由中央宣传部、中央网信办、教育部、工业和信息化部等联合主办的2020年国家网络安全宣传周,刚刚落下帷幕。
本届宣传周的主题为“网络安全为人民,网络安全靠人民”。以线上宣传为重点,线上线下相结合,通过“云展览”、线上论坛等多种方式深入开展宣传教育活动。同时,从14日到20日期间,在全国范围内举办了校园日、法治日等系列主题日活动,进一步提高群众的网络安全意识。
进入大数据时代,越来越多的个人健康信息连入网络。人们在看病挂号、买药登记等场合,轻松实现一码就医,一键急救等医疗服务。特别是今年新冠病毒疫情发生以来,健康码的推出,极大加强了政府对重大突发公共卫生事件的治理能力,提高了疫情防控的快速反应能力。
虽然信息化的连接特性带来了极大的便捷,但同时也增加了医疗信息数据泄露的风险,这对医疗机构的数据管理、信息安全提出了巨大挑战。
医疗行业成为网络攻击的重灾区
美国最大电信运营商威瑞森电信Verizon在2018年发布的一篇网络安全报告显示,在全世界范围内,医疗行业是内部威胁高于外部威胁的唯一一个行业。因为医疗作为关乎民生的重要行业,一旦数据泄露,不仅影响医院公众形象,甚至损害患者的个人利益,对医患关系产生严重不良影响。
2019年,国家互联网应急中心发布的《2019 年上半年我国互联网网络安全态势》显示,医疗行业成为网络攻击的重点行业对象,其中医疗健康行业暴露相关数据管理系统709个,涉及医学信息和基因检测2大类。
(图片来自网络)
2017年7月份,江苏昆山警方发布了全国首例侵犯公民个人健康生理信息案件。犯罪嫌疑人大量窃取、买卖男科、妇科、整形美容等方面的个人隐私信息,涉案公民信息超过1000万条。
2018年2月,湖南省某三甲专科医院也被爆疑似遭遇勒索病毒,要求院方在6小时内为每台中招机器支付1个比特币(约合人民币6.6万元);6月,由于上海市医疗保险信息系统发生故障,病人无法使用医保卡挂号或结算,这一故障持续了4个小时,导致各个医院的窗口排起了长长的队伍;7月,武汉警方披露,打掉了一个盗窃、贩卖美容整形医院客户信息的特大犯罪团伙,涉案12人,全国多省市120多家美容医院的客户信息遭到窃取。
2019年2月28日,岳阳市区某医疗美容医院门户网站遭到入侵,网站页面被篡改,发布招嫖信息。
在国外,个人医疗信息被泄露同样严重。
2017年,洛杉矶比佛利山著名的整形外科医生Zain Kadri报警,他的诊所遭到一名解雇的员工涉嫌盗窃诊所病人资料,除了财务信息外,有15000多名病人的私人信息面临被泄露的威胁,其中包括偷拍的病人在接受手术时的照片。而这家诊所的客户都是洛杉矶最有名气和最有钱的人。
同年,据美国新闻网站Daily Beast(《每日野兽》)报道,全球知名整形美容医院London Bridge Plastic Surgery (LBPS) 的数据库被不法组织Dark Overlord攻击,获取了大量的隐秘信息。被盗取信息包含了众多英国皇室成员和明星艺人等病人的的名字、住址、手术私照。
由此可见,医疗信息的泄露,不仅仅给医疗机构造成经济损失,更会引起严重的公众恐慌等重大社会舆情事件。
民营医疗机构信息化安全建设的重要性
为什么不法分子更愿意盯上医疗信息?
从上面的案例可以总结,造成医疗信息泄露的动机主要有以下三种:第一,经济利益驱动;第二,出于猎奇或娱乐心理而窥探名人的隐私;第三,获取信息成本低等。
另外,医疗信息泄露从安全隐患的表现形式来看,分为内部和外部两种。外部是不法入侵,另一种则是内部从业人员不规范操作导致医疗数据的泄漏。
由此看出,整形机构特别是民营整形机构,更容易成为医疗信息泄露的重灾区。
这不仅因为整形机构的客户信息有许多隐私的经济价值,而且大多数民营整形医疗机构的信息化建设和管理相对比较薄弱,盗取信息的成本较低。
由于我国医疗卫生网络信息化建设起步较晚,不同医院的医疗信息化与资源不匹配,医疗信息安全化建设对民营医疗机构特别是中小医疗企业而言,将面临更多实际问题。
据国家卫生健康委统计信息中心统计,近十年来,我国社会办医疗机构总数增长了242.13%,并以年13.08%的速度递增。截止2019年6月底,随着资本加大投入,社会办医院数量(21349家)是公立医院数量(11941家)的1.787倍,占比64%。
民营医疗机构的快速发展,其信息化成熟度建设不容忽视。民营医疗机构如何建立高度完善的数字化医疗管理体系?如何培养懂医疗、懂管理、懂信息的复合型医疗管理人才?
参与《中国整形美容协会互联网医美分会互联网医美行业规范指南》(草案)编写的宏脉信息技术(广州)股份有限公司CEO黄晖表示,加强安全技术防范是医院信息化建设的客观要求,是医院信息化建设过程中必须坚守的一道防线。民营医疗企业信息化建设中要做到“5化”,即诊疗流程规范化、院内管理标准化、连锁经营移动化、商业决策数据化、营销轨迹网络化。每一步流程均开启智能可视化服务,实现诊疗信息记录完整化,这样就可做到安全追溯、责任到人。
至于现在市面上盛行SaaS部署,但是为什么一直走在医美软件行业前端的宏脉不选择SaaS架构?
黄晖认为,数据是民营医疗机构的核心资产。医疗美容机构跟公立医院不一样,公立医院不需要拓客,不用营销,而医美机构的客户数据是其持续运营的核心资产。正因为宏脉掌握其管理规律,发现私有化部署更适合医美机构的信息安全管理。所以,从技术到应用,宏脉都确保医院数据的安全。
宏脉医美经营管理系统最新版本采用的是第三代核心数据加密的信息化立体经营管理体系——CS/BS混合架构+云计算模式。使用成熟机制,所有数据掌控在医院自己手中。软件和数据库安装在医院的局域网独立服务器内,双重结构加密保障数据安全(即存储加密、传输加密),即使是软件供应商也无法接触到医院的任何信息,同时还能根据医院的需要提供独立的私有云备份、异地备份工具。
2019年12月28日,经十三届全国人大常委会第十五次会议表决通过,我国卫生领域出台第一部基础性、综合性的法律《中华人民共和国基本医疗卫生与健康促进法》。其中,第九十二条明确规定,国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。
《中华人民共和国基本医疗卫生与健康促进法》的出台,意味着公民个人健康信息得到法律保障。
结语
在网络安全建设中,有那么一句话:“安全不看您做了什么,关键看没做什么”。这需要医疗机构包括民营医疗机构,必须全员树立动态、综合的防护理念,加强医院信息化成熟度的建设,除了选择适合的信息化产品之外,还需要建设科学规范的企业管理机制。
