2022年8月29日,為指導醫(yī)療衛(wèi)生機構加強網(wǎng)絡安全管理,國家衛(wèi)生健康委,國家中醫(yī)藥局,國家疾控局三部門聯(lián)合發(fā)布《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》(以下簡稱“《辦法》”)。
01
醫(yī)療行業(yè)面臨的網(wǎng)絡安全風險
隨著大數(shù)據(jù)、云計算、物聯(lián)網(wǎng)在醫(yī)療行業(yè)的應用不斷深入,增強了就醫(yī)的便捷性,提高了優(yōu)質(zhì)醫(yī)療資源的利用效率。與此同時,醫(yī)療行業(yè)面臨的網(wǎng)絡安全風險也逐漸增多。 疫情后健康數(shù)據(jù)安全風險加劇!
2020年4月,世界衛(wèi)生組織發(fā)表聲明稱,疫情期間遭受網(wǎng)絡攻擊數(shù)量同比增長5倍。奇安信集團發(fā)布網(wǎng)絡安全系列報告指出,2020年疫情暴發(fā)后,醫(yī)療衛(wèi)生行業(yè)史上首次超過政府、金融、國防、能源、電信等領域,成為全球APT(黑客以竊取核心資料為目的,針對客戶所發(fā)動的網(wǎng)絡攻擊和侵襲行為)活動關注的首要目標。全球23.7%的APT活動事件與醫(yī)療衛(wèi)生行業(yè)相關。中國首次超過美國、韓國、中東等國家和地區(qū),成為全球APT活動的首要地區(qū)性目標。
在疫情期間,醫(yī)療機構個人和患者信息泄露事件更是頻發(fā)。2020年1月,某市區(qū)衛(wèi)生管理部門領導通過微信轉(zhuǎn)發(fā)新冠病人報告。2020年11月,某市區(qū)衛(wèi)生管理部門領導為提醒轄區(qū)內(nèi)某單位做好防疫工作,將“疑似密接調(diào)查情況簡介”微信轉(zhuǎn)發(fā),造成該轄區(qū)內(nèi)單位將此信息大規(guī)模群發(fā)。
此外,遠程網(wǎng)絡診療方式在疫情后被人們普遍接受,全國不少醫(yī)院都在申請互聯(lián)網(wǎng)醫(yī)院、智慧醫(yī)院。業(yè)內(nèi)人士指出,由于使用網(wǎng)絡傳遞診斷數(shù)據(jù)、照片等信息,醫(yī)療健康數(shù)據(jù)的不安全風險可能會進一步加劇。
目前醫(yī)療健康不安全風險主要體現(xiàn)在八個方面:
一是在線醫(yī)療數(shù)據(jù):檢驗報告、診斷結果、既往病史等健康醫(yī)療數(shù)據(jù)存在因漏洞攻擊、病毒感染等,導致的非法訪問、竊取篡改和惡意上傳等風險;
二是醫(yī)聯(lián)體訪問數(shù)據(jù):醫(yī)聯(lián)體以及第三方服務機構人員在對敏感數(shù)據(jù)進行訪問瀏覽的過程中,均可能導致醫(yī)患隱私等重要信息面臨泄露風險;
三是臨床科研數(shù)據(jù):臨床科研數(shù)據(jù)涉及人口學資料、檢查信息、檢驗信息、藥品醫(yī)囑、診斷信息、病例以及患者報告,傳輸過程中一旦發(fā)生泄露,后果非常嚴重;
四是醫(yī)保數(shù)據(jù):醫(yī)保數(shù)據(jù)涉及與第三方機構對接,在系統(tǒng)對接、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)存儲、數(shù)據(jù)銷毀等環(huán)節(jié)面臨安全風險;
五是醫(yī)療設備維保數(shù)據(jù):醫(yī)療器械廠商在進行遠程醫(yī)療設備維護保養(yǎng)時,數(shù)據(jù)將面臨非授權訪問、不安全鏈接、隱私數(shù)據(jù)泄露、維護記錄保存不當?shù)劝踩L險;
六是健康大數(shù)據(jù)中心數(shù)據(jù):分類分級機制缺失導致將非法登錄、越權訪問、異常調(diào)閱、冒名查詢、批量竊取、明文泄露等數(shù)據(jù)安全隱患;
七是可穿戴健康設備數(shù)據(jù):可穿戴設備數(shù)據(jù)在采集、存儲、使用階段均存在著不同程度的安全隱患;
八是醫(yī)療健康APP數(shù)據(jù):移動應用涉及眾多在線健康醫(yī)療服務、存在泄露個人健康狀況數(shù)據(jù)、支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生信息的隱患。
02
醫(yī)療行業(yè)網(wǎng)絡安全體系監(jiān)管政策法規(guī)
醫(yī)療行業(yè)網(wǎng)絡安全是我國網(wǎng)絡安全的重要組成部分,受到國家高度重視。隨著醫(yī)療行業(yè)信息網(wǎng)絡技術的深入應用和“互聯(lián)網(wǎng)+醫(yī)療健康”的不斷推進,黨中央、國務院及醫(yī)療監(jiān)管部門陸續(xù)出臺了一系列信息化安全建設與管理的政策法規(guī),逐步完善醫(yī)療行業(yè)網(wǎng)絡安全體系。
?2018 年 4 月,國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國醫(yī)院信息化建設標準與規(guī)范(試行)的通知》。對二級及以上醫(yī)院的數(shù)據(jù)中心安全、終端安全、網(wǎng)絡安全及容災備份提出要求。
