医疗信息化的网络安全是重中之重
2018年医疗行业的网络安全事件频发,国内国外都不安生。
2月,刚一开年,就有两起网络安全事件接连发生,让人震惊与反思。一是湖北某医院系统被植入勒索病毒,医院系统瘫痪,黑客要求支付价值约30万元人民币的比特币才能恢复正常;二是湖南省某医院服务器中招,所有数据文件被强行加密,系统瘫痪,患者无法正常就医。
2018年9月,腾讯发布的《医疗行业勒索病毒专题报告》显示,自7月以来,在全国三甲医院中,有247家医院检出了勒索病毒,广东、湖北、江苏等地区检出勒索病毒最多,几乎每个月都会发生3-4起重大医疗数据泄露事件。
医疗行业已成为网络安全的“重灾区”。
国内:等保2.0对医疗行业的网络安全提出更高要求
加强网络安全是国家意志。2018年3月,“中央网络安全和信息化领导小组”改为“中央网络安全和信息化委员会”,并接手工信部管理国家计算机网络与信息安全管理中心;4月,中共中央总书记、国家主席、中央军委主席、中央网络安全和信息化委员会主任习近平出席“全国网络安全和信息化工作会议”,并发表重要讲话,强调“没有网络安全就没有国家安全”。
2018年我国网络安全领域的一个大事件发生在6月——公安部发布《网络安全等级保护条例(征求意见稿)》,正式宣告等保进入2.0时代。该条例是继2017年6月1日我国发布《中华人民共和国网络安全法》后,在网络安全领域又一规范性条例,其操作性、指导性和强制性力度更强。
等保1.0只针对网络和信息系统,等保2.0则把云计算、大数据、物联网等新业态也纳入了监管,涵盖了安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求和大数据安全扩展要求。对医疗行业而言,物联网、医疗设备和医疗大数据的安全都被纳入其中,对医疗机构的网络和信息安全能力提出了更高要求。
在网络安全事件频发的警示下,医疗行业对网络安全的重视程度正在增加。2018年,各地纷纷举办卫生计生行业网络和信息安全培训。据公开信息显示,江苏苏州、河南郑州、河北邯郸、河北衡水、四川雅安、湖南株洲、吉林松原、广西玉林等地均在2018年召开了卫生计生系统网络与信息安全培训会;还有一些医院在网络安全培训、攻防演练、应急演习等方面加大了力度,如佛山市妇幼保健院、广东省中医院等。
国外:欧盟数据保护法规值得借鉴
在国外,见诸媒体的网络安全事件更是不胜枚举:2018年6月底,美国太平洋胎儿诊断研究所遭到网络攻击,40800名患者的数据被盗取;2018年10月,美国北卡罗来纳州Catawba Valley医疗中心有两万名患者的个人数据遭到破坏;2018年六七月间,新加坡遭遇严重APT攻击,黑客利用被恶意软件感染的计算机,窃取了150万新加坡人的健康记录数据, 包括新加坡总理李显龙。
2018年年底,美国卫生部(HHS)发布了一份医疗行业的网络安全报告——《健康产业网络安全实践(HICP):管理威胁和保护患者》。该报告由150多名网络安全和医疗专家组成的工作组制定。HHS表示,防范网络攻击就像打击致命的病毒一样,它需要动员和协调各种公共和私人利益相关者的资源,包括医院、IT供应商、医疗设备制造商和政府,以最大限度地降低风险和影响。报告显示,医疗机构在数据泄密方面的平均花费是220万美元。报告还列出了医疗行业面临的五大威胁:网络钓鱼、勒索软件、设备或数据丢失、内部意外数据丢失以及对数字健康工具的攻击。
2018年5月,欧盟通用数据保护条例(GDPR)正式生效实施,这也是件影响力很大的行业大事。该条例的适用范围极为广泛,任何收集、传输、保留或处理涉及到欧盟所有成员国内的个人信息的机构组织均受该条例的约束。其地域适用范围也在不断扩大,位于欧盟境外、不受现行欧洲隐私法律规制的许多组织也将随着GDPR的实施而不得不适用欧盟隐私法律,GDPR要求这些组织及时对GDPR的“合规”要求作出回应。这对我国出台数据保护、数据利用领域的专门法规具有重要的参考和借鉴意义。
产业形势大好,数据安全细分市场蓬勃发展
