國家工業信息安全發展研究中心

國家工業控制系統與產品安全質量監督檢驗中心

西南實驗室

四川哨兵信息科技有限公司

國家工業信息安全發展研究中心

國家工業控制系統與產品安全質量監督檢驗中心

西南實驗室

四川哨兵信息科技有限公司

淺談數字經濟時代的醫療數據安全

網站首頁    新聞資訊    科技情報    淺談數字經濟時代的醫療數據安全

近年來,隨著數字經濟發展的不斷深入,經濟社會對數據收集、應用和管理的能力在不斷加強,同時,公民對于數據權益的認知也在不斷覺醒。數據安全問題的應對和國家數據安全制度的布局不僅關涉到大數據時代個人安全、公共安全、國家安全,也關系到我國在全球新一輪的信息技術變革中如何實現從跟跑、并跑到領跑的轉變。在此大背景下,作為數字經濟產業重要分支的數字健康產業,隨著各種新業務、新應用的不斷出現,也使得醫療數據在全生命周期各階段面臨著越來越多的安全挑戰。

 

 

 

 

全世界共同面臨的醫療數據安全威脅

 

IBM下屬的長期關注網絡信息安全的X-Force研究機構將2015年稱之為“醫療信息安全爆發之年”:當年2月,美國第二大醫療保險公司Anthem宣布黑客盜取了公司超過8000萬客戶的個人信息,包括了用戶家庭住址、生日、社保號和個人收入信息。此次泄露成為美國有史以來最嚴重的醫療信息泄露事件;同年5月,美國聯邦醫療服務商Blue Cross Blue Shield(BCBS)旗下的CareFirst保險公司亦宣布因為黑客攻擊1100萬用戶信息泄露;9月,媒體再報一家名為Excellus保險商被黑客入侵,近千萬用戶信息遭到泄露……

 

據美國衛生與公民服務部(HHS)事后統計,僅2015年一年,因各種原因導致的醫療信息泄露事件累計影響達到了驚人的1.1億人,相當于三分之一的美國人的醫療信息出現了安全問題。而更讓人觸目驚心的是,自2016年始,醫療信息泄露問題非但沒有遏制之勢,甚至愈演愈烈。

 

位于美國巴爾的摩的醫療人工智能分析企業Protenus根據HHS公告數據和媒體公開報道發布的《2019年醫療行業數據安全報告》顯示,2019年全球醫療行業黑客攻擊事件較2018年猛增了48%,而自2016年以來,醫療行業平均每天至少會發生一起患者數據泄漏事件,全美一年就有12.55%民眾的醫療記錄遭遇泄露、意外公開或者盜竊。無獨有偶,據IBM Security的《2020年數據泄露成本報告》,僅2020年一年,全球醫療數據泄露平均成本高達713萬美元,較2019年增長了10%以上。

 

那么,日漸嚴峻的醫療數據泄露問題究竟是如何產生的呢?

 

醫療數據安全面臨的三大挑戰

 

根據相關機構對醫療數據泄露案例的研究和針對行業運行規則的總結,目前看來,醫療數據安全目前主要面臨以下挑戰:

 

1. 數據管控挑戰

 

近年來,鑒于醫療數據管理的復雜性和重要性,世界各國陸續出臺了多部法規條例,對醫療數據保護和安全管理,提出了原則性、方向性的針對性舉措,如對醫療數據實行全生命周期安全管理、嚴格執行數據處理和使用審批流程、嚴格分離信息系統運維權限和經辦業務角色等。但是該領域至今尚未建立統一管理機制,制度的完善也相對滯后,更重要的是,隨著新型數字技術在醫療領域各環節的深度滲透,以及“數字健康”企業的不斷推陳出新,原本相對封閉的醫療數據使用環境被逐漸打破,數據信息管控難度也在不斷大幅提升。

 

2. 外部攻擊挑戰

 

醫療過程中產生的診療、健康數據在臨床輔助診療和健康管理方面具有極高的價值,是企業和國際競爭中引人注目的新的技術焦點;同時,診療期間涉及的支付數據、個人隱私數據等信息,也對很多黑灰產業者具有極高的吸引力。此外,勒索攻擊者普遍認為,醫療數據作為涉及人身安全和個人最隱私的信息,倘若因勒索病毒感染導致數據丟失、業務系統中斷,就會將患者的生命置于風險之中,且會面臨上級部門的問責,因此從業者往往會不惜代價馬上支付贖金解鎖數據,而不是苦等數據從備份中恢復出來。這些都是導致醫療數據極易引發外界攻擊的主要原因。

