随着医疗行业信息化建设快速发展,其应用终端数量激增,加之线上业务、云服务技术等逐渐普及,医疗行业数据呈几何式增长,已成为医疗企业最具价值的核心资产之一。同时因为医疗数据的高敏感性,一旦发生泄漏必将产生严重的后果,这也导致医疗企业对数据安全越来越重视。
◆ 2021年4月,8.9万新生儿和产妇的个人信息从某市医院泄漏出来,这些泄漏出来的信息,被转卖给母婴服务中心用于推销服务;
◆ 2021年6月,一起医院外包软件运维人员非法下载“统方”数据并出售牟利,严重违反了国家相关规定。
基于医疗行业数据的特殊性,面对当前日益严峻的医疗数据安全风险形势,国家及行业高度重视。尤其是在《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》三大法律法规相继发布实施后,从法律层面严格要求加强对医疗数据的安全保护。
《数据安全法》中明确规定:“各部门应当按照数据分类分级保护制度,确定本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。”
《个人信息保护法》中规定“只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息”,这里提到的敏感个人信息就包括医疗健康信息。
威胁与挑战
作为中国新一代信息安全技术企业的代表厂商,明朝万达深耕数据安全领域十余年,其安全专家认为当前医疗行业面临的数据安全风险主要体现在以下方面:
1、终端设备管理问题
医疗机构在准入控制、终端安全管理、配发终端管理、设备资产安全管理方面存在安全风险,相应管理制度和安全技术缺乏。
2、数据安全管理问题
医疗机构的数据安全意识在逐渐增强,但制度建设相对滞后,没有建立起统一的数据管控机制。同时随着“互联网+”等新形态逐步渗透至医疗行业的各个环节,从客观上打破了医疗行业数据相对封闭的使用环境,导致医疗数据泄漏方式和泄露风险增加。
3、IT运维管理问题
医疗行业数据因其价值和高敏感性深受不法分子觊觎,很容易引发来自互联网的外部攻击行为。目前医疗机构IT运维管理中存在的问题包括:主机管理复杂、远程技术支持无法及时应急响应、批量下发与删除处理能力缺乏等。对医疗行业而言,安全相关方不仅是医院,还包括医保局、药品监督管理局等上级单位,和医疗挂钩的保险公司、系统运维、医药厂家等第三方机构,以及医疗数据的直系关联对象普通民众。
建设思路
目前看来,医疗行业相关数据类别多、复杂程度高,数据分类分级标准尚处于缺失的状态。
· 医疗数据类别多样
医院常规临床诊治、科研和管理过程中产生的各种门急诊记、住院记录、影像记录、实验室记录、用药记录、手术记录、随访记录和医保数据等,以及HIS、LIS、PACS等系统提供的数据。
· 医疗数据复杂性高
医疗数据一方面包含有大量医学专业用语,数以万计的疾病、诊断、手术和药物名称,以及大量的影像、医嘱等非结构化数据;另一方面医疗数据是不同临床诊疗服务过程中的产物,数据之间关系复杂且很容易受到各种因素的影响,致使某些数据带有偏倚性。一般来说,医院之间在很多方面是会有差别的,如病人的个体特征和疾病程度、医院的诊断和治疗水平、医疗数据的记录和编码水平等。对此,明朝万达安全专家认为:数据安全是医疗信息安全体系的重要组成部分和核心目标之一。面对医院复杂的数据现状,只通过单一技术或管理措施是远远不够的,必须要通过整体的信息安全保障体系设计与实施方能实现。针对医疗行业面临的数据安全安全风险和挑战,结合医疗信息系统及数据使用的特点,明朝万达依托自主研发的数据安全系列产品提出构建一套集合云、网、端一体化的数据安全管控体系及数据安全动态防御集中管控体系。
△ 明朝万达医疗行业数据安全管理统一平台
