信息安全需內(nèi)推外拉雙發(fā)力

文/潘曉雷

醫(yī)療不同于其他行業(yè)，一旦數(shù)據(jù)泄露，茲事體大。然醫(yī)院信息安全需大環(huán)境外部前拉、醫(yī)院內(nèi)部后推。

醫(yī)療不同于其他行業(yè)，醫(yī)療數(shù)據(jù)通常包含了患者的身份信息、治療方案、治療費(fèi)用等敏感信息，一旦數(shù)據(jù)泄露，茲事體大。而且，醫(yī)院對(duì)信息系統(tǒng)及相關(guān)硬件的依賴程度越高，也就意味著硬件設(shè)施、信息系統(tǒng)和網(wǎng)絡(luò)環(huán)境的安全性越重要。

筆者認(rèn)為，對(duì)網(wǎng)絡(luò)安全認(rèn)識(shí)不清，主動(dòng)發(fā)現(xiàn)能力差，主動(dòng)防護(hù)能力差，體制不完善、基礎(chǔ)保障能力不強(qiáng)，是醫(yī)療信息安全事件一波未平一波又起的幾大原因。

新時(shí)代下的安全壓力

毫無(wú)疑問(wèn)，信息化建設(shè)幫助醫(yī)院實(shí)現(xiàn)了效率提升、形象改變、醫(yī)院管理能力提升、醫(yī)療安全得到保證，以及臨床科研能力進(jìn)步。

十多年前，醫(yī)院保障信息安全多采用內(nèi)外網(wǎng)嚴(yán)格物理隔離，拆掉了計(jì)算機(jī)的光驅(qū)和軟驅(qū)。在當(dāng)時(shí)，醫(yī)院服務(wù)器很少采用雙機(jī)方式，發(fā)生系統(tǒng)宕機(jī)的情況也比較普遍。

隨著數(shù)字化時(shí)代的到來(lái)，醫(yī)院的網(wǎng)絡(luò)架構(gòu)逐漸復(fù)雜，信息系統(tǒng)已非常普及，信息安全涉及面更廣，面臨的威脅更多。隨之而來(lái)的各種犯罪活動(dòng)也日益猖獗。

這時(shí)大家討論的是雙機(jī)熱備、網(wǎng)絡(luò)版殺毒軟件、容災(zāi)、等級(jí)保護(hù)、隔離網(wǎng)閘、防火墻、數(shù)據(jù)加密等。此時(shí)，信息安全技術(shù)也得到發(fā)展，做信息安全的廠家和服務(wù)公司日益增多。信息主管的安全意識(shí)逐漸增強(qiáng)，醫(yī)院在安全方面的投入也逐年增加，但是許多醫(yī)院投入的資金并沒(méi)有帶來(lái)足夠的安全。

進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代，在醫(yī)療圍城逐漸向互聯(lián)網(wǎng)開(kāi)放的過(guò)程中，安全信息問(wèn)題也面臨更大的挑戰(zhàn)。

“互聯(lián)網(wǎng)+醫(yī)療”的出現(xiàn)導(dǎo)致診療活動(dòng)不再局限于醫(yī)院內(nèi)部，遠(yuǎn)程會(huì)診、網(wǎng)絡(luò)醫(yī)院等新型診療模式將逐漸常態(tài)化。醫(yī)護(hù)人員對(duì)于信息系統(tǒng)的使用從院內(nèi)走向院外，醫(yī)療數(shù)據(jù)在院內(nèi)與院外的交換已成為趨勢(shì)，內(nèi)外網(wǎng)的物理隔離已無(wú)法實(shí)現(xiàn)。

內(nèi)外網(wǎng)物理隔離被打破后，對(duì)醫(yī)院信息部門提出了更高的要求：重新評(píng)估內(nèi)外網(wǎng)數(shù)據(jù)交換潛在的風(fēng)險(xiǎn)，制定內(nèi)外網(wǎng)信息交換的方案，提高內(nèi)外網(wǎng)邊界防護(hù)能力，使數(shù)據(jù)交換在有效的監(jiān)督下進(jìn)行，保證數(shù)據(jù)交換不對(duì)院內(nèi)信息系統(tǒng)造成壓力和沖擊

