在2021年7月之前,提及健康医疗数据安全的时候,大家的反应通常都是“这很重要”,但具体落实到实施的时候,又总觉得也并不是那么紧要。但2021年下半年扎堆发生的几件大事必将极大地改变现有观念,让健康医疗数据安全成为聚光灯下的主角。
近年来,相关部门已经注意到了健康医疗数据安全存在的隐患,并逐步推动法规标准建设来完善顶层设计。根据动脉网统计,自2020年至今,相关部门已经陆续发布了12条涉及健康医疗数据安全的政策及标准,强度之高令人侧目。在可预测的未来,这一趋势将有增无减。
毋庸置疑,随着监管的加强,包括医疗健康在内的各行业将在接下来的一段时间重新审视数据安全,并调整其在计划中的权重。动脉网将推出系列文章,对当下医疗健康数据安全进行解读。
一直列倒数,从来未例外!健康医疗数据安全不容乐观
“健康医疗数据安全的现状并不乐观!”华中科技大学协和深圳医院信息科主任朱岁松认为,随着近年来健康医疗领域信息化建设的推进,以及5G、大数据、人工智能及物联网等新型技术的发展,健康医疗的数据应用程度和开放程度也在逐渐深入。这也使得健康医疗数据在全生命周期各阶段面临着越来越多的安全挑战。
至于什么是健康医疗数据,在此之前各部门对此有着各自不同的解释。新发布的《安全指南》对此做出了明确的界定——“包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。”
“个人健康医疗数据”是指“单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。”“由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”则包括群体总体分析结果、趋势预测、疾病防治统计数据等。也就是说,健康医疗数据分为“个人”和“群体”两个方面。
总的来说,健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据。
不难看出,健康医疗数据具有普遍的真实性和隐私性。这些数据从微观上包含个体身体健康情况、医疗就诊情况等数据,从宏观上包含疾病传播、区域人口健康状况等数据,健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。
通常而言,由于医护人员的基本职业操守,手握大量医疗健康数据的医疗机构并不会主动泄露健康医疗数据。然而,对健康医疗数据安全的担忧并不是空穴来风。毕竟,无论国内国外,医疗机构在数据安全上的表现都是乏善可陈。
根据腾讯智慧安全《医疗行业勒索病毒专题报告》的统计,2017年WannaCry勒索病毒流行期间,全国有247家三甲医院检出了勒索病毒。这一勒索病毒可以通过永恒之蓝漏洞呈蠕虫式传播。因此,一旦WannaCry入侵到医疗机构内网,便能迅速在内网扩散。
然而,令人啼笑皆非的是,针对永恒之蓝漏洞,微软官方早已于事发一年前便发布了漏洞修复补丁。
到了2018年2月,华中某医院遭受勒索病毒攻击,服务器所有数据文件被强行加密,导致医院系统瘫痪,所有业务受到影响。黑客要求院方必须在六小时内为每台感染终端支付1个比特币赎金,约合每台终端解锁需要支付人民币66000余元。无独有偶,有报道称华东某医院信息系统也曾被黑,并被勒索价值2亿元的以太币。
当然,国外的情况也没有好到那里去。2020年9月,德国杜塞尔多夫大学医院遭到勒索病毒攻击,导致该院30台服务器被加密,医院信息系统崩溃。然而,从勒索要求来看,黑客实际上是打算勒索杜塞尔多夫大学医院所附属的海因里希·海因大学,而不是医院本身。
警方立即联系并告知黑客其所勒索的是关乎人命的医院而非大学。这位“有良心”的黑客随后竟撤回勒索企图,并提供了解密数据的数字密钥。然而,这起事故已经导致了一出悲剧的发生——因为医院系统崩溃,一名当时被送往医院急需抢救的病人不得不转送至距离该院约32公里的伍珀塔尔某医院。由于延误了治疗,这位不幸的病人不治身亡。
IBM Security的《2020数据泄露成本报告》对17个国家和地区17个行业进行了调查,2020年数据泄露平均总成本最高的行业是医疗行业,其平均总成本高达713万美元,比2020年所有行业386万美元的数据泄露平均总成本高出接近一倍。
2019-2020年间各行业平均总成本百分比变化,数据出自《2020数据泄露成本报告》,动脉网制图
更为尴尬的是,自2015年开始,医疗保健行业的数据泄露成本就一直位列榜首。2020年的平均总成本又比本行业2019年的水平增长了10%。
在发现和控制数据泄露的平均时间上,医疗健康行业的表现也是最糟糕的——平均需要236天发现数据泄露,再需93天遏制数据泄露。相比之下,表现最好的金融行业发现泄露时间和遏制泄露时间加起来也只要233天(177天发现,56天遏制)。
换句话说,当金融行业已经处理完数据泄露的同时,医疗行业甚至还压根没有发现出现了数据泄露事件。
在Verizon的《2021数据泄露调查报告》(2021 DBIR)中,医疗行业的表现也比较糟糕。调查录得472次经确认的数据泄露事件,也排在泄露数据的所有行业前三位。从数据泄露的类型来看,36%是交付错误,过往几年的情况一样。虽然性质上并不恶意,但这代表着基本的人为错误持续困扰着行业。
除此以外,在艺术和娱乐行业中也报告了一部分医疗信息泄露事件。通过进一步挖掘数据发现,这或许与相关的体育项目相关。这也表明,不要以为非医疗健康机构就没有医疗数据或者没有义务保护健康医疗数据。
为什么健康医疗数据安全风险在急剧增加?
