? 不久前���,“勒索病毒”給信息安全防護(hù)敲響的警鐘,仍在耳邊回響�����。而就在今天�,《中華人民共和國網(wǎng)絡(luò)安全法》開始正式施行,該法將網(wǎng)絡(luò)安全提高到了國家層面��,其也是醫(yī)療器械網(wǎng)絡(luò)安全的基本法則����。
???“大量調(diào)研發(fā)現(xiàn),醫(yī)療��、教育成為網(wǎng)絡(luò)病毒攻擊的‘重災(zāi)區(qū)’���。這可能導(dǎo)致醫(yī)療設(shè)備數(shù)據(jù)丟失���,以及患者信息、器械調(diào)配���、手術(shù)管理等出現(xiàn)錯誤���??梢哉f�����,醫(yī)療信息安全‘人命關(guān)天’����。當(dāng)前��,我國亟須加強(qiáng)醫(yī)療信息安全防護(hù)等級��?���!苯眨谇鄭u召開的“2017中國衛(wèi)生信息技術(shù)交流大會暨軟件產(chǎn)品與設(shè)備展覽會”上���,國內(nèi)醫(yī)療IT專家強(qiáng)調(diào)指出�����。
???“在很多大型醫(yī)療設(shè)備的售后服務(wù)中�����,廠商需要對在用設(shè)備的使用情況進(jìn)行實(shí)時監(jiān)測�。這就要求廠商與用戶簽訂一份信息保密協(xié)議。然而�����,目前并不是所有廠商都能做到這一點(diǎn)��。另外���,一些醫(yī)院管理者對個體��、群體隱私信息保護(hù)�,醫(yī)療軟件正版化等問題仍未引起足夠的重視��。有些醫(yī)院由于資金有限而采用非正版醫(yī)療軟件���,這樣很容易造成信息安全問題���。而最近‘勒索病毒’的攻擊敲響了警鐘。”東軟集團(tuán)高級副總裁盧朝霞對記者說�。
? ? 國內(nèi)外都曾發(fā)生嚴(yán)重醫(yī)療信息泄漏事件,近年來�,各國對此高度重視,相繼頒布了相關(guān)規(guī)范和標(biāo)準(zhǔn)��。記者了解到����,國際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了ISO17090:2008《衛(wèi)生信息-公共要素信息結(jié)構(gòu)》;美國頒布了《健康保險攜帶及責(zé)任法案》《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》等法規(guī)文件�����。其中����,美國的《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》要求制造商����、供應(yīng)商具備監(jiān)測醫(yī)療設(shè)備網(wǎng)絡(luò)安全的手段和預(yù)案;了解�、評估和監(jiān)測網(wǎng)絡(luò)安全風(fēng)險級別;建立網(wǎng)絡(luò)安全協(xié)作規(guī)則�����,分享網(wǎng)絡(luò)隱患信息和潛在事件;及時升級����、完善系統(tǒng)和技術(shù)修補(bǔ)措施,避免并解決因網(wǎng)絡(luò)安全問題造成的損失��、不良影響等��。
? ? 在我國��,從6月1日起�����,《中華人民共和國網(wǎng)絡(luò)安全法》正式施行�����。1月20日�����,國家食品藥品監(jiān)管總局發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則》���。這是對醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求�,要求制造商根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報(bào)資料。
? ? 目前����,醫(yī)療設(shè)備使用環(huán)節(jié)主要存在哪些信息安全風(fēng)險,面臨什么困難����,對信息安全建設(shè)又有什么訴求?此次青島大會上發(fā)布的《數(shù)據(jù)至上���,業(yè)務(wù)安全——2017年醫(yī)療行業(yè)信息安全調(diào)查報(bào)告》(以下簡稱《報(bào)告》)��,基于對100家醫(yī)療衛(wèi)生機(jī)構(gòu)��、907家三甲醫(yī)院網(wǎng)站、4663個醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本進(jìn)行的調(diào)研���,為這些疑問提供了專業(yè)分析和建議���。
? ? 調(diào)研顯示,我國三級甲等綜合醫(yī)院的信息安全水平存在較大差異�����。在基礎(chǔ)物理和網(wǎng)絡(luò)環(huán)境方面,38%的機(jī)構(gòu)有自動電力調(diào)度�����。對4663個醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本的風(fēng)險檢測發(fā)現(xiàn)�����,排名前5位的風(fēng)險依次是:域名信息泄露���、惡意代碼���、異常流量、僵尸網(wǎng)絡(luò)���、IP被封���。
? ? 從外部威脅來看,65%的醫(yī)療機(jī)構(gòu)認(rèn)為網(wǎng)絡(luò)被攻擊�����、對外通信中斷是最重大的網(wǎng)絡(luò)安全風(fēng)險;其次是竊取患者身份�����、病例或治療信息��。從內(nèi)部威脅來看�����,68%的機(jī)構(gòu)認(rèn)為員工安全意識淡薄是目前最大的挑戰(zhàn)�����;其次是系統(tǒng)以及數(shù)據(jù)管理存在漏洞���;第三是系統(tǒng)訪問權(quán)限混亂�。
? ? 在移動醫(yī)療風(fēng)險控制領(lǐng)域����,近50%的受訪機(jī)構(gòu)選擇依賴外包商的安全開發(fā)能力來保證應(yīng)用安全�����,42%的受訪單位已經(jīng)采購第三方安全測評來保證應(yīng)用安全。
? ? 調(diào)研結(jié)果還顯示����,在信息安全建設(shè)需求方面,近半數(shù)的醫(yī)療機(jī)構(gòu)認(rèn)為安全管理制度�、業(yè)務(wù)流程安全、數(shù)據(jù)庫安全�����、安全審計(jì)�、應(yīng)用審計(jì)、網(wǎng)絡(luò)安全架構(gòu)����、主機(jī)安全和密碼安全等方面亟待建設(shè)和完善。
? ? “網(wǎng)絡(luò)安全����、數(shù)據(jù)安全、應(yīng)用系統(tǒng)安全��、管理安全都需要加強(qiáng)�����。醫(yī)療信息安全解決方案并非獨(dú)立的模塊,其應(yīng)當(dāng)結(jié)合醫(yī)療業(yè)務(wù)需求�,與醫(yī)療流程整合,涉及加密���、解密等眾多環(huán)節(jié)��,并需要保證系統(tǒng)運(yùn)行速度��。這就要求網(wǎng)絡(luò)安全����、醫(yī)療行業(yè)��、主管部門等各方面的專家組成聯(lián)合攻關(guān)組�����,一同制定信息安全解決方案����。”盧朝霞說���。
? ? 《報(bào)告》就此提出:醫(yī)療機(jī)構(gòu)在應(yīng)對醫(yī)療數(shù)字化風(fēng)險時�����,首先要優(yōu)先滿足業(yè)務(wù)需求���,其次要最大限度地預(yù)防和控制安全風(fēng)險。鑒于醫(yī)療行業(yè)的特殊性����,醫(yī)療機(jī)構(gòu)需要依據(jù)標(biāo)準(zhǔn)化、系統(tǒng)化的安全控制指南���,聯(lián)合國內(nèi)擁有醫(yī)療信息安全服務(wù)經(jīng)驗(yàn)的廠商��,共同進(jìn)行系統(tǒng)架構(gòu)的整體設(shè)計(jì)和運(yùn)營維護(hù)管理�,從源頭防范醫(yī)院信息安全風(fēng)險��。