文│北京中测安华科技有限公司 杜少雄 姚轶崭 于云海 严默默 程军军

近年来,随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等政策文件的出台,以及大数据、人工智能等新型技术的发展,健康医疗数据应用、“互联网 +医疗健康”和智慧医疗迎来蓬勃发展,新的业务形态不断出现。与此同时,各类新型技术、应用的出现使得医疗行业数据安全治理面临越来越多的挑战。医疗数据天然的敏感性决定了有关方面必须采取有效措施来应对数据安全合规风险和各类内外部风险。本文对医疗行业数据安全的安全现状、安全痛点、市场供需两端做了深入分析,基于中测安华公司的行业理解和安全经验提出医疗行业数据安全的建议,为行业提供参考。

一、医疗行业数据安全面临新要求

(一)合规要求

从国家层面,《网络安全法》《数据安全法》《个人信息保护法》作为三部上位法,对医疗行业安全保障工作提出了基本规范和要求。由于医疗行业拥有大量个人敏感信息、涉密信息以及应用业务不断云化,一些办法和规定也补充了关于数据出境、等保、关保、云评估等具体要求。分析来看,国家层面制度法规明确提出了卫生健康主管部门承担本行业、本领域数据安全监管职责。要求医疗行业应根据相关要求建立数据分类分级管理制度,建立重要数据目录,并进行重点防护,建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警、应急处置机制以及数据安全审查制度和出口管制制度。针对医疗行业个人信息以及重要数据,在处理过程中,应遵守出口管理制度以及安全管理要求,保证数据安全。

从行业层面,《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。

从地方层面,地方医疗行业主管机构如福州市较早就出台了《福州市健康医疗大数据资源管理暂行办法》和《福州市健康医疗大数据资源管理实施细则》,以此来促进本地区医疗数据安全的发展。随后,上海、山东、四川和江苏也纷纷根据自己的实际情况出台本地区的医疗行业安全法规。此外,各地方政府围绕大数据交易、数据安全监管保障等也出台了有关制度和规范,如《上海市数据条例》《贵州省大数据安全保障条例》《深圳经济特区数据条例》等。分析来看,地方层面更关注大数据资源目录、数据安全分类管理、数据安全风险评估、容灾备份、数据安全应急响应与演练等方面的具体规范和指引。

(二)业务发展带来安全新要求

1. 新技术的发展带来安全体系改变

近年来,云计算在医疗行业得到了长足的发展。根据艾瑞咨询 2021 年研究报告显示,2020 年我国医疗软件即服务(SaaS)整体市场规模达 37亿人民币,报告预测在未来几年,SaaS 行业持续保持 30% 以上的增长速度。医疗行业数据上云、计算能力上云,这将大大推动医疗行业的整体健康有序发展。随着医疗行业云化的不断推进,越来越多的个人数据以及敏感数据将存储在云上、使用在云上,传统的安全边界随之变得越来越模糊,这将推动医疗数据安全保障体系从传统的网络安全防护到全面数据安全防护体系转变。

2. 新业态的兴起带来安全理念改变

随着医疗行业数字化转型的开展,“互联网+医疗”等新兴业态快速兴起,尤其是新冠疫情暴发以来,国家对全面健康医疗的重视进一步促进了新业态的发展,医疗数据逐步实现互联互通,数据的流动性也得到了空前的提高。有关方面关于数据安全的理念也在发生改变,即逐步认识到数据分类分级对于数据安全保障的重要性,不再局限于单点防护的安全理念,开始接受围绕数据全生命周期的安全防护理念,通过对生命周期各阶段进行管控,以达到数据可见,风险可知,威胁可控的安全目标。

二、医疗行业数据安全态势

医疗行业关系社会民生,涉及大量个人隐私信息,加之新冠疫情影响,导致医疗卫生行业成为勒索病毒、数据泄密的重灾区。美国医疗信息与管理系统学会(HIMSS) 发布的《2021 HIMSS 医疗行业网络安全调查》显示,2021 年医疗行业遭受的网络攻击中,近一半为高危及超高危事件。中国信息通信研究院发布的《2020 数字医疗:疫情防控期间网络安全风险研究报告》显示,受调查的医疗单位中近三成存在数据资产泄露风险,有 7080 家单位使用存在公开漏洞的低版本组件服务,占全部观测对象的 44.39%。

(一)数据泄露事件危害性大

数据泄露一直以来都是困扰医疗行业的重大问题之一,不同于其他大部分行业“只有海量数据才具有价值”,医疗行业的单条数据价值就非常大。在利益的驱动下,保险、银行、药厂、保健等机构不断瞄准医疗数据以获得最大收益,这间接导致不法分子非法获取大量医疗数据,并在黑市进行交易。IBM 安全事业部在 2019 年发布的一项年度调研结果中表明,医疗保健组织已经连续第 9 年蝉联数据泄露损失排行榜冠军,平均损失接近 650 万美元,高出其他行业总体平均值的 60%。

