累的“沉睡”數(shù)據(jù)轉(zhuǎn)換為價(jià)值�,獲取更多醫(yī)學(xué)研究成果��。但是�,這些數(shù)據(jù)在合作共享前沒(méi)有數(shù)據(jù)的安全性和合規(guī)性保障,將存在極大的數(shù)據(jù)安全隱患�。
未脫敏的健康醫(yī)療數(shù)據(jù)在共享時(shí)可能會(huì)導(dǎo)致敏感信息的泄露,醫(yī)院內(nèi)部工作人員的不當(dāng)操作也可能會(huì)導(dǎo)致敏感信息未經(jīng)授權(quán)的訪問(wèn)���、修改和泄露。而醫(yī)療機(jī)構(gòu)與第三方合作的過(guò)程中���,如果未進(jìn)行充分的合規(guī)審查也會(huì)增加敏感信息的安全風(fēng)險(xiǎn),比如未對(duì)第三方的資質(zhì)進(jìn)行評(píng)估��、未對(duì)雙方數(shù)據(jù)對(duì)接的方案進(jìn)行安全評(píng)估、未對(duì)數(shù)據(jù)傳輸?shù)姆绞竭M(jìn)行安全性控制等��。
(三)個(gè)人隱私保護(hù)
健康醫(yī)療數(shù)據(jù)很大一部分的組成是各種患者的個(gè)人信息集合�,其中包括個(gè)人基本信息、個(gè)人身份信息���、個(gè)人生物識(shí)別信息、個(gè)人健康生理信息等��,所有的這些數(shù)據(jù)內(nèi)容都涉及個(gè)人隱私����。這些個(gè)人信息一旦泄露和傳播,將對(duì)患者個(gè)人生活和精神狀態(tài)造成嚴(yán)重影響�。個(gè)人隱私保護(hù)已成為廣大人民群眾最關(guān)心最直接最現(xiàn)實(shí)的利益問(wèn)題之一。
(四)外部攻擊風(fēng)險(xiǎn)
醫(yī)療機(jī)構(gòu)所存儲(chǔ)的健康醫(yī)療數(shù)據(jù)有著得天獨(dú)厚的價(jià)值�。據(jù)《2020年全球高級(jí)持續(xù)威脅(APT)年度報(bào)告》,2020年醫(yī)療衛(wèi)生行業(yè)以23.7%的占比�,歷史上首次超過(guò)政府、金融����、國(guó)防、能源�����、電信等領(lǐng)域,成為全球APT活動(dòng)關(guān)注的首要目標(biāo)?���,F(xiàn)階段,醫(yī)療機(jī)構(gòu)對(duì)于安全的重視程度相對(duì)還是不足的����,從而導(dǎo)致了安全防護(hù)的水平相對(duì)較低��,大量安全漏洞無(wú)法及時(shí)修復(fù)���,會(huì)為外部攻擊提供途徑�����,因此需要采取有效措施應(yīng)對(duì)外部攻擊風(fēng)險(xiǎn)�����。
此外�����,越來(lái)越多的醫(yī)療機(jī)構(gòu)通過(guò)移動(dòng)終端應(yīng)用和互聯(lián)網(wǎng)診療來(lái)提供更加便捷的診療服務(wù)����,但由于移動(dòng)終端應(yīng)用安全保障機(jī)制和系統(tǒng)縱深防御不足�����,醫(yī)院內(nèi)部部分應(yīng)用服務(wù)(如數(shù)據(jù)庫(kù) 服務(wù)�����、FTP 服務(wù)�、打印機(jī)服務(wù)等)端口暴露在公共互聯(lián)網(wǎng), 對(duì)于黑客來(lái)說(shuō),如通過(guò)互聯(lián)網(wǎng)能夠輕易獲取到這些應(yīng)用服務(wù)的控制權(quán),可能會(huì)引發(fā)重大數(shù)據(jù)泄露事件���。
(五)合規(guī)風(fēng)險(xiǎn)
