數(shù)字時代的到來,讓各行各業(yè)看到了大數(shù)據(jù)廣泛潛在的應(yīng)用需求和巨大的經(jīng)濟(jì)效應(yīng)。而今,大數(shù)據(jù)已經(jīng)成為了繼移動互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)之后的信息技術(shù)領(lǐng)域的又一熱點(diǎn),但大數(shù)據(jù)的發(fā)展卻潛伏這安全和隱私的隱患。
著名咨詢公司Gartner曾直言,大數(shù)據(jù)安全是一場必要的斗爭。
隨著醫(yī)療健康信息化的發(fā)展,大數(shù)據(jù)越來越蓬勃興起。大數(shù)據(jù)安全已經(jīng)成為現(xiàn)代醫(yī)療建設(shè)不可或缺的重要因素。面臨新的形勢、技術(shù),健康醫(yī)療行業(yè)的數(shù)據(jù)安全越發(fā)復(fù)雜,相較于傳統(tǒng)業(yè)態(tài)更是復(fù)雜異常。值得慶幸的是,國家和各行業(yè)主管部門推出了一系列的政策、要求和規(guī)定,讓各級醫(yī)療衛(wèi)生機(jī)構(gòu)的信息安全做了大量的工作,并取得了相應(yīng)的成效。
數(shù)據(jù)安全,醫(yī)療衛(wèi)生的短板所在
從1.0時代的傳統(tǒng)醫(yī)療健康信息化,到2.0互聯(lián)網(wǎng)醫(yī)療健康時代過渡和轉(zhuǎn)化發(fā)展,以及未來進(jìn)一步的3.0階段,這就是智慧健康。
衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會主任委員寧義先生指出,伴隨著傳統(tǒng)信息化到廣域的互聯(lián)網(wǎng),以云、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)包括區(qū)塊鏈、虛擬現(xiàn)實(shí)、5G等為代表的大量新技術(shù)被采用,引發(fā)了大量的數(shù)據(jù)安全風(fēng)險。
“由于醫(yī)療健康行業(yè)涉及到人的生命安全,這個是更為嚴(yán)重的后果。”寧義表示,醫(yī)療健康行業(yè)信息安全的技術(shù)手段比較薄弱,難防護(hù),不像專門搞信息通信、信息安全的部門具備很強(qiáng)的手段和對策方略,這是醫(yī)療衛(wèi)生行業(yè)的欠缺之處。
從客觀上來講,新的威脅不斷增加,無邊界的安全挑戰(zhàn)在擴(kuò)大,又?jǐn)骋獾墓魟討B(tài)化、碎片化,突破傳統(tǒng)的安全防護(hù)。從行業(yè)內(nèi)部而言,安全管理規(guī)范難以落實(shí),適應(yīng)性第,網(wǎng)絡(luò)邊界終端繁多,難以控制,業(yè)務(wù)系統(tǒng)訪問無法限制,尤其是互聯(lián)網(wǎng)醫(yī)療的開放,開放與限制之間往往存在矛盾,并讓限制成為了難題。再者,醫(yī)療衛(wèi)生行業(yè)中,信息化部門還是偏弱勢的,傳統(tǒng)觀念上,它僅僅是一個輔助性行業(yè),數(shù)據(jù)安全在協(xié)調(diào)上往往存在很大的難度。
醫(yī)療衛(wèi)生行業(yè)的風(fēng)險分類
寧義在演講中表示,目前市面上醫(yī)療健康行業(yè)普遍的風(fēng)險主要表現(xiàn)為以下方面:
1. 數(shù)據(jù)泄露。醫(yī)療行業(yè)中敏感數(shù)據(jù)、廚房、醫(yī)療科研成果的數(shù)據(jù)極為敏感,稍有不慎就會產(chǎn)生嚴(yán)重的后果;
