醫療大數據行業分析(醫療行業數據安全風險分析及思考)
文│北京中測安華科技有限公司 杜少雄 姚軼嶄 于云海 嚴默默 程軍軍
近年來,隨著《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”行業發展的意見》《關于深入推進“互聯網+醫療健康”“五個一”服務行動的通知》等政策文件的出臺,以及大數據、人工智能等新型技術的發展,健康醫療數據應用、“互聯網 +醫療健康”和智慧醫療迎來蓬勃發展,新的業務形態不斷出現。與此同時,各類新型技術、應用的出現使得醫療行業數據安全治理面臨越來越多的挑戰。醫療數據天然的敏感性決定了有關方面必須采取有效措施來應對數據安全合規風險和各類內外部風險。本文對醫療行業數據安全的安全現狀、安全痛點、市場供需兩端做了深入分析,基于中測安華公司的行業理解和安全經驗提出醫療行業數據安全的建議,為行業提供參考。
一、醫療行業數據安全面臨新要求
(一)合規要求
從國家層面,《網絡安全法》《數據安全法》《個人信息保護法》作為三部上位法,對醫療行業安全保障工作提出了基本規范和要求。由于醫療行業擁有大量個人敏感信息、涉密信息以及應用業務不斷云化,一些辦法和規定也補充了關于數據出境、等保、關保、云評估等具體要求。分析來看,國家層面制度法規明確提出了衛生健康主管部門承擔本行業、本領域數據安全監管職責。要求醫療行業應根據相關要求建立數據分類分級管理制度,建立重要數據目錄,并進行重點防護,建立集中統一、高效權威的數據安全風險評估、報告、信息共享、監測預警、應急處置機制以及數據安全審查制度和出口管制制度。針對醫療行業個人信息以及重要數據,在處理過程中,應遵守出口管理制度以及安全管理要求,保證數據安全。
從行業層面,《關于促進“互聯網+醫療健康”發展的意見》和《關于促進和規范健康醫療大數據應用發展的指導意見》基本確定了醫療行業的兩大方向:互聯網醫療和大數據應用。隨后,《國家健康醫療大數據標準、安全和服務管理辦法》《互聯網診療管理辦法(試行)》《互聯網醫院管理辦法(試行)》《遠程醫療服務管理規范(試行)》等規章制度的出臺保障了相關指導意見的落地實施。分析來看,醫療行業重點關注可信體系建設、個人隱私信息保護、網絡安全等級保護、安全管理監督、健康醫療信息化復合型人才隊伍建設等重點方向。
從地方層面,地方醫療行業主管機構如福州市較早就出臺了《福州市健康醫療大數據資源管理暫行辦法》和《福州市健康醫療大數據資源管理實施細則》,以此來促進本地區醫療數據安全的發展。隨后,上海、山東、四川和江蘇也紛紛根據自己的實際情況出臺本地區的醫療行業安全法規。此外,各地方政府圍繞大數據交易、數據安全監管保障等也出臺了有關制度和規范,如《上海市數據條例》《貴州省大數據安全保障條例》《深圳經濟特區數據條例》等。分析來看,地方層面更關注大數據資源目錄、數據安全分類管理、數據安全風險評估、容災備份、數據安全應急響應與演練等方面的具體規范和指引。
(二)業務發展帶來安全新要求
1. 新技術的發展帶來安全體系改變
近年來,云計算在醫療行業得到了長足的發展。根據艾瑞咨詢 2021 年研究報告顯示,2020 年我國醫療軟件即服務(SaaS)整體市場規模達 37億人民幣,報告預測在未來幾年,SaaS 行業持續保持 30% 以上的增長速度。醫療行業數據上云、計算能力上云,這將大大推動醫療行業的整體健康有序發展。隨著醫療行業云化的不斷推進,越來越多的個人數據以及敏感數據將存儲在云上、使用在云上,傳統的安全邊界隨之變得越來越模糊,這將推動醫療數據安全保障體系從傳統的網絡安全防護到全面數據安全防護體系轉變。