同时,医疗行业数据窃取相对容易。一方面,多数开放或半开放的网络环境是医疗行业的典型特征,开放的网络环境使入侵者可以轻易地进入医院网络进行物理攻击。此外,多数医疗行业信息安全的技术手段比较薄弱,难以防护突发安全情况是行业通病。目前,医疗数据窃取的风险主要存在于三个方面。第一,社会工程学攻击,黄牛以抢号、刷号为由骗取患者个人信息。第二,安全漏洞威胁,黑客利用网站、设备、系统等漏洞获取医疗数据。第三,内部信息泄露,医疗卫生行业人员向外部人员提供病患、用药等信息。

(二)勒索病毒成为主流攻击方式

自 2016 年数据库勒索病毒开始在全球蔓延,到 2017 年 WannaCry 勒索事件,勒索病毒逐渐成为全球范围内主流的网络安全威胁。由于安全防护能力普遍不足,医疗行业近几年成为受勒索病毒威胁最为严重的行业之一。例如,2021 年 11 月,德国医疗软件巨头 Medatixx 遭到勒索攻击,影响了医疗机构的内部 IT 系统,导致其运营系统瘫痪。2021 年 5 月,Sophos 公司发布了《2021 年医疗保健勒索软件状况》报告,根据对全球 30 个国家/地区中型组织中的 328 名医疗机构的信息化部门负责人的调查结果显示,2020 年约有 34% 的医疗机构受到勒索软件的攻击。勒索病毒不仅影响医疗机构的业务正常开展,极端情况下可能导致病患死亡。据媒体公开报道,2019 年 7 月,美国亚拉巴马州斯普林希尔医疗中心遭到勒索病毒攻击,使得相关医疗设备无法正常监测婴儿状态,延缓了病患就医和诊治时间,导致一名初生婴儿死亡。2020 年 9 月,德国杜塞尔多夫医院遭到勒索病毒攻击导致医院无法正常开展业务,一辆救护车被迫改道 20 英里,延误了 1 名患者的治疗导致其死亡。综上,如何有效地应对勒索病毒攻击已经成为医疗行业迫切要解决的问题。

三、医疗行业数据安全痛点

医疗行业由于自身数据高度敏感性以及高价值性等特性,面临着诸多的数据安全风险,主要包括数据交换安全风险、数据管控安全风险、业务连续性保障风险以及数据库脆弱性风险。

(一)数据交换安全风险

随着互联互通数据、远程医疗、临床研究、器械维护、商保等医疗应用的不断发展,数据交换场景和频次增多,涉及数据所有者、数据处理者、数据使用者等多重角色和大量人员,导致安全责任方无法有效的监测资产流转过程中的安全风险,无法有效地识别参与人员的异常行为。

(二)数据管控安全风险

当前阶段不少医疗机构的 IT 软件、系统和医疗器械主要由境外第三方服务商提供,这些软件、系统和器械在医疗机构的日常业务中采集并处理了大量的医疗数据,如果相关数据未经报备、未经相关机构的审批及审查就传输至境外,将会给我国公共安全、生物安全、国家安全带来巨大风险。

(三)业务连续性保障风险

医疗行业对于关键业务的连续性要求极高,因为这关系到病患的生命及财产安全。基于此,医疗行业中有关业务系统需要设置更为严苛的业务恢复时延(RTO)和数据丢失率指标(RPO),一旦发生故障需要尽快恢复数据和业务系统。但现状是,医疗行业中的大部分业务系统的数据架构难以满足上述要求以及逐渐趋紧的监管趋势。

(四)数据库脆弱性风险

医疗行业拥有数量众多的业务系统,以普通三级医院为例,其可能拥有包括医院信息系统(HIS)、实验室信息管理系统(LIS)、医学影像存档与通信系统(PACS)等在内的超过一百套的医疗业务系统。为了保证业务系统的正常运行,底层的数据库软件需要开放繁杂的接口供相关业务系统调用。考虑到业务连续性的因素,大部分数据库无法及时更新或不能更新补丁,或者无法对访问账户进行细颗粒度的控制,这直接造成数据库的安全风险逐年增大。

四、医疗行业数据安全供需分析

目前医疗行业数据安全市场中,供需两端在需求和能力适配方面存在一些短板和问题。

(一)需求侧安全基础较为薄弱

1. 安全人员数量及能力不足

医疗行业中需求方的信息化业务、系统、软硬件数量非常庞大,远超其他行业,但技术人员较少,尤其专职的安全人员以及数据安全管理运营人员更为稀缺,且相关人员在信息安全方面的专业技能严重不足。

