在2021年7月之前,提及健康醫療數據安全的時候,大家的反應通常都是“這很重要”,但具體落實到實施的時候,又總覺得也并不是那么緊要。但2021年下半年扎堆發生的幾件大事必將極大地改變現有觀念,讓健康醫療數據安全成為聚光燈下的主角。 首先是2021年6月10
在2021年7月之前,提及健康醫療數據安全的時候,大家的反應通常都是“這很重要”,但具體落實到實施的時候,又總覺得也并不是那么緊要。但2021年下半年扎堆發生的幾件大事必將極大地改變現有觀念,讓健康醫療數據安全成為聚光燈下的主角。
首先是2021年6月10日,第十三屆全國人民代表大會常務委員會第二十九次會議通過《中華人民共和國數據安全法》,自2021年9月1日起施行。這一法律將成為我國大數據戰略中至關重要的法制基礎,并成為數據安全保障和數字經濟發展領域的重要基石。
隨后,就是眾所周知的滴滴出行赴美上市引發監管的事件,并成為自2020年4月《網絡安全審查辦法》頒布以來,首個公開的網絡安全審查案例。受此影響,原定近期赴美上市的科技企業紛紛暫時擱置上市計劃。
比如,重點聚焦腫瘤領域,提供面向癌癥患者的大數據平臺,為醫療機構和醫藥公司提供服務的醫療科技公司零氪科技便在7月8日宣布擱置其原定次日赴美于納斯達克上市的計劃,擬掛牌交易時間被延期。在此之前的7月1日,該公司剛剛更新了其招股書,并于7月6日正式向美國證券交易委員會(SEC)更新IPO申請。
幾乎是與滴滴赴美上市同一時間點的7月1日,《信息安全技術 健康醫療數據安全指南》(GB/T 39725-2020,以下簡稱《安全指南》)正式實施。
這一連串事件引發的強震還在持續。7月10日,國家網信辦發布《網絡安全審查辦法(修訂草案征求意見稿)》,要求掌握超過100萬用戶個人信息的運營者赴國外上市時必須向網絡安全審查辦公室申報網絡安全審查。此外,征求意見稿多數新增內容為防范數據跨境潛在風險,重點強調相關市場主體境外上市的數據安全性。
近年來,相關部門已經注意到了健康醫療數據安全存在的隱患,并逐步推動法規標準建設來完善頂層設計。根據動脈網統計,自2020年至今,相關部門已經陸續發布了12條涉及健康醫療數據安全的政策及標準,強度之高令人側目。在可預測的未來,這一趨勢將有增無減。
毋庸置疑,隨著監管的加強,包括醫療健康在內的各行業將在接下來的一段時間重新審視數據安全,并調整其在計劃中的權重。動脈網也將推出系列文章,對當下醫療健康數據安全進行解讀。
一直列倒數,從來未例外!健康醫療數據安全不容樂觀
“健康醫療數據安全的現狀并不樂觀!”華中科技大學協和深圳醫院信息科主任朱歲松認為,隨著近年來健康醫療領域信息化建設的推進,以及5G、大數據、人工智能及物聯網等新型技術的發展,健康醫療的數據應用程度和開放程度也在逐漸深入。這也使得健康醫療數據在全生命周期各階段面臨著越來越多的安全挑戰。
至于什么是健康醫療數據,在此之前各部門對此有著各自不同的解釋。新發布的《安全指南》對此做出了明確的界定——“包括個人健康醫療數據以及由個人健康醫療數據加工處理之后得到的健康醫療相關電子數據。”
“個人健康醫療數據”是指“單獨或者與其他信息結合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關電子數據。”“由個人健康醫療數據加工處理之后得到的健康醫療相關電子數據”則包括群體總體分析結果、趨勢預測、疾病防治統計數據等。也就是說,健康醫療數據分為“個人”和“群體”兩個方面。
總的來說,健康醫療數據可以分為個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛生資源數據和公共衛生數據。

截圖來自《信息安全技術 健康醫療數據安全指南》
