近几年大家对“数据安全”的关注度一直升温不降,各个行业为了保护自身数据安全采取各种防护手段,本文将针对医疗行业的数据安全现状做简单分析并给数据安全防护建议。
一、医疗行业的安全形势
1、“互联网+”正在强势进入医疗行业,渗透到医疗领域的各个环节,不仅打破了医疗行业原有相对封闭的使用环境,而且还会使信息聚集更加便捷、迅速,这也就给医疗行业带来了全新的数据安全挑战。例如:2017年5月, 20万条新生婴儿信息从某市疾病预防控制中心泄露出来,这些窃取来的信息,被用于电话推销新生儿保健品;
2、随着移动医疗、AI医疗影像、电子病历等等数字化程序的普及,医疗数据被泄露已经成为家常便饭。2017年4月,某部委医疗服务系统大量个人信息泄露,其中包括大量的孕检信息遭到暴露并在暗网进行交易。
3、正常的统方行为是医院对医生用药信息量,用药单据的统计,非法统方行为是指为了达到不正当的商业目的进行的非授权统方行为。由于医院绝大部分业务都通过信息系统来处理,这就使内部统方的途径也变得多样化,药房、科室、信息中心任何一个能进入信息系统的终端都可能成为统方的途径。2017年11月,某高校妇产医院主管医师非法统方案件,因非法获取计算机信息数据罪,涉案人员被法院判处有期徒刑2至3年不等……
二、风险分析
1、数据管控制度有待完善,面对数据威胁医疗组织虽然也逐渐增强数据安全意识,但是关于数据管控尚未建立统一管理机制,数据管控制度的完善相对滞后。
2、外部攻击风险,由于医疗数据有着得天独厚的价值,从而很容易引起大量黑客攻击行为,漏洞如果无法及时修复,自然会为外部攻击提供途径,因此需要采取有效措施应对外部攻击风险。
3、数据交换风险,目前大量的医疗数据需要拿给第三方或者测试使用,为了规避真实数据泄露,需要建立科学的对外数据交换标准,提高数据安全要求,最主要的是需要强化病患敏感数据脱敏处理能力。
4、内部及第三方运维人员造成的数据泄露风险,内部工作人员的权限管控制度如果不完善,很多非权限人员可以随意接触病患信息,造成很大泄露风险,加之内部人员监控手段不足,也会引发取证难问题。
大多数医疗机构对于信息安全都有一定程度的认知,但一部分机构在数据安全领域缺乏足够的认知,普遍安全误区如下:
①大家会认为黑客是大部分安全事件的主因。事实上,80%的数据丢失来自内部;
②网络防火墙可以保证数据安全。事实上,尽管安装了防火墙,40%网络入侵仍会发生;
③加密可以保证数据安全,事实上,加密仅是保护数据安全的一种途径,数据安全同样也需要访问控制、数据完整性、系统的可用性以及审计等。
面对医疗行业的数据安全威胁和现状,安华金和凭借多年在医疗行业的积累,重点关注医疗患者隐私信息批量泄密,非法“统方”导致医药贿赂事件频频发生等信息安全问题,给出了主动防御的应对思路,提出综合性的医疗数据安全加固解决方案,核心是以DBMS、访问路径、核心数据为三大核心,建立包含四道防线的数据安全纵深的防御体系。