另外,医疗行业数据除了包含病人隐私信息外,还包含有大量关于医院运转、诊疗方法、药物疗效等敏感信息,有些甚至涉及商业利益。当下医疗机构在对该类敏感数据进行清理时没有统一的分类分级标准,导致耗费巨大人力物力成果却不明显。基于以上情况,明朝万达结合国家分类分级标准,参考在其他领域的分类分级建设基准,提出了一整套分类分级办法和智能数据治理平台以帮助解决医疗数据分类分级难题。同时,明朝万达根据医疗数据安全不同的相关方设计了针对性的解决方案及建设思路。
医院数据安全解决方案
做好分类分级管理,建立健全数据安全管理制度
医院内部数据大致可分为诊疗数据、研发数据、患者数据、支付&医保数据四种类型,数据覆盖面广、数据量大、涉及用户多。为切实做好医疗数据安全防护工作,根据我国相关法律法规,根据数据对于医院的重要程度,对数据进行安全级别划分,使数据能够得到适当的安全防护。
· 数据分类分级标准制定及管理
数据在保密性、完整性、可用性方面的需求进行安全级别划分,借鉴国外医院及国内其他行业的数据分级策略,将医学数据分类存储,分级设置权限,在不丢失数据信息基础的同时,保证数据安全。另外根据数据的分级制定数据加密存储规则,根据数据敏感程度,进行分级加密。鉴于可操作性原则,建议将医院数据分为三到四个安全级别,如划分为公开数据、一般业务数据、内部敏感数据、机密数据四个安全级别。
基于数据全生命周期,制定数据安全防护策略
数据是信息系统的核心,对于数据的访问可能来自于多个途径,基于数据分类分级梳理医院数据资产状况,明确数据由谁产生、如何存储、如何传输、被哪些对象使用、如何使用、可能被哪些业务系统访问、访问路径以及敏感数据分布情况,并按照数据采集、传输、存储、处理、交换和销毁整个生命周期的各个阶段对数据安全风险进行分析评估。结合医院网络、数据中心、业务系统、办公终端等多个业务场景方面,制定相应数据安全防护策略。
· 终端层面防护
加强终端数据安全管理,通过终端监控方式监控来自多种网络通道的外发数据,帮助医院保护敏感数据通过Web、终端外设、打印、刻录、IM通讯、远程连接、FTP、文件共享等诸多渠道的敏感文件外发控制、审批,同时对终端上存储的静态文件实时监控与周期性扫描,进而实现对通过各种方式泄露的敏感信息进行监控,发现并记录网络外发的敏感数据泄漏事件。
· 网络层面防护
加强网络数据防泄漏防护,对网络中传输的敏感信息进行安全审计和管控,利用关键字、正则表达式、文件指纹、自然语言处理等规则,对医院外发数据进行解析与扫描,实时识别、监控、保护医院敏感数据。对即将发生、正在发生的泄漏敏感数据行为按照预置策略及时阻断并告警,防止医疗敏感数据传输到医院外部,实现对医院外发敏感数据的可知、可见、可控。其次,针对医院与第三方公司合作开发新系统或新功能,可以使用脱敏数据产品,对数据中的证件号、联系方式、地址、特殊病例等比较敏感的数据进行屏蔽、替换、随机化、加密等处理,防止真实数据泄漏。此外,医护人员使用数据时,比如医护人员在门急诊断、科研实验中需要调用到患者信息及研发数据,需由医院领导及信息中心等部门需要授权相关的数据信息,才能使用数据,保证数据在医院内部使用的合规性。
· 云端层面防护
增加云访问安全代理,当医院将自己的服务部署在云端时,时常会遇到服务被非法入侵或数据被窥视的现象,使用CASB反向代理将服务真实地址隐藏,加上CASB内置的安全模块,可有效保障医院的服务及数据的安全。当医院使用云存储服务时,存储的数据或文件被大数据引擎窥视分析,甚至被暴力入侵,此时CASB的正向代理服务内置的安全服务可对上云文件进行密级加密或DLP扫描,有效保障上云文件安全的同时确保医院敏感信息外泄。
建立统一安全集中监控与审计平台,实时掌控数据安全