不難看出,健康醫療數據具有普遍的真實性和隱私性。這些數據從微觀上包含個體身體健康情況、醫療就診情況等數據,從宏觀上包含疾病傳播、區域人口健康狀況等數據,健康醫療數據安全事關患者生命安全、個人信息安全、社會公共利益和國家安全。
通常而言,由于醫護人員的基本職業操守,手握大量醫療健康數據的醫療機構并不會主動泄露健康醫療數據。然而,對健康醫療數據安全的擔憂并不是空穴來風。畢竟,無論國內國外,醫療機構在數據安全上的表現都是乏善可陳。
根據騰訊智慧安全《醫療行業勒索病毒專題報告》的統計,2017年WannaCry勒索病毒流行期間,全國有247家三甲醫院檢出了勒索病毒。這一勒索病毒可以通過永恒之藍漏洞呈蠕蟲式傳播。因此,一旦WannaCry入侵到醫療機構內網,便能迅速在內網擴散。
然而,令人啼笑皆非的是,針對永恒之藍漏洞,微軟官方早已于事發一年前便發布了漏洞修復補丁。
到了2018年2月,華中某醫院遭受勒索病毒攻擊,服務器所有數據文件被強行加密,導致醫院系統癱瘓,所有業務受到影響。黑客要求院方必須在六小時內為每臺感染終端支付1個比特幣贖金,約合每臺終端解鎖需要支付人民幣66000余元。無獨有偶,有報道稱華東某醫院信息系統也曾被黑,并被勒索價值2億元的以太幣。
當然,國外的情況也沒有好到那里去。2020年9月,德國杜塞爾多夫大學醫院遭到勒索病毒攻擊,導致該院30臺服務器被加密,醫院信息系統崩潰。然而,從勒索要求來看,黑客實際上是打算勒索杜塞爾多夫大學醫院所附屬的海因里希·海因大學,而不是醫院本身。
警方立即聯系并告知黑客其所勒索的是關乎人命的醫院而非大學。這位“有良心”的黑客隨后竟撤回勒索企圖,并提供了解密數據的數字密鑰。然而,這起事故已經導致了一出悲劇的發生——因為醫院系統崩潰,一名當時被送往醫院急需搶救的病人不得不轉送至距離該院約32公里的伍珀塔爾某醫院。由于延誤了治療,這位不幸的病人不治身亡。
IBM Security的《2020數據泄露成本報告》對17個國家和地區17個行業進行了調查,2020年數據泄露平均總成本最高的行業是醫療行業,其平均總成本高達713萬美元,比2020年所有行業386萬美元的數據泄露平均總成本高出接近一倍。

按行業劃分數據泄露平均總成本(單位:百萬美元),數據出自《2020數據泄露成本報告》,動脈網制圖

2019-2020年間各行業平均總成本百分比變化,數據出自《2020數據泄露成本報告》,動脈網制圖
更為尷尬的是,自2015年開始,醫療保健行業的數據泄露成本就一直位列榜首。2020年的平均總成本又比本行業2019年的水平增長了10%。

各行業發現并控制數據泄露的平均時間(單位:天),數據出自《2020數據泄露成本報告》,動脈網制圖
在發現和控制數據泄露的平均時間上,醫療健康行業的表現也是最糟糕的——平均需要236天發現數據泄露,再需93天遏制數據泄露。相比之下,表現最好的金融行業發現泄露時間和遏制泄露時間加起來也只要233天(177天發現,56天遏制)。
換句話說,當金融行業已經處理完數據泄露的同時,醫療行業甚至還壓根沒有發現出現了數據泄露事件。

按行業劃分數據泄露事件數,數據出自《2021 DBIR》,動脈網制圖
在Verizon的《2021數據泄露調查報告》(2021 DBIR)中,醫療行業的表現也比較糟糕。調查錄得472次經確認的數據泄露事件,也排在泄露數據的所有行業前三位。從數據泄露的類型來看,36%是交付錯誤,過往幾年的情況一樣。雖然性質上并不惡意,但這代表著基本的人為錯誤持續困擾著行業。
除此以外,在藝術和娛樂行業中也報告了一部分醫療信息泄露事件。通過進一步挖掘數據發現,這或許與相關的體育項目相關。這也表明,不要以為非醫療健康機構就沒有醫療數據或者沒有義務保護健康醫療數據。
為什么健康醫療數據安全風險在急劇增加?
