医疗行业 数据安全解决方案 一、 数据安全背景 进入 DT 数据时代,医疗机构数据保护工作也变得更加复杂,HIS、RIS 、LIS、CIS、PACS、CPR 等系统的应用逐渐深入整合,为医疗卫生行业的高效、快捷、便民提供了信息化基础,但是医疗数据具有普遍的真实性,包含了患者个体患病情况、生物组学等数据;从宏观上看,则包含了疾病传播、地区流行病发病发展、区域人口健康状况等数据。这些数据具有很高的质量和价值,同时也具有隐私性,在巨大商业利益的驱使下,医疗行业的数据库面临来自内部威胁和外部威胁的双重包夹。一旦泄露会对患者生活、医生工作,医院公众形象带来很大影响和负面作用;微观上看,医疗数据能否安全使用,还关乎社会稳定、国家安全。 《网络安全法》和《数据安全法》的出台,也让数据安全的责任界定有了更为明确的责任主体,医院的信息部门无疑是“压力ft大”。医疗机构需要将数据保护工作作为基础要求,同时规划医疗数据统计、分析、挖掘、应用是等未来医疗行业数据流动的趋势。 在系统的建设和应用方面,从单机、单用户应用发展到部门级、全院级管理信息系统应用。 从以财务、药品和管理为中心的发展,开始集中向以病人信息为中心的 临床业务支持和电子病历应用。 微信、支付宝等快捷支付方式深入民生行业,使得医疗信息化系统从局限在医院内部的应用,逐步走向开放的互联网。 国家区域医疗建设的规划,对区域医疗信息化多接口的应用,提出了前 所未有的高要求。 面对如此严重的安全风险,要坚持规范有序、安全可控是国家发展医疗大数据的基本原则。国办发[2016]47 号文中指出,强化标准和安全体系建设,强化安全管理责任,妥善处理应用发展与保障安全的关系,增强安全技术支撑能力, 有效保护个人隐私和信息安全。同时指出,面对医疗数据的“万无一失,一失万无的”的高要求,安全保护作为一个复杂的技术和管理问题,将成为医疗数据的核心技术和首要问题。 二、 风险分析 在众多数据安全件中,黑客和 IT 事故是主要原因,占所有数据泄漏的 60% 以上。这并不难理解,数据库是网络犯罪分子的主要攻击目标,因为这里拥有大量的敏感信息,例如病史、账号、个人财务数据等。所以,医疗行业必须采用主动防御的技术和安全可靠的数据安全最佳实践,以确保其 IT 系统中的所有数据全天候安全。医疗数据安全存在哪些风险? 数据管控风险 虽然医疗组织正在逐渐增强数据安全意识,但关于数据管控尚未建立统一管理机制,制度的完善相对滞后,同时“互联网+”等新兴业态的不断涌现,并渗透至医疗领域的各个环节,客观上导致原本相对封闭的使用环境被逐渐打破。 外部攻击风险 医疗行业数据价值高,很容易引发来自互联网的攻击行为, 漏洞如果无法及时修复,自然会为外部攻击提供了途径,黑客能够非常精准地获取数据,继而进行精确诈骗,因此必须采取有效措施应对外部攻击风险。 数据交换风险 为了规避数据交换风险,需要建立科学的对外数据交换标准, 提高数据安全要求,同时强化对病患敏感数据的脱敏处理能力。 数据泄露风险 内部人员的权限管控制度如不完善,非权限人员便可随意访问病患隐私信息,数据泄露风险很大;加之内部人员监管手段不足,引发取证难等更多问题。 另外导致医院数据安全问题的原因很多,概括如下: 保密意识不强 在使用社交媒体和手机App 时,也无意中泄露了个人隐私数据。如发布的JPG、TIFF 图片就泄露了一些私密数据,因这些图片文件头部记录了照相设备、作者、日期、GPS 位置等数据。调查显示,文档类泄密事件 97%是内部员工有意或无意泄露造成的。 内部管理漏洞 因管理不严,医生办公室的电脑很容易被盗用,数据也易泄 露。部分医院数据中心主机房和分布在医院各栋楼宇的网络设备间也可能因管理不严,存在信息设备被人断电或接入不安全设备或恶意操作的隐患。 人员误操作 误操作也是数据错误的重要原因,尤其是人们习惯打开多个界面同时操作,经常在不同界面切换。 人为故意 隐私数据被有意收集、盗取的事件时有发生,如拍照留存快递单、 统方、蓄意删除病人费用记录、为掩盖错误而篡改医嘱活库存数据等。还有人为搞破坏恶意篡改医院网站网页、植入病毒或木马致系统瘫痪。 系统架构缺陷 医院信息系统在设计之初就存在缺陷,对数据安全考虑不足, 如如数据驻留、数据传输未加密等也可能导致数据安全问题。 针对医疗数据使用主要有两种方式,一是通过对病例检索系统、患者随访系统、专病数据库系统等应用系统的使用,其安全防护的特点相对容易。二是“裸” 数据访问服务,包含数据整合、数据预处理、数据分析建模、可视化等,其安全防护特点相对困难。面临的安全风险主要是隐私暴露、数据盗取、数据遗失和非法利用。同时安全防护既要防外(针对合作单位、外部厂商),又要防内(针对科室用户、技术人员)。医疗行业的数据和其他行业不太一样,大部分医疗
原文链接:https://max.book118.com/html/2022/0626/5101231102004300.shtm