? 不久前���,“勒索病毒”給信息安全防護(hù)敲響的警鐘�����,仍在耳邊回響�。而就在今天���,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》開始正式施行�����,該法將網(wǎng)絡(luò)安全提高到了國(guó)家層面�,其也是醫(yī)療器械網(wǎng)絡(luò)安全的基本法則��。
???“大量調(diào)研發(fā)現(xiàn)��,醫(yī)療�、教育成為網(wǎng)絡(luò)病毒攻擊的‘重災(zāi)區(qū)’�����。這可能導(dǎo)致醫(yī)療設(shè)備數(shù)據(jù)丟失����,以及患者信息、器械調(diào)配�����、手術(shù)管理等出現(xiàn)錯(cuò)誤?��?梢哉f(shuō)���,醫(yī)療信息安全‘人命關(guān)天’。當(dāng)前�����,我國(guó)亟須加強(qiáng)醫(yī)療信息安全防護(hù)等級(jí)���?�!苯?����,在青島召開的“2017中國(guó)衛(wèi)生信息技術(shù)交流大會(huì)暨軟件產(chǎn)品與設(shè)備展覽會(huì)”上��,國(guó)內(nèi)醫(yī)療IT專家強(qiáng)調(diào)指出����。
???“在很多大型醫(yī)療設(shè)備的售后服務(wù)中,廠商需要對(duì)在用設(shè)備的使用情況進(jìn)行實(shí)時(shí)監(jiān)測(cè)��。這就要求廠商與用戶簽訂一份信息保密協(xié)議��。然而�����,目前并不是所有廠商都能做到這一點(diǎn)�。另外,一些醫(yī)院管理者對(duì)個(gè)體��、群體隱私信息保護(hù)�����,醫(yī)療軟件正版化等問(wèn)題仍未引起足夠的重視��。有些醫(yī)院由于資金有限而采用非正版醫(yī)療軟件����,這樣很容易造成信息安全問(wèn)題��。而最近‘勒索病毒’的攻擊敲響了警鐘��。”東軟集團(tuán)高級(jí)副總裁盧朝霞對(duì)記者說(shuō)����。
? ? 國(guó)內(nèi)外都曾發(fā)生嚴(yán)重醫(yī)療信息泄漏事件,近年來(lái)�,各國(guó)對(duì)此高度重視,相繼頒布了相關(guān)規(guī)范和標(biāo)準(zhǔn)�����。記者了解到����,國(guó)際標(biāo)準(zhǔn)化組織(ISO)發(fā)布了ISO17090:2008《衛(wèi)生信息-公共要素信息結(jié)構(gòu)》;美國(guó)頒布了《健康保險(xiǎn)攜帶及責(zé)任法案》《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》等法規(guī)文件����。其中,美國(guó)的《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》要求制造商��、供應(yīng)商具備監(jiān)測(cè)醫(yī)療設(shè)備網(wǎng)絡(luò)安全的手段和預(yù)案��;了解��、評(píng)估和監(jiān)測(cè)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)級(jí)別;建立網(wǎng)絡(luò)安全協(xié)作規(guī)則��,分享網(wǎng)絡(luò)隱患信息和潛在事件����;及時(shí)升級(jí)、完善系統(tǒng)和技術(shù)修補(bǔ)措施�����,避免并解決因網(wǎng)絡(luò)安全問(wèn)題造成的損失�、不良影響等。
? ? 在我國(guó)�����,從6月1日起���,《中華人民共和國(guó)網(wǎng)絡(luò)安全法》正式施行�����。1月20日���,國(guó)家食品藥品監(jiān)管總局發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)指導(dǎo)原則》���。這是對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求�����,要求制造商根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊(cè)申報(bào)資料��。