?2018 年 9 月 13 日,國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法(試行)》,明確責任單位應當落實網(wǎng)絡安全等級保護制度要求,對健康醫(yī)療大數(shù)據(jù)中心、相關信息系統(tǒng)開展定級、備案、測評等工作。
?2018 年 9 月 14 日,國家衛(wèi)生健康委發(fā)布《關于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等 3 個文件的通知》,管理辦法要求醫(yī)療機構開展互聯(lián)網(wǎng)診療活動,應當具備滿足互聯(lián)網(wǎng)技術要求的設施、信息系統(tǒng)、技術人員以及信息安全系統(tǒng),并實施第三級信息安全等級保護。
?2018 年 12 月 21 日,國家衛(wèi)生健康委辦公廳發(fā)文《加快推進電子健康卡普及及應用工作的意見》,對重點工作任務進行部署,要求著力加強電子健康卡應用安全建設及管理,對電子健康卡管理服務系統(tǒng)、識讀終端設備、應用密碼機、互聯(lián)網(wǎng)醫(yī)療健康服務應用軟件等依據(jù)國家行業(yè)標準實行質(zhì)量及安全檢測,強化個人健康信息安全管理,建立相關安全風險動態(tài)評估管理機制,同時要求電子健康卡積極采用國密算法和國產(chǎn)自主可控安全技術,確保居民健康信息的安全。
?2019 年 4 月,國家衛(wèi)生健康委發(fā)布《關于印發(fā)全國基層醫(yī)療衛(wèi)生機構信息化建設標準與規(guī)范(試行)的通知》,明確了基層醫(yī)療衛(wèi)生機構未來 5-10 年信息化建設的基本內(nèi)容和要求。其中信息安全部分包括身份認證、桌面終端安全、移動終端安全、計算安全、通信安全、數(shù)據(jù)防泄露、可信組網(wǎng)、數(shù)據(jù)備份與恢復、應用容災、安全運維等 10 個方面。
?2019 年 12 月,經(jīng)第十三屆全國人民代表大會常務委員會第十五次會議通過,我國頒布衛(wèi)生健康領域第一部基礎性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進法》,明確國家采取措施推進醫(yī)療衛(wèi)生機構建立健全信息安全制度,保護公民個人健康信息安全,對醫(yī)療信息安全制度、保障措施不健全,導致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進行處罰。
?2020 年 2 月 28 日,國家醫(yī)療保障局、國家衛(wèi)生健康委員會發(fā)布《關于推進新冠肺炎疫情防控期間開展“互聯(lián)網(wǎng)+”醫(yī)保服務的指導意見》,要求不斷提升信息化水平,同步做好互聯(lián)網(wǎng)醫(yī)保服務有關數(shù)據(jù)的網(wǎng)絡安全工作,防止數(shù)據(jù)泄露。
當前《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》的發(fā)布,為完善醫(yī)療行業(yè)網(wǎng)絡安全體系邁出了重要一步。
03
《辦法》要點
《醫(yī)療衛(wèi)生機構網(wǎng)絡安全管理辦法》共5章三十四條,明確了醫(yī)療衛(wèi)生機構的網(wǎng)絡安全和數(shù)據(jù)安全管理責任義務。
(一)推進網(wǎng)絡安全等級保護
《辦法》第二章第五條要求有二級及以上網(wǎng)絡的醫(yī)療衛(wèi)生機構應建立網(wǎng)絡安全管理制度體系,加強網(wǎng)絡安全防護;第七條鼓勵三級醫(yī)院探索態(tài)勢感知平臺建設;第八條要求各醫(yī)療衛(wèi)生機構應建立應急處置機制有效處理網(wǎng)絡中斷、網(wǎng)絡攻擊、數(shù)據(jù)泄露等安全事件。
(二)加強網(wǎng)絡安全管控
《辦法》第二章第十三條要求相關機構應用大數(shù)據(jù)、人工智能、區(qū)塊鏈等新技術開展服務時,上線前應評估新技術的安全風險并進行安全管控。
(三)加強個人信息保護
《辦法》第二章第十四條要求各醫(yī)療衛(wèi)生機構應規(guī)范和加強醫(yī)療設備數(shù)據(jù)、個人信息保護和網(wǎng)絡安全管理。
《辦法》第三章第十八條要求關鍵信息基礎設施運營者應擬定關鍵信息基礎設施安全保護計劃,建立健全數(shù)據(jù)安全和個人信息保護制度。
第二十二條要求各醫(yī)療衛(wèi)生機構應加強數(shù)據(jù)收集、存儲、傳輸、處理、使用、交換、銷毀全生命周期安全管理工作,數(shù)據(jù)全生命周期活動應在境內(nèi)開展。
醫(yī)療行業(yè)面對愈發(fā)嚴峻的網(wǎng)絡威脅態(tài)勢,面對愈發(fā)嚴苛的監(jiān)管要求,需要全面提升網(wǎng)絡安全建設和管理水平,遏制外部攻擊與內(nèi)部威脅,保護患者個人信息無虞,保護醫(yī)療基礎設施安全。