在安全治理方面

調(diào)查結(jié)果顯示，醫(yī)療行業(yè)的信息安全需求和實(shí)踐近些年來(lái)呈現(xiàn)快速發(fā)展的趨勢(shì)。

數(shù)據(jù)來(lái)源：根據(jù)《數(shù)據(jù)至上，業(yè)務(wù)安全——2017年醫(yī)療行業(yè)信息安全調(diào)查報(bào)告》整理

在調(diào)查的536家醫(yī)院中

特點(diǎn)：三級(jí)醫(yī)院實(shí)施等級(jí)保護(hù)工作情況的比例遠(yuǎn)高于三級(jí)以下醫(yī)院。經(jīng)濟(jì)發(fā)達(dá)地區(qū)實(shí)施等級(jí)保護(hù)工作的比例遠(yuǎn)高于中等發(fā)達(dá)地區(qū)和經(jīng)濟(jì)欠發(fā)達(dá)地區(qū)。

調(diào)查結(jié)果顯示，中國(guó)醫(yī)院等級(jí)保護(hù)工作的現(xiàn)狀不容樂(lè)觀。

數(shù)據(jù)來(lái)源：根據(jù)“CHIMA2015-2016中國(guó)醫(yī)院信息化狀況年度調(diào)查”整理

近年來(lái)，患者在看病過(guò)程中個(gè)人隱私被泄露等現(xiàn)象已屢見(jiàn)不鮮，醫(yī)療系統(tǒng)的隱私保護(hù)更具有特殊性，也更有難度。

一方面，患者就診涉及從掛號(hào)到治療、從一家醫(yī)院到另一家醫(yī)院、從線下到線上等多條長(zhǎng)鏈條，經(jīng)手的人和可泄露的環(huán)節(jié)很多，任何一張?zhí)幏交驒z查單，都能找到患者的疾病及身份信息。另一方面，患者的個(gè)人資料務(wù)求真實(shí)可靠，也更全面完整，涉及個(gè)人及家庭的大量信息。此外，健康信息是個(gè)人關(guān)鍵的隱私。云計(jì)算技術(shù)、大數(shù)據(jù)的應(yīng)用，會(huì)使患者的個(gè)人信息更集中、更易得。

筆者認(rèn)為，應(yīng)利用電子認(rèn)證技術(shù)保護(hù)個(gè)人健康檔案，加強(qiáng)應(yīng)用身份認(rèn)證、角色授權(quán)、電子簽名和時(shí)間戳等技術(shù)手段來(lái)實(shí)現(xiàn)對(duì)患者隱私數(shù)據(jù)的保護(hù)。

不得不說(shuō)的是，支付方式移動(dòng)化和自助設(shè)備普及化，同樣給醫(yī)院和患者的資金帶來(lái)了安全挑戰(zhàn)。

目前，為了方便患者就診，醫(yī)院的自助設(shè)備逐漸增多，大有替代人工窗口的趨勢(shì)，這些設(shè)備都有與醫(yī)院HIS系統(tǒng)進(jìn)行信息交互的通道。與此同時(shí)，移動(dòng)支付的使用量（支付寶、微信支付）也呈爆發(fā)式增長(zhǎng)，這些新型支付方式大多通過(guò)互聯(lián)網(wǎng)在移動(dòng)終端進(jìn)行，而且也要與院內(nèi)系統(tǒng)進(jìn)行信息交換。

筆者提醒，支付環(huán)境多元化所帶來(lái)的資金安全隱患需要信息部門及時(shí)關(guān)注并做好應(yīng)對(duì)。

安全意識(shí)并不樂(lè)觀

一場(chǎng)“互聯(lián)網(wǎng)+”的革命，將未來(lái)信息化建設(shè)的信息安全問(wèn)題擺到了首位。醫(yī)院信息系統(tǒng)故障及應(yīng)急處置突發(fā)事件，也成為震撼行業(yè)的熱點(diǎn)、難點(diǎn)。