那么,为什么医疗健康行业在数据安全上面临如此之大的风险呢?原因很简单,钱!在Verizon《2021数据泄露调查报告》中对数据泄露动机的调查,医疗行业有61%的威胁来自外部,91%的动机来自财务。
总的来说,医疗健康领域的数据风险主要分为数据不可用风险和数据泄露风险。
首先是数据不可用风险。与其他机构相比,医院信息系统比较特殊,绝大部分数据都属于需要紧急使用的信息。一旦被勒索病毒加密导致数据不可用,或使得系统发生故障都会对业务造成极大影响,直接影响到患者正常就医,甚至关系到患者生命安全。所以,医疗健康行业一般会想尽办法以最快速度恢复业务正常运作,乖乖交赎金的可能性更大。
其次,则是数据泄露风险。健康医疗数据具有极强的隐私性,个人属性数据包括个人姓名、住址、联系方式、社会保险号码、银行账号信息等海量信息。这些信息足以在黑市上卖个好价钱,还可能被人盗用身份,非法获取处方药甚至骗取保险。
一些公众人物的健康隐私一旦泄露更是会对其生活、工作带来严重负面影响。因此,这些健康医疗数据往往会被黑客盯上,以此索要金钱,或转手卖给狗仔获利。就在近日,某顶流歌星的植发照便被泄露公开,成为健康医疗数据泄露的最新受害者。这种情况在近年一再上演。
此外,大量医疗数据开始提供第三方开发测试使用,也容易造成个人隐私数据泄露。涉及国家人类遗传资源、基因编辑等高价值生物数据的新兴的生物技术产业,一旦发生数据泄漏,后果非常严重。
目前以医院为主的健康医疗数据安全隐患严重,行业普遍认为主要原因有以下几点。
第一,医院信息系统不是一个孤立系统,随着信息系统互联互通建设及健康医疗数据应用挖掘的进一步深入,缺乏足够准备的医院正在面临更多的外部安全威胁,被黑客入侵、网络攻击的风险将进一步加剧。
第二,相比对医疗质量安全的重视,医院的安全意识较为淡薄,管理制度也不完善。多数医院没有专门的信息安全管理组织及成套规范的管理体系,严重滞后于信息化发展速度。
举例来说,大多数医院内外网划分不清晰,缺少内外网隔离措施;同时,也没有部署终端安全管理和审计系统,甚至出现不合规终端也可随时接入内部网络的情况,导致终端安全事故发生后无法追查。
第三,医院信息系统的安全措施不够完善。比如,核心HIS系统运营缺少有效的安全保护措施和审计机制;医院门户网站缺少必要的安全保护措施,存在被SQL注入攻击、网站挂马的风险。
第四,医疗健康行业的患者信息、诊疗信息等一系列健康医疗数据具有很大的商业价值,渐渐受到灰色产业链的觊觎。
第五,医院对各类信息系统的依赖程度越来越高。比如,HIS系统就涉及到医院所属各部门对人流、物流、财流的全方位管理,患者就诊各环节都需与其直接挂钩,一旦核心信息系统出现问题,影响面巨大。
医疗事业部解决方案总监陈磊在接收动脉网采访时提到,大部分医疗行业的客户实际上并不知道自己的痛点在哪里。目前医疗健康行业对于数据安全的认知和意识不太够。很多时候医院其实并不清楚自己真正有多少数据资产,更不用说数据安全。
同时,多数机构在建设时没有整体规划,根据事件驱动做数据安全的某一个点的情况很多,疲于应付;最后,数据安全一直和政策力度关系较大。在目前政策和推广没有在行业细化到一定程度时,也会造成建设过程中的“迷茫期”。
正因为此,健康医疗数据安全状况愈发严重,已经到了迫在眉睫的地步。
近18个月政策12连发,健康医疗数据安全顶层规划逐步加码
数据安全一直是我国政府高度重视的领域。早在1994年2月,国务院就颁布了《计算机信息系统安全保护条例》,首次确定将在全国范围内实行计算机信息系统安全等级保护。
所谓“行业发展,立法标准先行”,在进入到二十一世纪后,我国开始完善健康医疗数据安全的顶层规划设计,并在近年来明显加大力度。
2007年5月,公安部发布《信息安全等级保护管理办法》。随后,国家质检总局和国家标准化管理委员会陆续制定和发布了《信息系统安全等级保护基本要求(GB/T22239-2008)》等国家标准,等级保护制度正式实施,也就是俗称的等保1.0。等保1.0被广泛应用于各个行业,在我国推进信息化建设过程中起到了至关重要作用。
以医疗健康行业来说,2011年12月,前卫生部发布《卫生行业信息安全等级保护工作的指导意见》。要求卫生行业按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作,并明确重要卫生信息系统安全保护等级原则上不低于三级。
