在剛剛過去的8月���,醫(yī)藥領(lǐng)域接連曝出多起計算機安全事件,不僅震驚了整個行業(yè)����,也再次將醫(yī)療行業(yè)的信息安全問題推向了輿論的風口浪尖。默沙東員工禮品詐騙案與日本賽諾菲數(shù)據(jù)泄露事件的相繼曝光���,不僅揭示了企業(yè)內(nèi)部管理的漏洞��,更為我們敲響了數(shù)據(jù)安全防護的警鐘����。
默沙東的員工禮品詐騙案��,是一起典型的內(nèi)部人員作案案例���。長達五年的欺詐行為�����,不僅讓公司蒙受了近5萬美元的經(jīng)濟損失�,更讓4100名無辜員工的個人信息被濫用�。這一事件的核心在于,默沙東與第三方公司合作的禮品獎勵機制存在明顯漏洞�����,被不法分子Onur Yoruk利用���,通過自編程序攻破Inspire數(shù)據(jù)庫���,輕松獲取員工信息并實施詐騙。更令人唏噓的是��,作案者竟是公司內(nèi)部的副主任研究員��,這一身份的反差無疑為事件增添了幾分諷刺意味�����。
與此同時�����,賽諾菲(日本)的數(shù)據(jù)泄露事件也引起了廣泛關(guān)注����。由于外包顧問的疏忽,將數(shù)據(jù)庫ID保存在個人電腦上并感染惡意軟件�����,導致70多萬醫(yī)療專業(yè)人員及上千名員工的信息面臨泄露風險��。這不僅是對個人隱私的嚴重侵犯�����,也可能對醫(yī)療行業(yè)的整體信任度造成不可估量的損害��。
二�����、醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀堪憂
顧名思義,醫(yī)療網(wǎng)絡(luò)數(shù)據(jù)�����,是指相關(guān)機構(gòu)通過網(wǎng)絡(luò)收集���、存儲����、傳輸�、處理和產(chǎn)生的各種電子數(shù)據(jù),包括但不限于各類臨床�、科研、管理等業(yè)務數(shù)據(jù)�、醫(yī)療設(shè)備產(chǎn)生的數(shù)據(jù)、個人信息以及數(shù)據(jù)衍生物�����。隨著云計算和大數(shù)據(jù)技術(shù)的應用���,醫(yī)藥行業(yè)的數(shù)據(jù)流動更加頻繁�����,數(shù)據(jù)安全風險也隨之增加����。
近年來�����,數(shù)據(jù)泄露事件頻發(fā)�,不僅侵犯了個人隱私,更對醫(yī)療行業(yè)的安全穩(wěn)定構(gòu)成了重大挑戰(zhàn)���。今年6月發(fā)布的Verizon《2024年數(shù)據(jù)泄露調(diào)查報告》顯示:醫(yī)療健康行業(yè)1378起安全事件中�,1220起已確認數(shù)據(jù)泄露����,數(shù)據(jù)泄露發(fā)生頻率高達88.5%,在各行業(yè)中高居榜首�����。
國家高度重視醫(yī)療數(shù)據(jù)安全���,2018年4月����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信息化建設(shè)標準與規(guī)范(試行)的通知》。對二級及以上醫(yī)院的數(shù)據(jù)中心安全�����、終端安全����、網(wǎng)絡(luò)安全及容災備份提出要求。
國家高度重視醫(yī)療數(shù)據(jù)安全����,《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》明確指出,要以保障數(shù)據(jù)的機密性����、完整性、可用性為目標�,采取數(shù)據(jù)加密、數(shù)據(jù)備份���、數(shù)據(jù)脫敏等技術(shù)手段�,確保數(shù)據(jù)在全生命周期內(nèi)都得到充分保護。
截至目前��,我國已基本形成以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》《密碼法》等法律為核心�����,行政法規(guī)�����、部門規(guī)章為依托�,國家標準和行業(yè)標準等為指南的金融數(shù)據(jù)安全合規(guī)保障體系����。
三、醫(yī)療數(shù)據(jù)安全仍面臨諸多風險
盡管有了較為完善的法律法規(guī)體系��,但醫(yī)療數(shù)據(jù)安全仍然面臨著諸多風險��,包括內(nèi)部員工違規(guī)操作�、外部黑客攻擊、數(shù)據(jù)泄露事件頻發(fā)等問題�����。這表明現(xiàn)有的防護措施仍有待進一步加強和完善。
數(shù)據(jù)安全合規(guī)挑戰(zhàn)
我國形成了以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》為代表的數(shù)據(jù)安全頂層監(jiān)管框架��。醫(yī)療行業(yè)也出臺了《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡(luò)安全管理辦法》等各項監(jiān)管政策��,監(jiān)管要求日趨精細化��,網(wǎng)絡(luò)和數(shù)據(jù)安全監(jiān)管要求越來越多����,滿足監(jiān)管的難度越來越大。