筆者認(rèn)為，中國(guó)醫(yī)院信息安全工作實(shí)施不好的原因有以下兩方面。

一是外因，《網(wǎng)絡(luò)安全法》未頒布前，單位做不做等保不需要負(fù)法律責(zé)任；醫(yī)療行業(yè)相關(guān)的等保要求、指南、標(biāo)準(zhǔn)、細(xì)則有待統(tǒng)一；安全供應(yīng)商的醫(yī)療行業(yè)信息安全解決方案還須完善。

二是內(nèi)因，主要是醫(yī)院領(lǐng)導(dǎo)和全員的安全意識(shí)不強(qiáng)，安全風(fēng)險(xiǎn)防范意識(shí)差；醫(yī)院在信息化建設(shè)時(shí)，重系統(tǒng)應(yīng)用輕安全，用于信息安全的經(jīng)費(fèi)投入不足；另外醫(yī)院缺少信息安全的相關(guān)人才，不知道如何做好等保工作。

在當(dāng)今信息化的時(shí)代，醫(yī)療行業(yè)的信息保護(hù)手段遠(yuǎn)遠(yuǎn)落后于其他行業(yè)，整體上缺乏信息安全管理流程。如今，醫(yī)療網(wǎng)絡(luò)攻擊的本質(zhì)、深度和后果都發(fā)生了變化，例如有些醫(yī)療機(jī)構(gòu)還沒(méi)有意識(shí)到黑客行為的復(fù)雜性，以及他們滲透患者機(jī)密數(shù)據(jù)的網(wǎng)絡(luò)手段的隱蔽性。

醫(yī)院相對(duì)金融服務(wù)行業(yè)來(lái)說(shuō)，還沒(méi)有成為黑客攻擊的重點(diǎn)目標(biāo)，因此醫(yī)院尚不能有效應(yīng)地對(duì)網(wǎng)絡(luò)安全威脅進(jìn)行追蹤、報(bào)告和管理，缺乏成熟的突發(fā)和漏洞管理流程，日常的網(wǎng)絡(luò)攻擊往往得不到任何處理。

筆者認(rèn)為，如果醫(yī)療機(jī)構(gòu)不與時(shí)俱進(jìn)地提高自身的信息安全水平，必將遭受嚴(yán)重?fù)p失，不止在經(jīng)濟(jì)上，而且還可能會(huì)威脅到患者生命。

醫(yī)院信息安全需要持續(xù)改進(jìn)。在有限的資源下，用適度的成本獲得適度的安全，一定要結(jié)合安全需求來(lái)考慮成本投入，不是投入越多越好，而是結(jié)合系統(tǒng)和業(yè)務(wù)發(fā)展持續(xù)改進(jìn)。

醫(yī)院信息系統(tǒng)出現(xiàn)安全事故，往往是疏于維護(hù)和監(jiān)管。因此不能單純依靠購(gòu)買信息安全產(chǎn)品來(lái)解決，而是要根據(jù)《網(wǎng)絡(luò)安全法》要求，按照等保制度的標(biāo)準(zhǔn)規(guī)范，結(jié)合醫(yī)療行業(yè)特點(diǎn)，從安全意識(shí)、安全制度、安全技術(shù)及安全管理等方面采取多方位措施加強(qiáng)防護(hù)，排查安全漏洞及潛在隱患，并建立和執(zhí)行一套科學(xué)的安全管理制度。

筆者認(rèn)為，醫(yī)院信息系統(tǒng)的應(yīng)急演練應(yīng)該常態(tài)化、實(shí)戰(zhàn)化，同時(shí)，應(yīng)急預(yù)案絕不僅是信息部門的事情，應(yīng)該是醫(yī)院“一把手”必須常抓不懈的系統(tǒng)工程、責(zé)任工程。