那么,為什么醫療健康行業在數據安全上面臨如此之大的風險呢?原因很簡單,錢!在Verizon《2021數據泄露調查報告》中對數據泄露動機的調查,醫療行業有61%的威脅來自外部,91%的動機來自財務。
總的來說,醫療健康領域的數據風險主要分為數據不可用風險和數據泄露風險。
首先是數據不可用風險。與其他機構相比,醫院信息系統比較特殊,絕大部分數據都屬于需要緊急使用的信息。一旦被勒索病毒加密導致數據不可用,或使得系統發生故障都會對業務造成極大影響,直接影響到患者正常就醫,甚至關系到患者生命安全。所以,醫療健康行業一般會想盡辦法以最快速度恢復業務正常運作,乖乖交贖金的可能性更大。
其次,則是數據泄露風險。健康醫療數據具有極強的隱私性,個人屬性數據包括個人姓名、住址、聯系方式、社會保險號碼、銀行賬號信息等海量信息。這些信息足以在黑市上賣個好價錢,還可能被人盜用身份,非法獲取處方藥甚至騙取保險。
一些公眾人物的健康隱私一旦泄露更是會對其生活、工作帶來嚴重負面影響。因此,這些健康醫療數據往往會被黑客盯上,以此索要金錢,或轉手賣給狗仔獲利。就在近日,某頂流歌星的植發照便被泄露公開,成為健康醫療數據泄露的最新受害者。這種情況在近年一再上演。
此外,大量醫療數據開始提供第三方開發測試使用,也容易造成個人隱私數據泄露。涉及國家人類遺傳資源、基因編輯等高價值生物數據的新興的生物技術產業,一旦發生數據泄漏,后果非常嚴重。
目前以醫院為主的健康醫療數據安全隱患嚴重,行業普遍認為主要原因有以下幾點。
第一,醫院信息系統不是一個孤立系統,隨著信息系統互聯互通建設及健康醫療數據應用挖掘的進一步深入,缺乏足夠準備的醫院正在面臨更多的外部安全威脅,被黑客入侵、網絡攻擊的風險將進一步加劇。
第二,相比對醫療質量安全的重視,醫院的安全意識較為淡薄,管理制度也不完善。多數醫院沒有專門的信息安全管理組織及成套規范的管理體系,嚴重滯后于信息化發展速度。
舉例來說,大多數醫院內外網劃分不清晰,缺少內外網隔離措施;同時,也沒有部署終端安全管理和審計系統,甚至出現不合規終端也可隨時接入內部網絡的情況,導致終端安全事故發生后無法追查。
第三,醫院信息系統的安全措施不夠完善。比如,核心HIS系統運營缺少有效的安全保護措施和審計機制;醫院門戶網站缺少必要的安全保護措施,存在被SQL注入攻擊、網站掛馬的風險。
第四,醫療健康行業的患者信息、診療信息等一系列健康醫療數據具有很大的商業價值,漸漸受到灰色產業鏈的覬覦。
第五,醫院對各類信息系統的依賴程度越來越高。比如,HIS系統就涉及到醫院所屬各部門對人流、物流、財流的全方位管理,患者就診各環節都需與其直接掛鉤,一旦核心信息系統出現問題,影響面巨大。
深信服醫療事業部解決方案總監陳磊在接收動脈網采訪時提到,大部分醫療行業的客戶實際上并不知道自己的痛點在哪里。目前醫療健康行業對于數據安全的認知和意識不太夠。很多時候醫院其實并不清楚自己真正有多少數據資產,更不用說數據安全。
同時,多數機構在建設時沒有整體規劃,根據事件驅動做數據安全的某一個點的情況很多,疲于應付;最后,數據安全一直和政策力度關系較大。在目前政策和推廣沒有在行業細化到一定程度時,也會造成建設過程中的“迷茫期”。
正因為此,健康醫療數據安全狀況愈發嚴重,已經到了迫在眉睫的地步。
近18個月政策12連發,健康醫療數據安全頂層規劃逐步加碼
數據安全一直是我國政府高度重視的領域。早在1994年2月,國務院就頒布了《計算機信息系統安全保護條例》,首次確定將在全國范圍內實行計算機信息系統安全等級保護。