2019年新年伊始,华为发布了该公司2019年一号文件,华为创始人、总裁任正非提出,要把网络安全和隐私保护作为公司的最高纲领。每一个ICT基础设施产品和解决方案中都要包括四个关键内容:安全性(Security)、韧性(Resilience)、隐私性(Privacy)、可靠性和可用性(Reliability& Availability)。
这从侧面反映出,产业层面越来越重视网络安全,这与国家政策一致。2018年,网络安全产业的形势一片大好,相关公司在医疗网络安全领域动作频繁。
据HIT专家网观察,在医疗网络安全圈里最活跃的要数腾讯。2018年4月,腾讯携手卓健科技,在2018CHINC大会上联合推出了“医疗行业安全守护方案”。2018年9月,腾讯联合CHIMA发布《医疗行业安全指数报告》,在被调查的484家样本医院中,66.74%的医院实施了等级保护规划工作,其中有23.14%通过了三级等保,医疗机构信息安全的意识有待提升。2018年10月,腾讯智慧安全与杭州美创科技有限公司(以下简称:美创科技)签署了针对医疗健康数据安全领域的战略合作协议。
得益于国家推动健康医疗大数据应用发展的政策驱动,潜心研究数据安全多年的美创科技在2018年收获了政策的红利。2018年年初,美创科技发布防勒索解决方案,核心原则是“知白守黑”,美创科技总经理柳遵梁表示:“我们不关心病毒的特征,勒索病毒没什么特征,就是正常的应用。我们是把在服务器上运行的应用进行特征化,不符合这个特征的就是不正常的。”
2018年7月,亚信安全联合CHIMA、上海市卫生计生委信息中心共同发布了《中国医院信息安全白皮书》。同样在7月,由CHIMA、北京市卫生计生委信息中心、北京数字认证股份有限公司联合编著的《医院电子病历数字签名实施指南》一书在CHIMA2018大会上发布。
Gartner Group 2018年4月的报告显示:全球安全产业规模稳步增长,2017年规模达990亿美元;2018 年预计增长至1060 亿美元。
医疗行业将在“觉醒”中构建全方位安全体系
医疗行业缘何成为网络安全的“重灾区”?其一,这与医疗机构所保存数据的重要性、隐私性有关,家有宝藏怎能不遇到毛贼?其二,以往医疗机构大多是局域网,与互联网物理隔离,但近些年,为了提高服务质量、改善服务体验,医疗机构面向互联网的应用越来越多,安全问题也随之而来;其三,长期以来,由于医疗机构在信息化建设方面的整体投入不足,造成医疗机构更愿意把钱花在“刀刃”上,而对于网络安全这种锦上添花的需求则没有足够的预算予以保证。
医疗机构将在2019年继续解决上述问题,在“觉醒”中构建全方位网络安全体系。
首先,医疗机构网络安全的责任更加明确,卫生计生行政主管部门和医院“一把手”将在思想认识上更加重视网络安全,也将在实际行动上予以资金支持。
安全无小事,而且具有木桶效应,任何一个点没把握住,其他做得再好,整体安全也是零。诚然,在网络和信息安全方面,把几十万元、甚至几百万元砸进去,都听不到动静、看不见成效,唯有黑客知道哪家医院攻不破。正所谓“防患于未然”,真要等到网络安全事件发生后再补救为时已晚。
广东省中医院就是网络信息安全建设方面的一个典范,该院对于信息安全的必要投入是一路“绿灯”,每年的投入非常大,包括资金、人力、管理成本等。该院信息处处长傅昊阳说他的工作时间有四分之一放在安全方面。
其次,网络信息安全是个系统工程,三分技术、七分管理,医疗机构将从技术和管理多角度构建网络安全体系。
网络信息安全是个系统工程,不是说过了等保三级就可以高枕无忧了。很多安全威胁来自于医院内部的管理漏洞,建设全方位的网络信息安全管理体系并落实到位,是医疗机构信息部门在2019年的重要工作。
第三,医疗行业网络和信息安全产业的市场规模将继续保持增长态势,数据安全细分领域更会大有作为。
在大数据时代,数据越来越重要,数据是如同水、电、煤一样的战略资源。国家在政策层面也在大力推动健康医疗大数据的应用发展,有越来越多的医院临床数据中心和区域卫生平台被建立起来,对健康医疗数据的保护和利用将是医疗行业信息部门的重要需求。