2. 勒索病毒和木馬等。醫(yī)療行業(yè)自去年開始到今年已經(jīng)有兩輪比較廣泛的勒索,由于云計算等推廣,醫(yī)療行業(yè)大規(guī)模互聯(lián)網(wǎng)化后就出現(xiàn)了這類問題;
3. 監(jiān)聽的WiFi設(shè)備、詐騙、仿冒;
4. 黃牛,搶號、刷號以騙取患者的個人信息;
5. 內(nèi)部信息,竊取敏感數(shù)據(jù)。醫(yī)療衛(wèi)生行業(yè)信息科人員向藥商提供用藥信息,并產(chǎn)生問題;
數(shù)據(jù)已經(jīng)逐漸發(fā)展成一個完整產(chǎn)業(yè),通過竊取的醫(yī)療數(shù)據(jù)牟利將會產(chǎn)生各種嚴(yán)重的后果,從整體上講,醫(yī)院信息泄露漏洞較多,寧義表示自家醫(yī)院在做二級等保和三級等保的時候,就發(fā)現(xiàn)很多醫(yī)院在對外開放的網(wǎng)上漏洞較多。
安全建設(shè),守住醫(yī)學(xué)行業(yè)的數(shù)據(jù)防線
健康醫(yī)療行業(yè)內(nèi)各式新技術(shù)應(yīng)用的廣泛應(yīng)用的深入,對行業(yè)安全提出了嚴(yán)峻的挑戰(zhàn)。盡管從大體而言,各種信息標(biāo)準(zhǔn)化、包括行業(yè)基礎(chǔ)標(biāo)準(zhǔn)等都在逐步完善建設(shè),但對于醫(yī)療大數(shù)據(jù)安全仍舊迫切。寧義在演講中總結(jié)到,我們認(rèn)為醫(yī)療大數(shù)據(jù)安全的對策和措施主要從這幾個方面思考:
1. 大力宣傳,形成中是衛(wèi)生信息安全的大環(huán)境。健康醫(yī)療信息安全形勢越發(fā)嚴(yán)峻,但行業(yè)中大多數(shù)人并沒有對信息安全和大數(shù)據(jù)安全提到很高的認(rèn)識程度,缺乏行業(yè)共識,還需要很多宣傳、教育和培訓(xùn)的工作;
2. 健全規(guī)則,建立衛(wèi)生信息安全法規(guī)體系。無規(guī)矩不成方圓,醫(yī)療行業(yè)在大數(shù)據(jù)環(huán)境下還缺乏完善的規(guī)章制度,需要明確相關(guān)管理方法和標(biāo)準(zhǔn)制度,讓各類醫(yī)療衛(wèi)生機(jī)構(gòu)有法可依,有例可循。
3. 強(qiáng)化培訓(xùn),建立衛(wèi)生信息安全骨干隊伍。信息安全人員本就稀少,衛(wèi)生行業(yè)更是缺乏,專業(yè)團(tuán)隊水平差,需要強(qiáng)化培訓(xùn)、引進(jìn),形成規(guī)模化安全隊伍。此外探索外包服務(wù)模式也需要相對深入,一方面外包的承包商可以分擔(dān)部分責(zé)任,另一方面醫(yī)院相關(guān)負(fù)責(zé)人還是需要把控全程,要有責(zé)任意識。
4. 加強(qiáng)管理,落實(shí)衛(wèi)生信息安全配套措施。從行業(yè)角度出發(fā),總體行業(yè)需要有總體考慮,政策法規(guī)、管理制度、技術(shù)標(biāo)準(zhǔn)、實(shí)施推進(jìn)等方面都需要配套,綜合治理。機(jī)構(gòu)角度出發(fā),每一個具體的醫(yī)療衛(wèi)生機(jī)構(gòu),需要明確具體流程,遵從技術(shù)標(biāo)準(zhǔn),落實(shí)基礎(chǔ)措施,綜合配套解決安全問題。【本文根據(jù)寧義演講整理而成】