随着医疗行业的发展完善,医院逐渐扩大其业务系统和建设相对应的数据中心,医疗数据不断积累和变化。为快速发现、处理数据安全风险,可以通过部署明朝万达安全集中监控与审计平台管理数据资产状况,以数据视角对整个数据生命周期过程进行全方位的实时监视,记录数据活动和用户行为,及时发现数据存在的风险、威胁、漏洞以及数据的异常访问、用户的异常操作等事件,同时可生成数据合规报告,保证入侵、破坏、泄露、篡改敏感数据的行为事前能被发现,事中能被拦截和监查,事后能被审计追溯,从而确保数据全生命周期的安全。
上级单位数据安全解决方案
--医保局、疾病管控中心
制定数据分类分级标准,建立数据安全防护制度
上级单位(医保局和疾病管控中心)的数据来自当地各个市区的医院,但与医院不同的是:上级单位获取数据的目的在于更好地进行管控与调度,并不会不直接对外。因此针对该类数据的分类分级可以从业务系统与《数据安全法》的标准进行结合。
· 数据分类分级标准制定及管理
数据分级应依据以下原则:数据分级是按照数据敏感程度进行划分;就高不就低原则,如果同一批数据中各属性或字段的分级不同,需要按照定级最高的属性或字段的级别实施安全管控。考虑到可操作性,大致分成七大类和三大密级。
数据共享标准制定及管理,建立数据授权查询机制
根据实际情况,对合作涉及的数据按照敏感程度进行分类和定级,同时对所有级别数据制定详细的管控要求。原则上各个级别按照自身级别的管控要求处理输出。若对外提供的数据中有敏感级别不同的数据,且不能分别处理输出的,则按照高敏感级别数据的管控要求处理输出。数据对外开放安全管控可依据“谁提供,谁负责”的原则实施管理。我们以三个等级的数据作为举例。
· 第三等级数据
不能离开平台网络环境,严禁以任何形式(包括原始数据、脱敏数据、标签数据、群体数据)对外开放;
· 第二等级数据
原始数据:禁止向业务合作方提供第三级原始数据;在个体授权、业务管理部门和信息安全管理部门审核后方可向业务合作方提供用户数据验证服务。脱敏数据:需要在用户授权、业务管理部门和信息安全管理部门审核后方可向业务合作方提供其他第三级脱敏数据对外提供通过业务管理部门和信息安全管理部门审核即可。标签数据:需要在用户授权、业务管理部门和信息安全管理部门审核后方可向业务合作方提供,其他第三级标签数据通过业务管理部门和信息安全管理部门审核即可。群体数据:在业务管理部门和信息安全管理部门审核后方可向业务合作方提供。
· 第一等级数据
在数据中,原始数据需要取得用户授权或者具备第三方授权协议,并通过业务管理部门和信息安全管理部门审核后方可对外开放;其他第一级各类数据可以对外开放。在满足相关保密制度要求市场和业务安全策略及规模严格受控的前提下,可向第三方提供标签数据查询服务。
管理层面
确定安全负责人,落实数据安全无论是数据安全保护活动的开展还是法律义务的承担,“责任人”的落地必不可少。根据法律的规定,在医疗行业处理重要数据的情形下,还应当明确数据管理机构。除了应当设置专门安全管理机构之外,还应当对负责人和关键岗位人员进行安全背景审查。另外,对于业务系统由第三方企业平台维护的,医疗方需和第三方企业、平台签订保密协议,从数据保密义务和数据安全管理等层面进行操作规范约束,明确维护人员的责任和义务,防止数据泄露。
加强宣传教育,培养数据安全思维
对各单位的数据管理员进行数据安全宣传和培训,宣传国家数据安全政策,加强数据管理员数据安全意识,提高数据使用方的数据安全技术。同时可通过在医护人员和卫生健康从业者中开展“网络安全日”和“数据安全宣传周”等宣传活动,普及《数据安全法》及相关知识,提高医疗数据安全保护意识和水平,形成医疗行业共同维护数据安全和促进发展的良好环境。