? 不久前����,“勒索病毒”給信息安全防護敲響的警鐘����,仍在耳邊回響。而就在今天�,《中華人民共和國網(wǎng)絡(luò)安全法》開始正式施行,該法將網(wǎng)絡(luò)安全提高到了國家層面�,其也是醫(yī)療器械網(wǎng)絡(luò)安全的基本法則。
???“大量調(diào)研發(fā)現(xiàn)����,醫(yī)療�、教育成為網(wǎng)絡(luò)病毒攻擊的‘重災(zāi)區(qū)’�����。這可能導(dǎo)致醫(yī)療設(shè)備數(shù)據(jù)丟失����,以及患者信息、器械調(diào)配�、手術(shù)管理等出現(xiàn)錯誤?����?梢哉f��,醫(yī)療信息安全‘人命關(guān)天’��。當前��,我國亟須加強醫(yī)療信息安全防護等級�����。”近日��,在青島召開的“2017中國衛(wèi)生信息技術(shù)交流大會暨軟件產(chǎn)品與設(shè)備展覽會”上�����,國內(nèi)醫(yī)療IT專家強調(diào)指出���。
???“在很多大型醫(yī)療設(shè)備的售后服務(wù)中,廠商需要對在用設(shè)備的使用情況進行實時監(jiān)測��。這就要求廠商與用戶簽訂一份信息保密協(xié)議���。然而�����,目前并不是所有廠商都能做到這一點�����。另外����,一些醫(yī)院管理者對個體、群體隱私信息保護�����,醫(yī)療軟件正版化等問題仍未引起足夠的重視����。有些醫(yī)院由于資金有限而采用非正版醫(yī)療軟件,這樣很容易造成信息安全問題�。而最近‘勒索病毒’的攻擊敲響了警鐘?�!睎|軟集團高級副總裁盧朝霞對記者說��。
? ? 國內(nèi)外都曾發(fā)生嚴重醫(yī)療信息泄漏事件��,近年來���,各國對此高度重視��,相繼頒布了相關(guān)規(guī)范和標準����。記者了解到���,國際標準化組織(ISO)發(fā)布了ISO17090:2008《衛(wèi)生信息-公共要素信息結(jié)構(gòu)》�;美國頒布了《健康保險攜帶及責任法案》《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》等法規(guī)文件。其中�,美國的《醫(yī)療器械上市后網(wǎng)絡(luò)安全管理》要求制造商、供應(yīng)商具備監(jiān)測醫(yī)療設(shè)備網(wǎng)絡(luò)安全的手段和預(yù)案����;了解、評估和監(jiān)測網(wǎng)絡(luò)安全風險級別���;建立網(wǎng)絡(luò)安全協(xié)作規(guī)則���,分享網(wǎng)絡(luò)隱患信息和潛在事件�����;及時升級����、完善系統(tǒng)和技術(shù)修補措施,避免并解決因網(wǎng)絡(luò)安全問題造成的損失����、不良影響等�����。
? ? 在我國�����,從6月1日起���,《中華人民共和國網(wǎng)絡(luò)安全法》正式施行。1月20日�����,國家食品藥品監(jiān)管總局發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)指導(dǎo)原則》�����。這是對醫(yī)療器械網(wǎng)絡(luò)安全的一般性要求����,要求制造商根據(jù)醫(yī)療器械產(chǎn)品特性提交網(wǎng)絡(luò)安全注冊申報資料。
? ? 目前���,醫(yī)療設(shè)備使用環(huán)節(jié)主要存在哪些信息安全風險����,面臨什么困難,對信息安全建設(shè)又有什么訴求�����?此次青島大會上發(fā)布的《數(shù)據(jù)至上����,業(yè)務(wù)安全——2017年醫(yī)療行業(yè)信息安全調(diào)查報告》(以下簡稱《報告》),基于對100家醫(yī)療衛(wèi)生機構(gòu)����、907家三甲醫(yī)院網(wǎng)站、4663個醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本進行的調(diào)研���,為這些疑問提供了專業(yè)分析和建議。
? ? 調(diào)研顯示���,我國三級甲等綜合醫(yī)院的信息安全水平存在較大差異��。在基礎(chǔ)物理和網(wǎng)絡(luò)環(huán)境方面�����,38%的機構(gòu)有自動電力調(diào)度���。對4663個醫(yī)療互聯(lián)網(wǎng)資產(chǎn)樣本的風險檢測發(fā)現(xiàn)�,排名前5位的風險依次是:域名信息泄露����、惡意代碼、異常流量��、僵尸網(wǎng)絡(luò)�����、IP被封���。
? ? 從外部威脅來看�����,65%的醫(yī)療機構(gòu)認為網(wǎng)絡(luò)被攻擊�、對外通信中斷是最重大的網(wǎng)絡(luò)安全風險�;其次是竊取患者身份、病例或治療信息。從內(nèi)部威脅來看����,68%的機構(gòu)認為員工安全意識淡薄是目前最大的挑戰(zhàn);其次是系統(tǒng)以及數(shù)據(jù)管理存在漏洞���;第三是系統(tǒng)訪問權(quán)限混亂�����。
? ? 在移動醫(yī)療風險控制領(lǐng)域����,近50%的受訪機構(gòu)選擇依賴外包商的安全開發(fā)能力來保證應(yīng)用安全����,42%的受訪單位已經(jīng)采購第三方安全測評來保證應(yīng)用安全。
? ? 調(diào)研結(jié)果還顯示����,在信息安全建設(shè)需求方面,近半數(shù)的醫(yī)療機構(gòu)認為安全管理制度�、業(yè)務(wù)流程安全�����、數(shù)據(jù)庫安全、安全審計���、應(yīng)用審計���、網(wǎng)絡(luò)安全架構(gòu)、主機安全和密碼安全等方面亟待建設(shè)和完善����。
? ? “網(wǎng)絡(luò)安全、數(shù)據(jù)安全���、應(yīng)用系統(tǒng)安全�、管理安全都需要加強�����。醫(yī)療信息安全解決方案并非獨立的模塊���,其應(yīng)當結(jié)合醫(yī)療業(yè)務(wù)需求�����,與醫(yī)療流程整合����,涉及加密、解密等眾多環(huán)節(jié)��,并需要保證系統(tǒng)運行速度����。這就要求網(wǎng)絡(luò)安全、醫(yī)療行業(yè)�����、主管部門等各方面的專家組成聯(lián)合攻關(guān)組���,一同制定信息安全解決方案�?��!北R朝霞說����。
? ? 《報告》就此提出:醫(yī)療機構(gòu)在應(yīng)對醫(yī)療數(shù)字化風險時����,首先要優(yōu)先滿足業(yè)務(wù)需求,其次要最大限度地預(yù)防和控制安全風險��。鑒于醫(yī)療行業(yè)的特殊性���,醫(yī)療機構(gòu)需要依據(jù)標準化����、系統(tǒng)化的安全控制指南���,聯(lián)合國內(nèi)擁有醫(yī)療信息安全服務(wù)經(jīng)驗的廠商��,共同進行系統(tǒng)架構(gòu)的整體設(shè)計和運營維護管理��,從源頭防范醫(yī)院信息安全風險�。