在数字经济浪潮的推动下,数据正以前所未有的速度成为新时代的“石油”,其战略价值日益凸显。在关乎每个人生命健康的领域——医疗行业,数据安全的重要性同样不容忽视。然而,近年来,数据泄露事件频发,不仅侵犯了个人隐私,更对医疗行业的安全稳定构成了重大挑战。2024年上半年发生的多起严重数据泄露事件,已经窃取并暴露了至少十亿条记录,且这一数字仍在不断攀升,这一现象无疑给医疗行业敲响了警钟。
Change Healthcare被盗走“大部分美国人”的医疗数据
2024年,Change遭勒索软件攻击,因安全措施不足致敏感数据大量失窃,影响广泛,包括医院运营停摆。联合健康支付赎金获取数据副本,CEO Andrew Witty透露约三分之一美国人信息或已泄露,具体影响仍在评估中。
Synnovis勒索软件攻击引发伦敦各家医院广泛停运
2024年6月,英国病理实验室Synnovis遭俄勒索软件攻击,致伦敦医疗服务数周中断,推迟数千手术。3亿患者数据被盗,部分已在线泄露,Synnovis拒付5000万美元赎金。受影响的NHS信托基金长期未达标,政府紧急应对潜在大规模数据曝光。
一、国家安全层面的医疗数据保护需求凸显
鉴于医疗数据泄露事件的频发,国家从多层次明确提出了医疗数据安全要求,旨在通过政策引导全面提升行业的数据保护能力。2022年8月,国家卫生健康委等三部门发布了《医疗卫生机构网络安全管理办法》,明确指出,要以保障数据的机密性、完整性、可用性为目标,采取数据加密、数据备份、数据脱敏等技术手段,确保数据在全生命周期内都得到充分保护。截至目前,我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、部门规章为依托,国家标准和行业标准等为指南的金融数据安全合规保障体系。 从行业层面,《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。
二、医疗数据安全仍面临诸多风险
在大数据时代,医疗数据的价值愈发凸显,但同时也面临着前所未有的安全风险。数据泄露可能导致患者隐私泄露,数据滥用可能引发医疗纠纷,数据篡改则可能直接影响医生的诊断结果。这些风险的存在使得医疗行业在数据安全风险评估方面变得尤为紧迫和必要。 1数据安全合规挑战 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。 2 数据分类分级挑战 数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。 3数据流动监测挑战 业务对数据流动性要求日益增加,使得数据流动路径变长,给监测带来困难。 4数据泄露和信息安全威胁挑战 在数字经济时代,数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生,企业面临着盗窃、勒索和恶意软件等多种风险。
三、风险评估成为保障医疗数据安全的重要途径
数据安全风险评估是医疗数据保护的基石,标志着安全建设的起始点。通过识别、分析信息系统中的威胁与脆弱性,量化潜在的数据泄露风险,为医疗机构提供了定制化的防护策略蓝图。 道普信息数据安全风险评估专家表示,借助专业的第三方评估服务,基于数据分类分级的风险评估模型,通过对策略与规程、数据与系统资产、组织与人员管理、服务规划与管理、数据供应链管理、合规性管理以及数据全生命周期安全管理7大层面,从组织建设、制度流程、技术工具、人员能力4个维度,对数据的采集、传输、存储、处理、交换、销毁全生命周期进行风险识别和评估,发现数据存在的安全风险。并针对发现的数据安全风险给出风险处置计划。 评估准备 数据安全风险评估准备的内容,主要包括:评估对象、评估范围、评估边界、评估团队组建、评估依据、评估准则、制定评估方案并获得管理层支持。 风险识别 主要包括资产价值识别、数据处理活动要素识别、合法合规性识别、威胁识别、脆弱性识别以及已有安全措施识别。 风险分析 通过采取适当的方法与工具,可得出企业所面临的合法合规性风险、数据安全事件发生的可能性以及数据安全事件发生对组织的影响程度,从而得到数据安全风险值。 风险评价 企业在执行完数据安全风险分析后,通过风险值计算方法,会得到风险值的分布状况,对风险等级进行划分,一般会划分为:高、中、低三个等级。依据风险评价中风险值的等级,明确风险评估结果内容。 当前,数据泄露事件频发,数据安全领域面临的挑战日益严峻。为了有效应对风险,保障医疗行业的安全稳定,我们必须高度重视医疗数据安全风险评估工作。通过建立完善的数据安全风险评估制度,不断提升医疗机构的数据安全防护能力,为患者的生命健康保驾护航。只有这样,我们才能在数字经济的大潮中,推动医疗行业持续健康发展,为构建健康中国贡献力量。