2014年4月15日,在中央国家安全委员会第一次全体会议上首次提出包括信息安全在内的“总体国家安全观”重大战略思想。2015年颁布的《国家安全法》明确将数据安全纳入国家安全的范畴。从这时起,我国在健康医疗数据安全领域的政策开始快速推出。
为了使互联网安全监管和保护适应新时代技术要求,2017年6月,《网络安全法》成为我国网络安全领域的首部综合性立法。“网络安全”以立法形式进入我国顶层设计,对我国网络安全建设提出了更高标准和要求。并为后续的等级保护标准的更新奠定了法律基础。
国家卫健委则在2018年成立以后陆续通过各种政策强化医疗健康行业对数据安全的重视。2018年4月,国家卫健委发布了《全国医院信息化建设标准与规范(试行)》,对二级医院以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2018年,国家卫健委又先后发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》和《互联网医院管理办法(试行)》,明确规定承载健康医疗大数据的平台及承载互联网医院的平台必须通过规定级别的等保测试。
作为首部完全针对健康医疗数据安全的标准,《健康医疗信息安全指南》则借鉴了国外立法和标准的研究,尤其是美国HIPPA法案和ISO 27799、NIST800-66等标准,能解决健康医疗数据的融合共享和开放应用,让数据在为个人及国家利益服务的同时,也保证个人信息的安全和国家公共利益的需要。
从2020年开始,相关法规及标准的实施呈现出高强度的特点,从2020年至今18个月时间,政策已经“12连发”。
天鹏天元大数据总裁陆广林认为,从陆续出台的政策法规可以看出,国家对医疗行业数据安全高度重视。无论从医院、基层医疗机构信息化建设,还是当前发展火热的“互联网+医疗健康”、“医疗大数据”,再到一些基本惠民便民的传统医疗信息系统建设,以及国家出台的第一部卫生健康领域基础性、综合性法律,无不强调落实做好健康医疗网络信息与数据安全工作。
这些政策对于加强医疗健康行业的数据安全和系统网络安全水平起到了重要的作用,医疗机构及其从业人员的安全意识正在不断增强。以医疗机构网络安全等级保护实施情况为例,根据CHIMA《2019-2020年度中国医院信息化状况调查》,在1017家参与调查的医院中,超50%的医院有二级和三级网络安全保护备案系统。
同时,根据动脉网对某直辖市数家头部三甲医院医护人员的了解。目前,医院对于安全已经相当重视,不仅定期举行有关数据安全的培训演练,对于医护人员可能产生泄密的渠道也有相应的保护。
比如,医护人员工作站硬件上取消了USB接口,无法通过移动存储拷贝数据。在权限上则予以严格控制,若需复制数据则需要层层报批至上级领导。相比之下,部队医院对安全的要求更为严格,早年就已实施严格的管控。
数据安全一票否决,等保2.0将进一步加持健康医疗数据安全
不过,等保1.0制定的年代已经较为久远,造成一些新技术和新应用的等级保护规范缺乏,比如云计算、物联网等。其次,除传统的5步骤外,风险评估、安全监测和通报预警等工作不完善。最后是政策、标准、测评、技术和服务等体系不完善。
这使得等保1.0逐渐难以满足全球范围内移动互联网、云计算、大数据、工业互联网、人工智能、物联网等技术大量应用的现状。
因此,相关机构开始着手对现有等保标准进行更新。2019年5月,国家市场监督总局和国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》,并于 2019年12月开始实施,标志着我国进入等保2.0时代。
相比等保1.0,等保2.0的要求更加细化:其所包含的系统更加广泛,从原本的基础信息网络和信息系统扩展到了包括网络基础设施、信息系统、大数据中心、云计算平台、物联网、工控系统、移动互联网、智能设备等。
2020年底发布的《三级医院评审标准(2020年版)》则对安全实施“一票否决制”。在第一部分前置要求中提到“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果。”将直接延期一年评审。延期期间医院原等次取消,按照“未定等”管理。对于医院来说,若不重视安全将造成极其严重的后果。
