在刚刚过去的8月,医药领域接连曝出多起计算机安全事件,不仅震惊了整个行业,也再次将医疗行业的信息安全问题推向了舆论的风口浪尖。默沙东员工礼品诈骗案与日本赛诺菲数据泄露事件的相继曝光,不仅揭示了企业内部管理的漏洞,更为我们敲响了数据安全防护的警钟。
一、事件回顾:信任与背叛的双重打击
默沙东的员工礼品诈骗案,是一起典型的内部人员作案案例。长达五年的欺诈行为,不仅让公司蒙受了近5万美元的经济损失,更让4100名无辜员工的个人信息被滥用。这一事件的核心在于,默沙东与第三方公司合作的礼品奖励机制存在明显漏洞,被不法分子Onur Yoruk利用,通过自编程序攻破Inspire数据库,轻松获取员工信息并实施诈骗。更令人唏嘘的是,作案者竟是公司内部的副主任研究员,这一身份的反差无疑为事件增添了几分讽刺意味。 与此同时,赛诺菲(日本)的数据泄露事件也引起了广泛关注。由于外包顾问的疏忽,将数据库ID保存在个人电脑上并感染恶意软件,导致70多万医疗专业人员及上千名员工的信息面临泄露风险。这不仅是对个人隐私的严重侵犯,也可能对医疗行业的整体信任度造成不可估量的损害。
二、医疗行业数据安全现状堪忧
顾名思义,医疗网络数据,是指相关机构通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。随着云计算和大数据技术的应用,医药行业的数据流动更加频繁,数据安全风险也随之增加。 近年来,数据泄露事件频发,不仅侵犯了个人隐私,更对医疗行业的安全稳定构成了重大挑战。今年6月发布的Verizon《2024年数据泄露调查报告》显示:医疗健康行业1378起安全事件中,1220起已确认数据泄露,数据泄露发生频率高达88.5%,在各行业中高居榜首。 国家高度重视医疗数据安全,2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。 国家高度重视医疗数据安全,《医疗卫生机构网络安全管理办法》明确指出,要以保障数据的机密性、完整性、可用性为目标,采取数据加密、数据备份、数据脱敏等技术手段,确保数据在全生命周期内都得到充分保护。 截至目前,我国已基本形成以《网络安全法》《数据安全法》《个人信息保护法》《密码法》等法律为核心,行政法规、部门规章为依托,国家标准和行业标准等为指南的金融数据安全合规保障体系。
三、医疗数据安全仍面临诸多风险
尽管有了较为完善的法律法规体系,但医疗数据安全仍然面临着诸多风险,包括内部员工违规操作、外部黑客攻击、数据泄露事件频发等问题。这表明现有的防护措施仍有待进一步加强和完善。 数据安全合规挑战 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。 数据分类分级挑战 数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。 数据流动监测挑战 业务对数据流动性要求日益增加,使得数据流动路径变长,给监测带来困难。 数据泄露和信息安全威胁挑战 在数字经济时代,数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生,企业面临着盗窃、勒索和恶意软件等多种风险。 数据安全保障体系建设滞后 随着大数据、云计算等新技术的应用,医疗数据安全面临新的威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。 四、全流程治理体系保障医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。 强化数据资产管理 01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握医疗数据资产状况。 02统一分类分级标准:结合国家和地方发布规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。 构建全方位数据安全防护体系 01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。 02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。 03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化医疗数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。 规范数据共享与开放流程 01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。 02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。 注重多规管理融合 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗领域全面合规。 默沙东和赛诺菲的案例再次提醒我们,在信息化时代背景下,数据安全绝非小事。它不仅关系到每一个患者的切身利益,更是维护国家安全和社会稳定的重要环节。未来,随着科技的发展和法律法规的不断完善,相信医疗行业能够在确保数据安全的前提下,更好地服务于公众健康事业。数据安全的警钟将持续长鸣,直至所有潜在威胁都被有效消除。