? ? 目前���,醫(yī)療設(shè)備使用環(huán)節(jié)主要存在哪些信息安全風(fēng)險(xiǎn)��,面臨什么困難�����,對(duì)信息安全建設(shè)又有什么訴求����?此次青島大會(huì)上發(fā)布的《數(shù)據(jù)至上�,業(yè)務(wù)安全——2017年醫(yī)療行業(yè)信息安全調(diào)查報(bào)告》(以下簡(jiǎn)稱《報(bào)告》),基于對(duì)100家醫(yī)療衛(wèi)生機(jī)構(gòu)�、907家三甲醫(yī)院網(wǎng)站、4663個(gè)醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本進(jìn)行的調(diào)研�,為這些疑問(wèn)提供了專業(yè)分析和建議�����。
? ? 調(diào)研顯示����,我國(guó)三級(jí)甲等綜合醫(yī)院的信息安全水平存在較大差異��。在基礎(chǔ)物理和網(wǎng)絡(luò)環(huán)境方面���,38%的機(jī)構(gòu)有自動(dòng)電力調(diào)度�。對(duì)4663個(gè)醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本的風(fēng)險(xiǎn)檢測(cè)發(fā)現(xiàn)��,排名前5位的風(fēng)險(xiǎn)依次是:域名信息泄露��、惡意代碼�����、異常流量�����、僵尸網(wǎng)絡(luò)��、IP被封。
? ? 從外部威脅來(lái)看���,65%的醫(yī)療機(jī)構(gòu)認(rèn)為網(wǎng)絡(luò)被攻擊�、對(duì)外通信中斷是最重大的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)���;其次是竊取患者身份、病例或治療信息��。從內(nèi)部威脅來(lái)看�����,68%的機(jī)構(gòu)認(rèn)為員工安全意識(shí)淡薄是目前最大的挑戰(zhàn)����;其次是系統(tǒng)以及數(shù)據(jù)管理存在漏洞;第三是系統(tǒng)訪問(wèn)權(quán)限混亂����。
? ? 在移動(dòng)醫(yī)療風(fēng)險(xiǎn)控制領(lǐng)域,近50%的受訪機(jī)構(gòu)選擇依賴外包商的安全開發(fā)能力來(lái)保證應(yīng)用安全���,42%的受訪單位已經(jīng)采購(gòu)第三方安全測(cè)評(píng)來(lái)保證應(yīng)用安全����。
? ? 調(diào)研結(jié)果還顯示,在信息安全建設(shè)需求方面��,近半數(shù)的醫(yī)療機(jī)構(gòu)認(rèn)為安全管理制度��、業(yè)務(wù)流程安全��、數(shù)據(jù)庫(kù)安全�����、安全審計(jì)��、應(yīng)用審計(jì)����、網(wǎng)絡(luò)安全架構(gòu)、主機(jī)安全和密碼安全等方面亟待建設(shè)和完善�。
? ? “網(wǎng)絡(luò)安全、數(shù)據(jù)安全�、應(yīng)用系統(tǒng)安全、管理安全都需要加強(qiáng)�。醫(yī)療信息安全解決方案并非獨(dú)立的模塊,其應(yīng)當(dāng)結(jié)合醫(yī)療業(yè)務(wù)需求�,與醫(yī)療流程整合�����,涉及加密����、解密等眾多環(huán)節(jié)����,并需要保證系統(tǒng)運(yùn)行速度���。這就要求網(wǎng)絡(luò)安全�����、醫(yī)療行業(yè)��、主管部門等各方面的專家組成聯(lián)合攻關(guān)組�����,一同制定信息安全解決方案�?!北R朝霞說(shuō)�。
? ? 《報(bào)告》就此提出:醫(yī)療機(jī)構(gòu)在應(yīng)對(duì)醫(yī)療數(shù)字化風(fēng)險(xiǎn)時(shí)�,首先要優(yōu)先滿足業(yè)務(wù)需求,其次要最大限度地預(yù)防和控制安全風(fēng)險(xiǎn)��。鑒于醫(yī)療行業(yè)的特殊性����,醫(yī)療機(jī)構(gòu)需要依據(jù)標(biāo)準(zhǔn)化、系統(tǒng)化的安全控制指南���,聯(lián)合國(guó)內(nèi)擁有醫(yī)療信息安全服務(wù)經(jīng)驗(yàn)的廠商����,共同進(jìn)行系統(tǒng)架構(gòu)的整體設(shè)計(jì)和運(yùn)營(yíng)維護(hù)管理��,從源頭防范醫(yī)院信息安全風(fēng)險(xiǎn)�。