同时,评审标准还提出“落实《网络安全法》,实施国家信息安全等级保护制度,实行信息系统按等级保护分级管理”的要求。这并非多此一举。事实上,就目前的情况而言,多数医院对于等保仅仅以最低限度的通过为标准,违背了等级保护的初衷。
前面我们提到在CHIMA《2019-2020年度中国医院信息化状况调查》中有超50%的医院有二级和三级网络安全保护备案系统。但是,其中仅有1个系统通过二级和三级等保备案的数量居多。
无论是三级保护备案还是二级保护备案,仅有一个系统通过的医院比例是最高的,分别为21.34%和19.76%,加上未通过的比例,意味着有多个系统通过备案的医院比例只有三成左右。
按照新的要求,三级医院应全面落实国家信息安全等级保护制度,实行信息系统按等级保护分级管理。如果没有开展等级保护工作,或者只将一个核心系统通过等保的医院,其安全工作显然是不够完善的。
一方面,部分医院是为了节约成本。举例来说,据动脉橙消息,2021年7月21日,广东省茂名市妇幼保健院发起等保2.0建设项目招标,其预算金额就达到了207.63万元,这对于多数医院来说不是一笔小数目。
深信服医疗事业部解决方案总监陈磊表示,等保建设需要一定的经费支持,有些医院对安全业务支持不够,费用审批比较紧张。此外,等保需要采购不少安全设备,在评测后,这些设备是否真正发挥安全价值医院并不清楚。
另外一方面,部分医院也存在被企业误导的情况,采取将多个系统打包合并成一个医院信息系统来通过测试。这一“捷径”并不可取。首先,大部分医院的信息化系统是较为独立的业务系统;其次,等保的初衷就是对不同等级的系统进行分级管理,对于核心系统重点保护,全部合一个系统显然是不合适的。
华中科技大学协和深圳医院信息科主任朱岁松对此认为,等保不是应付检查,而是加强企业自身安全;除了重要系统必须上等保,不同系统也应分级管理。
深信服医疗事业部解决方案总监陈磊也认为等保测评的推进目的不是为了单纯过等保,需要建设趋于实战化的安全体系:“目前,智慧医院建设过程中数据服务类型的应用越来越多。核心业务系统定义范畴从基础的HIS、EMR,再到临床数据中心、科研数据中心等不断发展和变化的,从安全建设来说,趋于实战化的安全体系建设,同时适配行业业务变化的安全建设才是未来的发展方向。”
政策仍需完善,技术同样重要
总体来看,尽管医疗健康数据安全的形势仍然较为严峻,但随着近年来的立法及标准制定,情况正在向可控的方向发展。
当然,在现行已颁布的法律法规及标准体系下,健康医疗数据安全的顶层设计仍然还存在着交叉和空白,配套制度的细则不够完善等问题。
以目前炙手可热的健康医疗大数据来说,天鹏天元大数据总裁陆广林便表示健康医疗大数据应用近几年兴起,法律法规还在跟进过程,在没有明确法律法规时会依据适用原则做为参考标准,如《个人信息保护法》《信息安全等级保护管理办法(试行)》等。
“目前在行业内、协会、学术团体里形成了一些标准与规范。比如广州市标准促进会就发布了《广东省健康医疗数据脱敏技术规范》。我认为这些标准规范通过实践完善后将形成国家标准。”他补充道。
深信服医疗事业部解决方案总监陈磊也提到,目前,数据安全的顶层设计在行业适配层面做的不够。数据安全的基础是数据的分级分类,这部分和传统网络安全有很大不同,需要非常强的技术和行业的适配结合。从每个医院的角度,其对数据的使用、管理、流程都不一致。因此,需要在细节标准去更加细化。
与此同时,安全技术也将在其中扮演更加重要的角色,并带动行业的发展。安全领域的分类相当细化,按照产品保护范围,网络安全产品可以分为端点安全、边界安全和云安全。其中,各个领域又有多个细分领域。
根据安全牛的定义,将安全细分为14项一级安全分类,106项二级细分领域,共计有347家国产安全企业。这些企业默默地在隐秘的战线上保护着我们的安全。那么,健康医疗数据安全行业的前景如何?哪些新兴产品和技术在医疗健康行业有较好的探索经验?接下来,动脉网将持续关注健康医疗数据安全,并推出系列文章,敬请期待。也欢迎广大读者提供相关话题及线索。
有话要说...