随着我国信息技术的进步和医疗卫生改革的深入,数字化转型已渗透到医疗体系的各个业务领域,如病历电子化、医院上云、远程问诊等。同时,“云、大、物、移、智”等新概念、新方法、新技术在医疗行业的广泛应用,为医疗服务的高效、快捷、便民提供了信息化基础,但由此也产生了海量的、高度集中化的、敏感的各类健康医疗数据。这给医疗行业带来了全新的数据安全挑战,加大了数据安全保障的难度。
据奇安信威胁情报中心的最新监测数据显示,2023年我国医疗卫生行业泄露的数据量达到了90252.9万条,相当于344.7GB,其中不仅包含大量个人隐私信息,还涉及到诸多商业机密。这一情况无疑为我们敲响了警钟,医疗数据事关患者生命安全、个人信息安全、社会公共利益和国家安全,加强医疗数据安全技术防护和制度保障成为当务之急。
医疗行业数据安全事件频发
近年来,医疗卫生行业成为数据泄露的重灾区,仅2024年以来,就有多起重大数据安全事件被曝光,不仅严重损害了患者的隐私权益,也对医疗机构的信誉造成了不可估量的影响。 2024年3月美国联合健康集团支付勒索赎金2200万美元,大量私人医疗健康数据被窃取; 2024年4月爱沙尼亚连锁药房遭到系统破坏,泄露全国一半人口数据; 2024年4月法国戛纳医院遭到攻击,医护被迫纸上办公。 据《互联网安全内参》显示,截止到2024年4月底,针对全球医疗卫生领域数据的重大袭击事件数量,就已经超过2023年全年总和。医疗行业关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。这些事件暴露了当前医疗行业在数据保护方面的脆弱性,提示我们迫切需要重新审视并加强数据安全管理机制。 医疗行业数据安全面临新要求
在医疗机构数字化转型过程中,医院、患者、管理者、公卫以及科研人员等各方对数据利用和共享的需求日益强烈,医疗数据由“静态”转为“动态”,数据共享流通更加频繁,数据集中处理、广泛共享、交叉使用成为刚性业务需求,对医疗机构的数据安全防护能力提出新的要求。 合规要求提升 从国家层面,以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心驱动,以《网络安全等级保护条例(征)》《关键信息基础设施安全保护条例》《商用密码管理条例》《网络数据安全管理条例(征)》等条例为抓手的数据安全保障体系,通过赋予数据发展和应用权利,明确数据安全保护义务,要求数据相关方落实安全责任和监管职责。分析来看,国家层面制度法规明确提出了卫生健康主管部门承担本行业、本领域数据安全监管职责。 从行业层面,《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。 从地方层面,上海、山东、四川和江苏等地根据自己的实际情况出台本地区的医疗行业安全法规。此外,各地方政府围绕大数据交易、数据安全监管保障等也出台了有关制度和规范,如《上海市数据条例》《贵州省大数据安全保障条例》《深圳经济特区数据条例》等。分析来看,地方层面更关注大数据资源目录、数据安全分类管理、数据安全风险评估、容灾备份、数据安全应急响应与演练等方面的具体规范和指引。 新技术带来新需求 随着医疗行业数字化转型的开展,“互联网+医疗”等新兴业态快速兴起,国家对全民健康医疗的重视进一步促进了新业态的发展,医疗数据逐步实现互联互通,数据的流动性也得到了空前的提高。有关方面关于数据安全的理念也在发生改变,即逐步认识到数据分类分级对于数据安全保障的重要性,不再局限于单点防护的安全理念,开始接受围绕数据全生命周期的安全防护理念,通过对生命周期各阶段进行管控,以达到数据可见,风险可知,威胁可控的安全目标。 医疗行业数据安全面临诸多痛点
医疗行业由于自身数据高度敏感性以及高价值性等特性,面临着诸多的数据安全风险,主要包括数据交换安全风险、数据管控安全风险、业务连续性保障风险以及数据库脆弱性风险。 01 数据安全威胁多样化 随着医疗数据价值的提升,数据面临着来自内外部的多重威胁,包括恶意代码、网络攻击、数据窃取、数据篡改、数据泄露等,这些威胁可能源自技术漏洞、人为误操作、管理不善或恶意攻击。 02 数据安全合规性挑战 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。 03 数据资产管理挑战 数据资产的识别、分类分级、保护与全生命周期管理成为难题,尤其是在医疗数据量级巨大、类型多样的情况下,如何确保数据的机密性、完整性和可用性是一大挑战。目前的行业分类分级标准更多是指引性的内容,在具体落地层面没有一个权威性的标准。 04 数据流动挑战 医疗数据在不同处理环节间的流动加剧了风险,包括数据所有权变更、数据传输等问题,增加了数据保护的复杂性。
构建全流程数据安全治理体系至关重要 医疗数据是国家重要的基础性战略资源,关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。道普信息风险管控专家建议,建立一套完善的健康医疗数据安全治理体系,以网络安全等级保护、关键信息基础设施安全、数据安全保障措施、数据流转全程留痕、数据安全监测和预警、数据泄露事故可溯源为中心的防护手段,对于医疗行业来说迫在眉睫。 1.加强数据风险评估有效预防数据泄露 明确医疗数据资产清单,确保高价值数据得到重点保护。强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。 2.多规管理融合加强数据安全合规 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗行业全面合规。 3.构建安全防护体系实现数据安全运营 实施数据生命周期管理,从数据生成、传输、存储到销毁的每一个环节加强控制。实施数据分类分级,对敏感数据采取加密、脱敏等保护措施,确保数据安全。同时,建立数据共享和传输的加密通道,加强终端和通信安全,防止数据泄露。
医疗信息化建设已成大势所趋,以数据为核心资源的数字化时代,正在成为引领和推动新一轮科技革命的核心力量,将会深刻影响卫生健康行业。道普信息风险管控专家强调,面对日益复杂的数据安全挑战,构建并完善全流程数据安全治理体系,不仅是对当前困境的有效突破,更是为医疗行业的长远发展铺设坚实的基础,助力健康中国建设。