2. 新業態的興起帶來安全理念改變
隨著醫療行業數字化轉型的開展,“互聯網+醫療”等新興業態快速興起,尤其是新冠疫情暴發以來,國家對全面健康醫療的重視進一步促進了新業態的發展,醫療數據逐步實現互聯互通,數據的流動性也得到了空前的提高。有關方面關于數據安全的理念也在發生改變,即逐步認識到數據分類分級對于數據安全保障的重要性,不再局限于單點防護的安全理念,開始接受圍繞數據全生命周期的安全防護理念,通過對生命周期各階段進行管控,以達到數據可見,風險可知,威脅可控的安全目標。
二、醫療行業數據安全態勢
醫療行業關系社會民生,涉及大量個人隱私信息,加之新冠疫情影響,導致醫療衛生行業成為勒索病毒、數據泄密的重災區。美國醫療信息與管理系統學會(HIMSS) 發布的《2021 HIMSS 醫療行業網絡安全調查》顯示,2021 年醫療行業遭受的網絡攻擊中,近一半為高危及超高危事件。中國信息通信研究院發布的《2020 數字醫療:疫情防控期間網絡安全風險研究報告》顯示,受調查的醫療單位中近三成存在數據資產泄露風險,有 7080 家單位使用存在公開漏洞的低版本組件服務,占全部觀測對象的 44.39%。
(一)數據泄露事件危害性大
數據泄露一直以來都是困擾醫療行業的重大問題之一,不同于其他大部分行業“只有海量數據才具有價值”,醫療行業的單條數據價值就非常大。在利益的驅動下,保險、銀行、藥廠、保健等機構不斷瞄準醫療數據以獲得最大收益,這間接導致不法分子非法獲取大量醫療數據,并在黑市進行交易。IBM 安全事業部在 2019 年發布的一項年度調研結果中表明,醫療保健組織已經連續第 9 年蟬聯數據泄露損失排行榜冠軍,平均損失接近 650 萬美元,高出其他行業總體平均值的 60%。
同時,醫療行業數據竊取相對容易。一方面,多數開放或半開放的網絡環境是醫療行業的典型特征,開放的網絡環境使入侵者可以輕易地進入醫院網絡進行物理攻擊。此外,多數醫療行業信息安全的技術手段比較薄弱,難以防護突發安全情況是行業通病。目前,醫療數據竊取的風險主要存在于三個方面。第一,社會工程學攻擊,黃牛以搶號、刷號為由騙取患者個人信息。第二,安全漏洞威脅,黑客利用網站、設備、系統等漏洞獲取醫療數據。第三,內部信息泄露,醫療衛生行業人員向外部人員提供病患、用藥等信息。
(二)勒索病毒成為主流攻擊方式
自 2016 年數據庫勒索病毒開始在全球蔓延,到 2017 年 WannaCry 勒索事件,勒索病毒逐漸成為全球范圍內主流的網絡安全威脅。由于安全防護能力普遍不足,醫療行業近幾年成為受勒索病毒威脅最為嚴重的行業之一。例如,2021 年 11 月,德國醫療軟件巨頭 Medatixx 遭到勒索攻擊,影響了醫療機構的內部 IT 系統,導致其運營系統癱瘓。2021 年 5 月,Sophos 公司發布了《2021 年醫療保健勒索軟件狀況》報告,根據對全球 30 個國家/地區中型組織中的 328 名醫療機構的信息化部門負責人的調查結果顯示,2020 年約有 34% 的醫療機構受到勒索軟件的攻擊。勒索病毒不僅影響醫療機構的業務正常開展,極端情況下可能導致病患死亡。據媒體公開報道,2019 年 7 月,美國亞拉巴馬州斯普林希爾醫療中心遭到勒索病毒攻擊,使得相關醫療設備無法正常監測嬰兒狀態,延緩了病患就醫和診治時間,導致一名初生嬰兒死亡。2020 年 9 月,德國杜塞爾多夫醫院遭到勒索病毒攻擊導致醫院無法正常開展業務,一輛救護車被迫改道 20 英里,延誤了 1 名患者的治療導致其死亡。綜上,如何有效地應對勒索病毒攻擊已經成為醫療行業迫切要解決的問題。
