4月25日,“医疗行业数据安全治理实践与应用”专场卫星会于杭州 · 2021 CHINC大会同期圆满召开!此次活动由安华金和承办,国家卫生健康委医院管理研究所 副所长 王凯,安华金和营销体系副总裁 施能坤到场致辞。首都医科大学宣武医院信息中心主任 梁志刚、山东第一医科大学附属省立医院网信办副主任 包国峰、青岛市市立医院信息管理部主任 丁士富、宁波市第一医院信息中心主任 吴斌等医疗行业专家出席论坛,并围绕活动主题进行经验交流与内容分享。
即便往小处说,对普通民众而言,医疗信息泄露也是不应也不能容忍的!当前,一些互联网交易平台、休闲娱乐平台的信息泄露,往往会被人们所忽略;然而,医疗信息的敏感性与重要程度要高得多,轻则会被各类商家营销纠缠不放,重则影响个人正常工作与生活,必须予以重视和保护。
积极应对 医疗行业数据安全治理痛点
医疗行业数据安全的重要性,无论是上级主管部门,还是行业内的各个机关、组织、单位,早已形成共识。
国家卫生健康委医院管理研究所副所长王凯表示,医疗行业关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁,甚至影响社会的和谐稳定。同时,在大数据、物联网、AR等新技术的推动下,医院信息化建设飞速发展,智慧医疗进程加速,而医疗数据安全保障是核心支撑。因此,必须进一步开展针对医疗行业数据安全治理方面的应用与实践工作。
实际上,医疗行业的数据安全治理工作一直在积极开展,但由于医疗行业的特殊性,在治理过程中还存在诸多难点。
首都医科大学宣武医院信息中心主任梁志刚指出,医院各类信息系统多而庞杂,且对稳定性要求很高;患者病历、处方、用药情况等敏感信息多且数据价值高;互联网医疗、智慧医疗等领域的应用发展也对医院间信息的协同、共享提出了更高的要求……以上种种,都令医院在数据安全防护工作中面临着棘手难题和挑战。比如:医院安全设备堆叠、各自为政,无法有效发现解决问题;静态防御失效,无法对风险进行持续检测;应急响应能力差,缺乏主动发现和预警能力等等;此外,更大的挑战则是医院的信息化人员严重不足,导致孤军奋战、压力巨大,加之岗位权责不清、落实难度大,以及安全意识淡薄、管理不完善等一系列问题。
其中,关于“人”的问题,五位演讲嘉宾及与会业内人士均体会颇深。宁波市第一医院信息中心主任吴斌在发言中表示,整个医疗行业都缺乏训练有素的安全人员,这是我们面临的最大困难之一。在医疗信息化建设过程中,其他岗位的人才配置相对较强,配有专职的开发、运维及项目实施等人员,但往往在安全管理方面出现较大缺口。
山东第一医科大学附属省立医院网信办副主任包国锋表示,在智慧医院建设中,所面临的数据安全风险主要有:人的安全风险、开放网络环境风险、勒索病毒威胁、互联网通道和云医疗风险、数据流动的风险等。其中,人的安全风险,既包括医院内部人员,如系统管理员、DBA、软件使用人员等,也有来自外部的包括与医院合作第三方的软件开发人员、运维人员等,此外最大的威胁则来自黑客群体。
外力协助 同时做好医疗机构内部体制建设
多年以来,针对医疗行业面临的各类数据安全威胁隐患及痛点问题,国内一线数据安全厂商致力通过构建以“数据使用安全”为目标的整体解决方案,现已形成大量成功实践案例。
安华金和产研解决方案总监孟昊龙在主题分享中提出,当前医疗机构数据安全需求主要可分为六大类,即“总体需求、运维需求、医疗业务需求、资产使用需求、互联网医院需求和其他需求”。总体需求主要是合规性需求,是针对风险隐患最大的“人”的问题,属于运维需求的范畴,应对措施包括:数据库操作权控设置,维护人员流动、权控、准入管理,严格审批与操作行为的一致性,同时针对操作失误及时拦截等。
对于很多医院非常头疼的“非法统方”问题,可通过对前端设备进行身份认证、应用控制、防病毒及设备控制,同时对关键的数据库端会进行访问源控制、访问目标控制,并对源访问端进行自动化学习,使正常访问行为通过,异常行为则被阻断。此外,对于医疗数据分类分级进行差异化数据防护、APP安全加固、数据去标识化、开发运维端数据保护等其他典型数据安全需求。
孟昊龙表示,医疗数据安全既不能照搬传统网络安全的防护模式,也不是对数据安全产品的简单堆砌,而要用体系化的思维、结合行业特性,构建以数据使用安全为目标的整体解决方案。须知,数据安全问题远不止信息泄露这般简单,医疗行业所产生的数据是国家安全的重要组成部分,应当高度重视并积极行动起来,做好医疗数据的安全治理工作。
通过专业数据安全厂商的外力协助,可以帮助各大医疗机构理清数据安全治理的工作思路、掌握方法、培养习惯,并针对各项痛点、难点提供针对性的解决方案,实时提供应急响应与风险应对支持,减轻医疗机构数据安全防控压力。同时,医疗机构信息安全管理者应清楚,要从根本上解决医疗数据安全问题,还取决于医疗机构内部的体制建设是否完善及可持续落地执行等。