一、医疗行业面临的网络安全风险
二、医疗行业网络安全体系监管政策法规
三、《医疗卫生机构网络安全管理办法》要点
2022年8月29日,为指导医疗卫生机构加强网络安全管理,国家卫生健康委,国家中医药局,国家疾控局三部门联合发布《医疗卫生机构网络安全管理办法》(以下简称“《办法》”)。
01
随着大数据、云计算、物联网在医疗行业的应用不断深入,增强了就医的便捷性,提高了优质医疗资源的利用效率。与此同时,医疗行业面临的网络安全风险也逐渐增多。 疫情后健康数据安全风险加剧!
2020年4月,世界卫生组织发表声明称,疫情期间遭受网络攻击数量同比增长5倍。奇安信集团发布网络安全系列报告指出,2020年疫情暴发后,医疗卫生行业史上首次超过政府、金融、国防、能源、电信等领域,成为全球APT(黑客以窃取核心资料为目的,针对客户所发动的网络攻击和侵袭行为)活动关注的首要目标。全球23.7%的APT活动事件与医疗卫生行业相关。中国首次超过美国、韩国、中东等国家和地区,成为全球APT活动的首要地区性目标。
在疫情期间,医疗机构个人和患者信息泄露事件更是频发。2020年1月,某市区卫生管理部门领导通过微信转发新冠病人报告。2020年11月,某市区卫生管理部门领导为提醒辖区内某单位做好防疫工作,将“疑似密接调查情况简介”微信转发,造成该辖区内单位将此信息大规模群发。
此外,远程网络诊疗方式在疫情后被人们普遍接受,全国不少医院都在申请互联网医院、智慧医院。业内人士指出,由于使用网络传递诊断数据、照片等信息,医疗健康数据的不安全风险可能会进一步加剧。
目前医疗健康不安全风险主要体现在八个方面:
一是在线医疗数据:检验报告、诊断结果、既往病史等健康医疗数据存在因漏洞攻击、病毒感染等,导致的非法访问、窃取篡改和恶意上传等风险;
二是医联体访问数据:医联体以及第三方服务机构人员在对敏感数据进行访问浏览的过程中,均可能导致医患隐私等重要信息面临泄露风险;
三是临床科研数据:临床科研数据涉及人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例以及患者报告,传输过程中一旦发生泄露,后果非常严重;
四是医保数据:医保数据涉及与第三方机构对接,在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险;
五是医疗设备维保数据:医疗器械厂商在进行远程医疗设备维护保养时,数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险;
六是健康大数据中心数据:分类分级机制缺失导致将非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全隐患;
七是可穿戴健康设备数据:可穿戴设备数据在采集、存储、使用阶段均存在着不同程度的安全隐患;
八是医疗健康APP数据:移动应用涉及众多在线健康医疗服务、存在泄露个人健康状况数据、支付数据、卫生资源数据以及公共卫生信息的隐患。
02
医疗行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。随着医疗行业信息网络技术的深入应用和“互联网+医疗健康”的不断推进,党中央、国务院及医疗监管部门陆续出台了一系列信息化安全建设与管理的政策法规,逐步完善医疗行业网络安全体系。
►2018 年 4 月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
►2018 年 9 月 13 日,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
►2018 年 9 月 14 日,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等 3 个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
►2018 年 12 月 21 日,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。
►2019 年 4 月,国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等 10 个方面。
►2019 年 12 月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
►2020 年 2 月 28 日,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
当前《医疗卫生机构网络安全管理办法》的发布,为完善医疗行业网络安全体系迈出了重要一步。
03
《医疗卫生机构网络安全管理办法》共5章三十四条,明确了医疗卫生机构的网络安全和数据安全管理责任义务。
(一)推进网络安全等级保护
《办法》第二章第五条要求有二级及以上网络的医疗卫生机构应建立网络安全管理制度体系,加强网络安全防护;第七条鼓励三级医院探索态势感知平台建设;第八条要求各医疗卫生机构应建立应急处置机制有效处理网络中断、网络攻击、数据泄露等安全事件。
(二)加强网络安全管控
《办法》第二章第十三条要求相关机构应用大数据、人工智能、区块链等新技术开展服务时,上线前应评估新技术的安全风险并进行安全管控。
(三)加强个人信息保护
《办法》第二章第十四条要求各医疗卫生机构应规范和加强医疗设备数据、个人信息保护和网络安全管理。
《办法》第三章第十八条要求关键信息基础设施运营者应拟定关键信息基础设施安全保护计划,建立健全数据安全和个人信息保护制度。
第二十二条要求各医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展。
医疗行业面对愈发严峻的网络威胁态势,面对愈发严苛的监管要求,需要全面提升网络安全建设和管理水平,遏制外部攻击与内部威胁,保护患者个人信息无虞,保护医疗基础设施安全。