三、醫療行業數據安全痛點
醫療行業由于自身數據高度敏感性以及高價值性等特性,面臨著諸多的數據安全風險,主要包括數據交換安全風險、數據管控安全風險、業務連續性保障風險以及數據庫脆弱性風險。
(一)數據交換安全風險
隨著互聯互通數據、遠程醫療、臨床研究、器械維護、商保等醫療應用的不斷發展,數據交換場景和頻次增多,涉及數據所有者、數據處理者、數據使用者等多重角色和大量人員,導致安全責任方無法有效的監測資產流轉過程中的安全風險,無法有效地識別參與人員的異常行為。
(二)數據管控安全風險
當前階段不少醫療機構的 IT 軟件、系統和醫療器械主要由境外第三方服務商提供,這些軟件、系統和器械在醫療機構的日常業務中采集并處理了大量的醫療數據,如果相關數據未經報備、未經相關機構的審批及審查就傳輸至境外,將會給我國公共安全、生物安全、國家安全帶來巨大風險。
(三)業務連續性保障風險
醫療行業對于關鍵業務的連續性要求極高,因為這關系到病患的生命及財產安全。基于此,醫療行業中有關業務系統需要設置更為嚴苛的業務恢復時延(RTO)和數據丟失率指標(RPO),一旦發生故障需要盡快恢復數據和業務系統。但現狀是,醫療行業中的大部分業務系統的數據架構難以滿足上述要求以及逐漸趨緊的監管趨勢。
(四)數據庫脆弱性風險
醫療行業擁有數量眾多的業務系統,以普通三級醫院為例,其可能擁有包括醫院信息系統(HIS)、實驗室信息管理系統(LIS)、醫學影像存檔與通信系統(PACS)等在內的超過一百套的醫療業務系統。為了保證業務系統的正常運行,底層的數據庫軟件需要開放繁雜的接口供相關業務系統調用。考慮到業務連續性的因素,大部分數據庫無法及時更新或不能更新補丁,或者無法對訪問賬戶進行細顆粒度的控制,這直接造成數據庫的安全風險逐年增大。
四、醫療行業數據安全供需分析
目前醫療行業數據安全市場中,供需兩端在需求和能力適配方面存在一些短板和問題。
(一)需求側安全基礎較為薄弱
1. 安全人員數量及能力不足
醫療行業中需求方的信息化業務、系統、軟硬件數量非常龐大,遠超其他行業,但技術人員較少,尤其專職的安全人員以及數據安全管理運營人員更為稀缺,且相關人員在信息安全方面的專業技能嚴重不足。
2. 安全管理手段及力度不足
醫療行業中,大多數業務系統及安全運維措施都由第三方供應商的有關人員進行維護。這導致安全風險不斷外延,如第三方人員經常通過認證不足、不安全的遠程方式接入內網開展運維,而需求方對以上接入過程操作缺乏精細化的管控手段。此外,一旦發生信息泄露事件,需求方由于對業務系統和運維方的管控力度不足,導致難以開展有效溯源,難以明確多方責任,甚至難以平息事件的影響。
3. 數據安全治理意識及手段不足
近幾年來,醫療行業需求方的安全建設一直處于“重建設、輕管控”的初級階段,網絡安全體系化能力相比其他行業較為薄弱,數據安全層面的能力也處于傳統數據安全產品的堆疊階段,如數據防泄漏、數據脫敏等。隨著智慧醫療的廣泛推進,醫療行業面臨的數據安全風險和問題將越發突出,現有的安全能力和需求方的安全投入難以應對。
(二)供給側對醫療行業的安全能力供給不足
1. 頭部安全廠商以網絡安全的思路主導數據安全方案