所謂“行業發展,立法標準先行”,在進入到二十一世紀后,我國開始完善健康醫療數據安全的頂層規劃設計,并在近年來明顯加大力度。
2007年5月,公安部發布《信息安全等級保護管理辦法》。隨后,國家質檢總局和國家標準化管理委員會陸續制定和發布了《信息系統安全等級保護基本要求(GB/T22239-2008)》等國家標準,等級保護制度正式實施,也就是俗稱的等保1.0。等保1.0被廣泛應用于各個行業,在我國推進信息化建設過程中起到了至關重要作用。
以醫療健康行業來說,2011年12月,前衛生部發布《衛生行業信息安全等級保護工作的指導意見》。要求衛生行業按照《信息安全技術信息系統安全等級保護定級指南》開展定級工作,并明確重要衛生信息系統安全保護等級原則上不低于三級。
2014年4月15日,在中央國家安全委員會第一次全體會議上首次提出包括信息安全在內的“總體國家安全觀”重大戰略思想。2015年頒布的《國家安全法》明確將數據安全納入國家安全的范疇。從這時起,我國在健康醫療數據安全領域的政策開始快速推出。
為了使互聯網安全監管和保護適應新時代技術要求,2017年6月,《網絡安全法》成為我國網絡安全領域的首部綜合性立法。“網絡安全”以立法形式進入我國頂層設計,對我國網絡安全建設提出了更高標準和要求。并為后續的等級保護標準的更新奠定了法律基礎。
國家衛健委則在2018年成立以后陸續通過各種政策強化醫療健康行業對數據安全的重視。2018年4月,國家衛健委發布了《全國醫院信息化建設標準與規范(試行)》,對二級醫院以上醫院的數據中心安全、終端安全、網絡安全及容災備份提出要求。
2018年,國家衛健委又先后發布《國家健康醫療大數據標準、安全和服務管理辦法(試行)》和《互聯網醫院管理辦法(試行)》,明確規定承載健康醫療大數據的平臺及承載互聯網醫院的平臺必須通過規定級別的等保測試。
作為首部完全針對健康醫療數據安全的標準,《健康醫療信息安全指南》則借鑒了國外立法和標準的研究,尤其是美國HIPPA法案和ISO 27799、NIST800-66等標準,能解決健康醫療數據的融合共享和開放應用,讓數據在為個人及國家利益服務的同時,也保證個人信息的安全和國家公共利益的需要。
從2020年開始,相關法規及標準的實施呈現出高強度的特點,從2020年至今18個月時間,政策已經“12連發”。

我國健康醫療數據安全主要政策及標準
天鵬天元大數據總裁陸廣林認為,從陸續出臺的政策法規可以看出,國家對醫療行業數據安全高度重視。無論從醫院、基層醫療機構信息化建設,還是當前發展火熱的“互聯網+醫療健康”、“醫療大數據”,再到一些基本惠民便民的傳統醫療信息系統建設,以及國家出臺的第一部衛生健康領域基礎性、綜合性法律,無不強調落實做好健康醫療網絡信息與數據安全工作。
這些政策對于加強醫療健康行業的數據安全和系統網絡安全水平起到了重要的作用,醫療機構及其從業人員的安全意識正在不斷增強。以醫療機構網絡安全等級保護實施情況為例,根據CHIMA《2019-2020年度中國醫院信息化狀況調查》,在1017家參與調查的醫院中,超50%的醫院有二級和三級網絡安全保護備案系統。
同時,根據動脈網對某直轄市數家頭部三甲醫院醫護人員的了解。目前,醫院對于安全已經相當重視,不僅定期舉行有關數據安全的培訓演練,對于醫護人員可能產生泄密的渠道也有相應的保護。