2. 安全管理手段及力度不足

医疗行业中,大多数业务系统及安全运维措施都由第三方供应商的有关人员进行维护。这导致安全风险不断外延,如第三方人员经常通过认证不足、不安全的远程方式接入内网开展运维,而需求方对以上接入过程操作缺乏精细化的管控手段。此外,一旦发生信息泄露事件,需求方由于对业务系统和运维方的管控力度不足,导致难以开展有效溯源,难以明确多方责任,甚至难以平息事件的影响。

3. 数据安全治理意识及手段不足

近几年来,医疗行业需求方的安全建设一直处于“重建设、轻管控”的初级阶段,网络安全体系化能力相比其他行业较为薄弱,数据安全层面的能力也处于传统数据安全产品的堆叠阶段,如数据防泄漏、数据脱敏等。随着智慧医疗的广泛推进,医疗行业面临的数据安全风险和问题将越发突出,现有的安全能力和需求方的安全投入难以应对。

(二)供给侧对医疗行业的安全能力供给不足

1. 头部安全厂商以网络安全的思路主导数据安全方案

目前深耕医疗行业的大多数头部安全厂商均为传统的网络安全厂商,在数据安全专项领域研究和积累相对不够深入,主要仍以木桶式防护、纵深防御理念堆叠设备,忽略了数据安全核心要素是“以数据为中心”治理思路,缺乏对数据本身的保护。另外,头部安全厂商几乎都有围绕医疗行业的数据安全方案,但仍然存在与医疗行业具体场景适配度不高的情况。

2. 专业化数据安全厂商更多关注细分领域的数据安全产品

部分有医疗行业背景的专业化数据安全厂商,其能力往往聚焦于数据安全某些细分领域,例如对“防泄漏、审计、脱敏、加密”等有较深的研究,具有核心竞争力的产品以及围绕产品所形成的解决方案,但从本质上讲,其安全能力主要是围绕着数据全生命周期的某个阶段做分块治理管控,缺乏在整体数据安全全局视角的统筹管控,存在一定的安全盲区。

3. 医疗行业 IT 供应商缺乏安全数据治理视角

部分医疗行业 IT 系统供应商也开始涉足安全领域,凭借其“懂业务、懂数据、懂应用、懂管控”的优势,为需求方提供“IT+安全”一揽子方案。但此类供应商对数据安全的理解有限,无法站在监管、管控视角帮助需求方从管理者高度进行安全治理,另外,业务系统供应商和安全能力服务商一定程度上讲属于“选手”与“裁判”的范畴,难以做到身份的统一。

五、医疗行业数据安全发展建议

(一)提高政治站位,深化思想认识

数据是国家基础性战略资源和关键生产要素,数据安全问题的应对和国家数据安全制度的布局不仅关涉到大数据时代个人安全、公共安全、国家安全,也关系到我国在全球新一轮的信息技术变革中如何实现从跟跑、并跑到领跑的转变。

医疗行业关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必造成对个人、组织、社会公共利益甚至国家利益的严重威胁和损害。在云计算、大数据、物联网、区块链、人工智能等新技术的推动下,医疗卫生行业信息化建设飞速发展,面对 “互联网 + 医疗健康”新服务模式的构建,智慧医疗的发展进程加速,全行业、全产业链需要进一步提高政治站位、统一思想,充分认识到做好医疗行业数据安全保障工作的重要性和紧迫度,更加考虑合法合规、共享方式、数据使用权限、安全风险和争议责任等问题,切实加强数据安全保护,更好地贯彻落实总体国家安全观,支撑构建医疗行业网络数据安全新格局。

(二)加强政策引导,完善监管配套

医疗行业监管部门应着力加强政策引导,在国家相关法律和机制框架下,同步推进适应国家安全整体要求的体系化标准工作,加快制定和出台医疗行业数据安全管理政策,更好地承接《数据安全法》在行业的实施落地。同时,扎实推进医疗行业数据安全管理工作,以医疗数据安全监管为抓手,整体提升行业的数据安全水平。

医疗行业主管部门应按照国家有关要求和法律规定,组织开展行业数据分级分类管理、重要数据目录制定等相关工作,构建行业数据安全领域的标准体系;研究建立行业数据安全态势监测和通报机制,完善风险信息分析、研判和处置能力建设;以数据为核心,以风险为抓手,持续开展行业数据安全风险评估、行业数据安全的监督检查工作,督促行业各单位落实数据安全保护义务。

(三)理清治理思路,突出能力建设

医疗行业相关参与方应组织开展医疗行业数据安全指南、技术白皮书的编制工作。通过联合专业权威机构专家,骨干单位、产业链企业等,加强行业数据安全顶层设计,明确行业数据安全治理框架,数据安全基础能力建设最佳实践,给行业各单位进一步指明数据安全的治理思路和建设方向,全面切实推进医疗行业数据安全防护工作整体、规范、科学、有序地开展。同时,应持续壮大行业数据安全人才队伍,加快行业数据安全人才培养进程,从而缓解行业数据安全人才短缺困境。

(本文刊登于《中国信息安全》杂志2022年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。