目前深耕醫療行業的大多數頭部安全廠商均為傳統的網絡安全廠商,在數據安全專項領域研究和積累相對不夠深入,主要仍以木桶式防護、縱深防御理念堆疊設備,忽略了數據安全核心要素是“以數據為中心”治理思路,缺乏對數據本身的保護。另外,頭部安全廠商幾乎都有圍繞醫療行業的數據安全方案,但仍然存在與醫療行業具體場景適配度不高的情況。
2. 專業化數據安全廠商更多關注細分領域的數據安全產品
部分有醫療行業背景的專業化數據安全廠商,其能力往往聚焦于數據安全某些細分領域,例如對“防泄漏、審計、脫敏、加密”等有較深的研究,具有核心競爭力的產品以及圍繞產品所形成的解決方案,但從本質上講,其安全能力主要是圍繞著數據全生命周期的某個階段做分塊治理管控,缺乏在整體數據安全全局視角的統籌管控,存在一定的安全盲區。
3. 醫療行業 IT 供應商缺乏安全數據治理視角
部分醫療行業 IT 系統供應商也開始涉足安全領域,憑借其“懂業務、懂數據、懂應用、懂管控”的優勢,為需求方提供“IT+安全”一攬子方案。但此類供應商對數據安全的理解有限,無法站在監管、管控視角幫助需求方從管理者高度進行安全治理,另外,業務系統供應商和安全能力服務商一定程度上講屬于“選手”與“裁判”的范疇,難以做到身份的統一。
五、醫療行業數據安全發展建議
(一)提高政治站位,深化思想認識
數據是國家基礎性戰略資源和關鍵生產要素,數據安全問題的應對和國家數據安全制度的布局不僅關涉到大數據時代個人安全、公共安全、國家安全,也關系到我國在全球新一輪的信息技術變革中如何實現從跟跑、并跑到領跑的轉變。
醫療行業關系國計民生,醫療數據一旦遭到篡改、破壞和泄露,勢必造成對個人、組織、社會公共利益甚至國家利益的嚴重威脅和損害。在云計算、大數據、物聯網、區塊鏈、人工智能等新技術的推動下,醫療衛生行業信息化建設飛速發展,面對 “互聯網 + 醫療健康”新服務模式的構建,智慧醫療的發展進程加速,全行業、全產業鏈需要進一步提高政治站位、統一思想,充分認識到做好醫療行業數據安全保障工作的重要性和緊迫度,更加考慮合法合規、共享方式、數據使用權限、安全風險和爭議責任等問題,切實加強數據安全保護,更好地貫徹落實總體國家安全觀,支撐構建醫療行業網絡數據安全新格局。
(二)加強政策引導,完善監管配套
醫療行業監管部門應著力加強政策引導,在國家相關法律和機制框架下,同步推進適應國家安全整體要求的體系化標準工作,加快制定和出臺醫療行業數據安全管理政策,更好地承接《數據安全法》在行業的實施落地。同時,扎實推進醫療行業數據安全管理工作,以醫療數據安全監管為抓手,整體提升行業的數據安全水平。
醫療行業主管部門應按照國家有關要求和法律規定,組織開展行業數據分級分類管理、重要數據目錄制定等相關工作,構建行業數據安全領域的標準體系;研究建立行業數據安全態勢監測和通報機制,完善風險信息分析、研判和處置能力建設;以數據為核心,以風險為抓手,持續開展行業數據安全風險評估、行業數據安全的監督檢查工作,督促行業各單位落實數據安全保護義務。
(三)理清治理思路,突出能力建設
醫療行業相關參與方應組織開展醫療行業數據安全指南、技術白皮書的編制工作。通過聯合專業權威機構專家,骨干單位、產業鏈企業等,加強行業數據安全頂層設計,明確行業數據安全治理框架,數據安全基礎能力建設最佳實踐,給行業各單位進一步指明數據安全的治理思路和建設方向,全面切實推進醫療行業數據安全防護工作整體、規范、科學、有序地開展。同時,應持續壯大行業數據安全人才隊伍,加快行業數據安全人才培養進程,從而緩解行業數據安全人才短缺困境。
(本文刊登于《中國信息安全》雜志2022年第7期)