近日,威胁猎人权威发布的《2024年上半年数据泄露风险态势报告》引起了广泛的关注。这份报告从多个维度深度剖析了国内数据泄露的最新态势,尤其聚焦于医疗行业,揭示了数据安全的紧迫性和复杂性。
根据报告数据,2024年上半年,数据泄露事件遍布85个行业,涉及企业数量高达1524家,其中医疗行业成为了重灾区之一。医疗数据因其敏感性和重要性,一旦泄露,不仅可能侵犯患者隐私,还可能引发一系列社会问题,其风险态势已到了不容小觑的地步。
一、国家安全层面的医疗数据保护需求凸显
鉴于医疗数据泄露事件的频发,国家从多层次明确提出了医疗数据安全要求,旨在通过政策引导全面提升行业的数据保护能力。2022年8月,国家卫生健康委等三部门发布了《医疗卫生机构网络安全管理办法》,明确指出,要以保障数据的机密性、完整性、可用性为目标,采取数据加密、数据备份、数据脱敏等技术手段,确保数据在全生命周期内都得到充分保护。截至目前,我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、部门规章为依托,国家标准和行业标准等为指南的金融数据安全合规保障体系。 从行业层面,《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。
二、医疗数据安全仍面临诸多挑战
医疗行业由于自身数据高度敏感性以及高价值性等特性,除了数据泄漏风险,还面临着其他数据安全风险,主要包括数据交换安全风险、数据管控安全风险、业务连续性保障风险以及数据库脆弱性风险。 1. 数据资产发现与分类分级难题 参与流通的数据形态日益丰富,数据资产梳理和分类分级难度加大,极易产生安全死角。同时,数据的类别级别需要结合业务场景进行动态调整,在不同场景下的等级认定以及相应的管控或处理技术可能不同,数据分类分级的持续性难以保持。 2. 数据安全保障体系建设滞后 随着大数据、云计算等新技术的应用,数据安全面临新的安全威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。 3. 数据共享与开放的风险 现有数据共享与开放的管理制度可能存在不足,如权限管理不严、数据去标识化处理不彻底、对外合作方监管不力等,导致数据在流转过程中易受攻击。 4. 数据安全合规挑战 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。
三、构建动态安全防护体系强化医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。 1、强化数据资产管理 01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握数据资产状况。 02统一分类分级标准:结合国家和地方发布的《公共数据分类分级指南》、《人口综合库数据规范》等规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。 2、构建全方位数据安全防护体系 01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。 02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。 03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。 3.规范数据共享与开放流程 01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。 02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。 4、注重多规管理融合 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现全面合规。
《2024年上半年数据泄露风险态势报告》不仅敲响了警钟,更照亮了前行的道路。它告诉我们,面对医疗数据泄露的严峻形势,唯有通过加强数据安全防护、持续的技术创新、严格的法规执行,以及全社会的共同努力,才能有效遏制数据泄露的态势,确保医疗行业的健康发展。让我们携手并进,共同守护医疗数据的安全,为我国乃至全球的数字经济繁荣贡献力量。