《中國信息安全》雜志收錄
山石網科文章《數字化轉型背景下的健康醫療
數據安全治理體系構建與場景實踐》
山石網科數據安全治理體系
為健康醫療保駕護航
【中國信息安全】隨著我國信息技術的進步和醫療衛生改革的深入�����,數字化轉型已滲透到醫療體系的各個業務領域���,如病歷電子化、醫院上云��、遠程問診等��。同時“云����、大���、物�����、移����、智”等新概念��、新方法���、新技術在醫療行業的廣泛應用也為醫療服務的高效�、快捷���、便民提供了信息化基礎�。但由此也產生了海量的、高度集中化的���、敏感的各類健康醫療數據,這給醫院帶來了全新的數據安全挑戰���,同時醫療業務數字化轉型的進程也加大了數據安全保障的難度。
圖注:《中國信息安全》雜志收錄山石網科文章
一����、健康醫療數據面臨的風險及挑戰
在醫療機構數字化轉型過程中,醫院���、患者、管理者��、公衛以及科研人員等各方對于數據利用和共享的需求日益強烈��,健康醫療數據由“靜態”轉為“動態”���,數據共享流通更加頻繁�����,數據集中處理、廣泛共享、交叉使用成為剛性業務需求��,對醫療機構的數據安全防護能力提出新的要求��,數據安全防護任務更加艱巨���。具體健康醫療數據面臨的風險及挑戰如下:
(一)醫院內部數據安全管理體系缺失
隨著《數據安全法》的頒布實施���,醫院整體數據安全意識逐步增強�,但大部分醫院數據管理機制的建立和完善相對滯后。同時�,醫院內部擁有大量內部職工和第三方運維人員�,如果對重要數據的訪問權限管控不足���,將會造成越權訪問風險��,這些人員可以隨意接觸病患信息�����,重則造成數據泄露�,加之數據使用審計手段不足,后續追溯也會發生取證難的問題����。
(二)數據開放共享風險
伴隨著醫院數據中心所存儲的醫療數據快速增長�����,同時醫聯體的建設也促使醫療數據種類不斷豐富,醫療機構面領著極高的數據安全管理壓力。體量龐大�����、種類豐富的健康醫療數據受到了社會的極大關注��,包括健康醫療信息系統廠商�����、健康醫療數據分析公司、輔助診療解決方案公司、商業保險機構�、藥企等都在積極尋求與醫院的合作���,實現數據的商業化變現��。醫院自身也希望能將多年積累的“沉睡”數據轉換為價值,獲取更多醫學研究成果。但是�����,這些數據在合作共享前沒有數據的安全性和合規性保障�����,將存在極大的數據安全隱患。
未脫敏的健康醫療數據在共享時可能會導致敏感信息的泄露��,醫院內部工作人員的不當操作也可能會導致敏感信息未經授權的訪問��、修改和泄露���。而醫療機構與第三方合作的過程中���,如果未進行充分的合規審查也會增加敏感信息的安全風險�����,比如未對第三方的資質進行評估、未對雙方數據對接的方案進行安全評估�、未對數據傳輸的方式進行安全性控制等��。
(三)個人隱私保護
健康醫療數據很大一部分的組成是各種患者的個人信息集合,其中包括個人基本信息�����、個人身份信息�����、個人生物識別信息�����、個人健康生理信息等����,所有的這些數據內容都涉及個人隱私����。這些個人信息一旦泄露和傳播�����,將對患者個人生活和精神狀態造成嚴重影響���。個人隱私保護已成為廣大人民群眾最關心最直接最現實的利益問題之一���。
(四)外部攻擊風險
醫療機構所存儲的健康醫療數據有著得天獨厚的價值�。據《2020年全球高級持續威脅(APT)年度報告》��,2020年醫療衛生行業以23.7%的占比�,歷史上首次超過政府��、金融��、國防、能源���、電信等領域,成為全球APT活動關注的首要目標?,F階段����,醫療機構對于安全的重視程度相對還是不足的��,從而導致了安全防護的水平相對較低���,大量安全漏洞無法及時修復�,會為外部攻擊提供途徑���,因此需要采取有效措施應對外部攻擊風險����。
此外���,越來越多的醫療機構通過移動終端應用和互聯網診療來提供更加便捷的診療服務��,但由于移動終端應用安全保障機制和系統縱深防御不足�����,醫院內部部分應用服務(如數據庫 服務、FTP 服務、打印機服務等)端口暴露在公共互聯網, 對于黑客來說���,如通過互聯網能夠輕易獲取到這些應用服務的控制權,可能會引發重大數據泄露事件。
(五)合規風險