比如,醫護人員工作站硬件上取消了USB接口,無法通過移動存儲拷貝數據。在權限上則予以嚴格控制,若需復制數據則需要層層報批至上級領導。相比之下,部隊醫院對安全的要求更為嚴格,早年就已實施嚴格的管控。
數據安全一票否決,等保2.0將進一步加持健康醫療數據安全
不過,等保1.0制定的年代已經較為久遠,造成一些新技術和新應用的等級保護規范缺乏,比如云計算、物聯網等。其次,除傳統的5步驟外,風險評估、安全監測和通報預警等工作不完善。最后是政策、標準、測評、技術和服務等體系不完善。
這使得等保1.0逐漸難以滿足全球范圍內移動互聯網、云計算、大數據、工業互聯網、人工智能、物聯網等技術大量應用的現狀。
因此,相關機構開始著手對現有等保標準進行更新。2019年5月,國家市場監督總局和國家標準化管理委員會發布《信息安全技術網絡安全等級保護基本要求(GB/T22239-2019)》,并于 2019年12月開始實施,標志著我國進入等保2.0時代。

等保2.0與等保1.0的主要區別
相比等保1.0,等保2.0的要求更加細化:其所包含的系統更加廣泛,從原本的基礎信息網絡和信息系統擴展到了包括網絡基礎設施、信息系統、大數據中心、云計算平臺、物聯網、工控系統、移動互聯網、智能設備等。
2020年底發布的《三級醫院評審標準(2020年版)》則對安全實施“一票否決制”。在第一部分前置要求中提到“發生大規模醫療數據泄露或其他重大網絡安全事件,造成嚴重后果。”將直接延期一年評審。延期期間醫院原等次取消,按照“未定等”管理。對于醫院來說,若不重視安全將造成極其嚴重的后果。
同時,評審標準還提出“落實《網絡安全法》,實施國家信息安全等級保護制度,實行信息系統按等級保護分級管理”的要求。這并非多此一舉。事實上,就目前的情況而言,多數醫院對于等保僅僅以最低限度的通過為標準,違背了等級保護的初衷。
前面我們提到在CHIMA《2019-2020年度中國醫院信息化狀況調查》中有超50%的醫院有二級和三級網絡安全保護備案系統。但是,其中僅有1個系統通過二級和三級等保備案的數量居多。
無論是三級保護備案還是二級保護備案,僅有一個系統通過的醫院比例是最高的,分別為21.34%和19.76%,加上未通過的比例,意味著有多個系統通過備案的醫院比例只有三成左右。

按照新的要求,三級醫院應全面落實國家信息安全等級保護制度,實行信息系統按等級保護分級管理。如果沒有開展等級保護工作,或者只將一個核心系統通過等保的醫院,其安全工作顯然是不夠完善的。
一方面,部分醫院是為了節約成本。舉例來說,據動脈橙消息,2021年7月21日,廣東省茂名市婦幼保健院發起等保2.0建設項目招標,其預算金額就達到了207.63萬元,這對于多數醫院來說不是一筆小數目。
深信服醫療事業部解決方案總監陳磊表示,等保建設需要一定的經費支持,有些醫院對安全業務支持不夠,費用審批比較緊張。此外,等保需要采購不少安全設備,在評測后,這些設備是否真正發揮安全價值醫院并不清楚。
另外一方面,部分醫院也存在被企業誤導的情況,采取將多個系統打包合并成一個醫院信息系統來通過測試。這一“捷徑”并不可取。首先,大部分醫院的信息化系統是較為獨立的業務系統;其次,等保的初衷就是對不同等級的系統進行分級管理,對于核心系統重點保護,全部合一個系統顯然是不合適的。
華中科技大學協和深圳醫院信息科主任朱歲松對此認為,等保不是應付檢查,而是加強企業自身安全;除了重要系統必須上等保,不同系統也應分級管理。
