全国医疗机构网络信息安全管理办法将出台
2021-08-17
来源: 中国信息安全
“全国医疗机构网络信息安全管理办法正在起草中,不久将会出台。”一消息人士近日在中国互联网大会上透露,新冠疫情暴发后,全球医疗健康数据频繁受到黑客攻击,国内开始重视医疗健康数据的价值,希望通过立法、加强监管等多维度方式提升医疗健康数据的整体安全水平。
医疗健康数据被广泛应用
医疗健康数据广泛应用在日常生活的多种场景中。比如,通过大数据高效分析用药成分、剂量时间等情况,寻找合理用药的最佳组合;通过大量临床数据进行科学分析找到病因,并进行临床病因分析和慢病监测;通过对基因序列大量分析,快速筛查和预测疾病和潜在基因缺陷的基因组学分析;对患者进行远程疾病数据采集后,结合大量临床病因数据分析,实现远程医学诊疗;通过智能可穿戴设备收集数据,实现人体生命体征检测,预警潜在健康风险,进行健康管理;应用大数据等算法,制定医保支付标准,并基于此进行精准的医保决策分析等等。
卫健委医院管理研究所副所长王凯表示,医疗行业关系国计民生,医疗数据一旦遭到篡改、破坏和泄露,势必对医疗机构的声誉、医患双方的隐私及健康安全构成严重威胁,甚至影响社会的和谐稳定。
中国信通院云计算与大数据研究所副所长魏凯告诉记者,基于医疗大健康数据的敏感性,2016年至今,国家相继出台了不少医疗健康数据安全政策进行规范,包括《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《互联网医院管理办法》、《远程医疗服务管理规范》、《国家健康医疗大数据标准、安全和服务管理办法》、《人类遗传资源管理条例》、《数据安全法》等法律法规。
“即使有如此多法规,医疗健康数据安全事件频发,数据安全形势非常严峻。”他说,尤其是疫情后,数据安全的风险进一步加剧了。
疫情后健康数据安全风险加剧
2020年4月,世界卫生组织发表声明称,疫情期间遭受网络攻击数量同比增长5倍。奇安信集团发布网络安全系列报告指出,2020年疫情暴发后,医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域,成为全球APT(黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为)活动关注的首要目标。全球23.7%的APT活动事件与医疗卫生行业相关。中国首次超过美国、韩国、中东等国家和地区,成为全球APT活动的首要地区性目标。
安天科技集团董事长肖新光透露,抗击疫情期间,我国的卫生医疗系统、疫苗研究机构、科研院所等曾频繁遭遇网络入侵攻击。2020年4月,中国医疗公司AI检测新冠病毒技术实验数据源代码被黑客窃取并出售。
在疫情期间,医疗机构个人和患者信息泄露事件更是频发。2020年1月,某市区卫生管理部门领导通过微信转发新冠病人报告。2020年11月,某市区卫生管理部门领导为提醒辖区内某单位做好防疫工作,将“疑似密接调查情况简介”微信转发,造成该辖区内单位将此信息大规模群发。
此外,远程网络诊疗方式在疫情后被人们普遍接受,全国不少医院都在申请互联网医院、智慧医院。业内人士指出,由于使用网络传递诊断数据、照片等信息,医疗健康数据的不安全风险可能会进一步加剧。
据悉,目前医疗健康不安全风险主要体现在八个方面,
一是在线医疗数据:检验报告、诊断结果、既往病史等健康医疗数据存在因漏洞攻击、病毒感染等,导致的非法访问、窃取篡改和恶意上传等风险;
二是医联体访问数据:医联体以及第三方服务机构人员在对敏感数据进行访问浏览的过程中,均可能导致医患隐私等重要信息面临泄露风险;
三是临床科研数据:临床科研数据涉及人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例以及患者报告,传输过程中一旦发生泄露,后果非常严重;
四是医保数据:医保数据涉及与第三方机构对接,在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险;
五是医疗设备维保数据:医疗器械厂商在进行远程医疗设备维护保养时,数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险;
六是健康大数据中心数据:分类分级机制缺失导致将非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全隐患;
七是可穿戴健康设备数据:可穿戴设备数据在采集、存储、使用阶段均存在着不同程度的安全隐患;
八是医疗健康APP数据:移动应用涉及众多在线健康医疗服务、存在泄露个人健康状况数据、支付数据、卫生资源数据以及公共卫生信息的隐患。
多维度提升数据安全整体水平
“还有一些健康敏感数据也在非法出境。国内某知名医院领导与国外公司达成合作协议,非法启动某敏感数据科研项目,国外这家公司对该科研项目样本数据具有远程不受限制的访问权。”一位业内人士指出,面对复杂的形势,医疗机构等相关部门需要多维度提升医疗健康数据安全整体水平。
魏凯指出,一方面加强监管,推动制定、完善卫生健康行业数据安全管理办法出台。另一方面,制定完善医疗健康数据安全配套标准体系,建立行业合作机制,协同创新、开放共享。
“北京卫生健康委制定了北京互联网医院监管平台,要求北京市开展互联网诊疗服务的医疗机构均需与监管平台对接,接受平台监督。”北京卫生健康委信息中心副主任郑攀说,截至今年6月,北京市共审批了19家互联网医院,已全部对接监管平台。
据悉,互联网医院监管平台内容包括,升级已建的医政医管电子化注册平台,实现机构、医师、护士电子证明、救护车以及医疗广告等医疗资源的管理;建设医疗服务与执业监管平台,实现互联网医院审批及互联网诊疗的实时动态监管;建设医疗服务与执业监管平台,建设医疗服务、诊疗行为等信息的采集系统以及数据展示系统,实现对实体医疗机构医疗资源与医疗服务的监管。