 

3. 數據泄露風險

 

一般而言,醫療數據泄露主要源自以下幾個原因:一是醫療業務系統存在的業務漏洞、敏感端口開放等安全問題,會給未授權訪問和黑客入侵滲透帶來極大的便利,從而增加醫療數據的安全風險;二是內部工作人員的權限管控制度如果不完善,很多非權限人員可以隨意接觸病患信息,造成很大泄露風險,加之內部人員監控手段不足,也會引發取證難問題;三是第三方醫療服務平臺往往會在同一個平臺或者同一個代碼框架下,匯集眾多醫療機構的資源,以便于為多家醫院提供線上掛號預約、體檢預約以及醫生咨詢等服務,一旦有平臺出現嚴重的信息泄露等漏洞就會影響平臺上所有醫院,從而為醫療機構帶來新的攻擊入口;四是醫療機構在設置線上醫療服務系統時安全意識不足,將網絡設備的敏感端口和服務直接暴露在互聯網上,會降低黑客入侵以及未授權訪問的技術門檻,從而增加數據泄露風險,或將導致嚴重的數據泄露危機。

 

醫療數據安全管理的基本原則

 

1. 做好數據使用的授權

 

鑒于醫療數據的高敏感性和高隱私性,在使用相關數據的時候,都需要依照最小化原則進行數據采集,并向用戶征得授權許可,只有從源頭上進行嚴格管控,才有可能實現個人隱私數據的合理有效分析、利用、流通等。

 

2. 以用戶為中心構建醫療數據安全防護體系

 

目前很多機構采取的隱私安全防護方式,多僅著眼于脫敏和匿名保護,并從用戶的角度出發構建全方位的醫療數據安全防護體系,即覆蓋信息錄入、個人隱私管理、加密存儲、訪問控制等多個環節的個人醫療信息風險評估和防護體系。

 

3. 加強個人信息保護立法

 

除了機構增強安全保護意識,設置完整有效的數據管理制度外,國家和個人也應加強信息保護意識。一是公民自身要有充分的數據保護認知,應當學會對自身隱私的保護,不為部分黑產業者的“花言巧語”所動;二是國家層面應對違法行為要有足夠的懲治,依法打擊個人信息的不當泄露和非法利用。

 

中國醫療大數據管理政策概覽

 

近年來,隨著醫療數據日益成為國家重要的基礎性戰略資源,面對相關法律法規不健全,存在數據及隱私泄露的風險等問題,國家陸續出臺多項引導性和規范性政策文件,及相關法律法規,簡要整理如下:

 

1. 2015年1月原國家衛計委于發布的《關于印發2015年衛生計生工作要點的通知》,這也是我國早期關于健康醫療大數據應用的主要文件,其中提出“組織實施人口健康信息安全規劃,穩步推進健康醫療大數據應用”,為日后行業的發展奠定了發展基調。

 

2. 2016年6月,國務院發布《關于促進和規范健康醫療大數據應用發展的指導意見》,為健康醫療大數據應用指明了方向。以其為指導,國家開始著手建立1個國家數據中心和7個區域數據中心的健康醫療大數據發展規劃布局,后經調整,區域數據中心的數量削減為5個,根據規劃分別位于江蘇、貴州、福建、山東和安徽。

 

3. 在數據中心的籌建過程中,國家衛健委于2018年7月發布《國家健康醫療大數據標準、安全和服務管理辦法(試行)》,對健康醫療大數據的應用進行了規范。時至今日,我國健康醫療大數據行業仍處在積極探索階段,健康醫療大數據的收集、儲存模式初步形成,但數據應用的需求還未充分展現出來,商業盈利模式有待探索。

 

4. 2021年9月1日,《中華人民共和國數據安全法》正式施行,這是數據安全工作首次升至國家安全最高監管層級,也標志著數據安全治理領域正式進入有法可依的新階段。衛健委、醫保局、中醫藥管理局和疾控中心等衛生健康主管部門被正式賦予了本行業、本領域數據安全的監管職責。此外,還有消息靈通人士透露,全國醫療機構網絡信息安全管理辦法正在起草中,或將不日出臺。

 

來源:騰訊網

 

 

 

 

 

 

 

2021年11月4日 15:37
?瀏覽量:0
?收藏
一级a做片性视频黄