深信服醫療事業部解決方案總監陳磊也認為等保測評的推進目的不是為了單純過等保,需要建設趨于實戰化的安全體系:“目前,智慧醫院建設過程中數據服務類型的應用越來越多。核心業務系統定義范疇從基礎的HIS、EMR,再到臨床數據中心、科研數據中心等不斷發展和變化的,從安全建設來說,趨于實戰化的安全體系建設,同時適配行業業務變化的安全建設才是未來的發展方向。”
政策仍需完善,技術同樣重要
總體來看,盡管醫療健康數據安全的形勢仍然較為嚴峻,但隨著近年來的立法及標準制定,情況正在向可控的方向發展。
當然,在現行已頒布的法律法規及標準體系下,健康醫療數據安全的頂層設計仍然還存在著交叉和空白,配套制度的細則不夠完善等問題。
以目前炙手可熱的健康醫療大數據來說,天鵬天元大數據總裁陸廣林便表示健康醫療大數據應用近幾年興起,法律法規還在跟進過程,在沒有明確法律法規時會依據適用原則做為參考標準,如《個人信息保護法》《信息安全等級保護管理辦法(試行)》等。
“目前在行業內、協會、學術團體里形成了一些標準與規范。比如廣州市標準促進會就發布了《廣東省健康醫療數據脫敏技術規范》。我認為這些標準規范通過實踐完善后將形成國家標準。”他補充道。
深信服醫療事業部解決方案總監陳磊也提到,目前,數據安全的頂層設計在行業適配層面做的不夠。數據安全的基礎是數據的分級分類,這部分和傳統網絡安全有很大不同,需要非常強的技術和行業的適配結合。從每個醫院的角度,其對數據的使用、管理、流程都不一致。因此,需要在細節標準去更加細化。
與此同時,安全技術也將在其中扮演更加重要的角色,并帶動行業的發展。安全領域的分類相當細化,按照產品保護范圍,網絡安全產品可以分為端點安全、邊界安全和云安全。其中,各個領域又有多個細分領域。
根據安全牛的定義,將安全細分為14項一級安全分類,106項二級細分領域,共計有347家國產安全企業。這些企業默默地在隱秘的戰線上保護著我們的安全。那么,健康醫療數據安全行業的前景如何?哪些新興產品和技術在醫療健康行業有較好的探索經驗?接下來,動脈網將持續關注健康醫療數據安全,并推出系列文章,敬請期待。也歡迎廣大讀者提供相關話題及線索。
參考資料
IBM Security:《2020數據泄露成本報告》
Verizon:2021 Data Breach Investigations Report
H3C.com:《醫院等保解決方案》
騰訊智慧安全:《醫療行業勒索病毒專題報告》
國家工業信息安全發展研究中心:《數據安全白皮書》
安華金和等單位:《數據安全治理白皮書3.0》
中國信通院:《數字醫療網絡安全觀測報告》
CHIMA:《2019-2020年度中國醫院信息化狀況調查》
財新網:《零氪科技推遲赴美IPO 律師吁關注醫療數據保護使用》
財經十一人:《中國進入網絡監管新階段》
雷鋒網:《上海某公立醫院HIS系統被黑,被勒索2億“以太幣”》
Securityweek.com:German Hospital Hacked, Patient Taken to Another City Dies
安全牛:《中國網絡安全行業全景圖(2021年3月第八版)》
City Dies
安全牛:《中國網絡安全行業全景圖(2021年3月第八版)》
本文來源:動脈網 作者:小編 免責聲明:該文章版權歸原作者所有,僅代表作者觀點,轉載目的在于傳遞更多信息,并不代表“醫藥行”認同其觀點和對其真實性負責。如涉及作品內容、版權和其他問題,請在30日內與我們聯系