數(shù)據(jù)分類分級是構(gòu)建完善數(shù)據(jù)要素市場的必要前提�。基礎(chǔ)制度建設(shè)相對滯后�����,無法有效支撐數(shù)據(jù)分類分級工作�����;傳統(tǒng)數(shù)據(jù)分類分級工具在敏感數(shù)據(jù)的寬度����、精度識別率不高;面向海量數(shù)據(jù)的數(shù)據(jù)資產(chǎn)分類分級�,專業(yè)人員數(shù)量缺口巨大����。
數(shù)據(jù)流動監(jiān)測挑戰(zhàn)
業(yè)務對數(shù)據(jù)流動性要求日益增加���,使得數(shù)據(jù)流動路徑變長���,給監(jiān)測帶來困難。
數(shù)據(jù)泄露和信息安全威脅挑戰(zhàn)
在數(shù)字經(jīng)濟時代���,數(shù)據(jù)泄露和信息安全威脅是最主要的挑戰(zhàn)之一。黑客入侵和網(wǎng)絡(luò)攻擊頻繁發(fā)生�,企業(yè)面臨著盜竊、勒索和惡意軟件等多種風險����。
數(shù)據(jù)安全保障體系建設(shè)滯后
隨著大數(shù)據(jù)、云計算等新技術(shù)的應用�,醫(yī)療數(shù)據(jù)安全面臨新的威脅。傳統(tǒng)的安全防護措施可能無法應對復雜多變的攻擊手段�,如數(shù)據(jù)泄露、篡改�����、勒索等。同時��,數(shù)據(jù)安全風險感知��、監(jiān)控���、預警和應急響應能力不足���,使得在發(fā)生安全事件時,難以及時�����、有效地進行處置���。
四����、全流程治理體系保障醫(yī)療數(shù)據(jù)安全
面對日益嚴峻的數(shù)據(jù)安全環(huán)境����,道普信息風險管控專家倡導構(gòu)建全面的構(gòu)建動態(tài)安全防護體系,積極跟蹤國內(nèi)主要政策,切實落實數(shù)據(jù)安全要求�,建立起可信賴的醫(yī)療領(lǐng)域數(shù)據(jù)安全環(huán)境。
01應用數(shù)據(jù)資產(chǎn)發(fā)現(xiàn)工具:部署數(shù)據(jù)發(fā)現(xiàn)產(chǎn)品��,通過預配置數(shù)據(jù)分類分級模板��,自動化識別數(shù)據(jù)業(yè)務類型�����,對數(shù)據(jù)含義進行標識�,從而全面、準確地掌握醫(yī)療數(shù)據(jù)資產(chǎn)狀況�����。
02統(tǒng)一分類分級標準:結(jié)合國家和地方發(fā)布規(guī)范��,梳理并制定適用于本地實際情況的分類分級參考規(guī)范�����,確保數(shù)據(jù)管理的標準化�、一致性�����。
構(gòu)建全方位數(shù)據(jù)安全防護體系
01建立數(shù)據(jù)安全風險感知平臺:實現(xiàn)數(shù)據(jù)安全的“六個統(tǒng)一”管理,即統(tǒng)一賬戶���、統(tǒng)一監(jiān)控�、統(tǒng)一展示�����、統(tǒng)一分析��、統(tǒng)一告警�����、統(tǒng)一配置�,提升數(shù)據(jù)安全防護的主動性和整體性。
02加強技術(shù)防護措施:采用數(shù)據(jù)加密����、訪問控制、身份鑒別���、數(shù)據(jù)脫敏�、安全審計等技術(shù)手段,確保數(shù)據(jù)在采集�、傳輸、存儲�����、處理�����、交換�、銷毀等全生命周期各環(huán)節(jié)的安全。
03完善數(shù)據(jù)安全運營與風險監(jiān)控機制:實施安全合規(guī)管理����,定期進行安全審計,強化醫(yī)療數(shù)據(jù)防泄漏措施���,確保數(shù)據(jù)備份恢復系統(tǒng)的有效性,以應對潛在安全風險�。
規(guī)范數(shù)據(jù)共享與開放流程
01建立健全數(shù)據(jù)共享管理制度:明確數(shù)據(jù)內(nèi)外共享交換管理細則,嚴格賬號權(quán)限管理���,實施共享操作審計�,對合作方進行背景資質(zhì)審查,確保數(shù)據(jù)在共享過程中的安全可控�。
02嚴格執(zhí)行數(shù)據(jù)去標識化和標簽化:在數(shù)據(jù)對外開放時,嚴格執(zhí)行數(shù)據(jù)脫敏和標簽化處理��,遵循開放流程����,加強對合作方的數(shù)據(jù)安全管理,防范數(shù)據(jù)濫用和隱私泄露風險��。
基于網(wǎng)絡(luò)安全責任制��、等級保護�����、關(guān)基保護���、密碼應用����、數(shù)據(jù)安全���、個人信息保護等監(jiān)管要求�,一次測評,多規(guī)滿足�����,針對風險提出改進建議��,實現(xiàn)合規(guī)工作的規(guī)范化����,降低合規(guī)管理成本,滿足監(jiān)管部門各項數(shù)據(jù)安全要求���,減少監(jiān)管部門的通報���,實現(xiàn)醫(yī)療領(lǐng)域全面合規(guī)。
默沙東和賽諾菲的案例再次提醒我們�����,在信息化時代背景下����,數(shù)據(jù)安全絕非小事���。它不僅關(guān)系到每一個患者的切身利益�,更是維護國家安全和社會穩(wěn)定的重要環(huán)節(jié)。未來��,隨著科技的發(fā)展和法律法規(guī)的不斷完善��,相信醫(yī)療行業(yè)能夠在確保數(shù)據(jù)安全的前提下����,更好地服務于公眾健康事業(yè)。數(shù)據(jù)安全的警鐘將持續(xù)長鳴�,直至所有潛在威脅都被有效消除。
