近幾年大家對“數據安全”的關注度一直升溫不降,各個行業爲了保護自身數據安全採取各種防護手段,本文將針對醫療行業的數據安全現狀做簡單分析並給數據安全防護建議。
一、醫療行業的安全形勢
1、“互聯網+”正在強勢進入醫療行業,***到醫療領域的各個環節,不僅打破了醫療行業原有相對封閉的使用環境,而且還會使信息聚集更加便捷、迅速,這也就給醫療行業帶來了全新的數據安全挑戰。例如:2017年5月, 20萬條新生嬰兒信息從某市疾病預防控制中心泄露出來,這些竊取來的信息,被用於電話推銷新生兒保健品;
2、隨着移動醫療、AI醫療影像、電子病歷等等數字化程序的普及,醫療數據被泄露已經成爲家常便飯。2017年4月,某部委醫療服務系統大量個人信息泄露,其中包括大量的孕檢信息遭到暴露並在暗網進行交易。
3、正常的統方行爲是醫院對醫生用藥信息量,用藥單據的統計,非法統方行爲是指爲了達到不正當的商業目的進行的非授權統方行爲。由於醫院絕大部分業務都通過信息系統來處理,這就使內部統方的途徑也變得多樣化,藥房、科室、信息中心任何一個能進入信息系統的終端都可能成爲統方的途徑。2017年11月,某高校婦產醫院主管醫師非法統方案件,因非法獲取計算機信息數據罪,涉案人員被法院判處有期徒刑2至3年不等……
二、風險分析
1、數據管控制度有待完善,面對數據威脅醫療組織雖然也逐漸增強數據安全意識,但是關於數據管控尚未建立統一管理機制,數據管控制度的完善相對滯後。
2、外部***風險,由於醫療數據有着得天獨厚的價值,從而很容易引起大量******行爲,漏洞如果無法及時修復,自然會爲外部***提供途徑,因此需要採取有效措施應對外部***風險。
3、數據交換風險,目前大量的醫療數據需要拿給第三方或者測試使用,爲了規避真實數據泄露,需要建立科學的對外數據交換標準,提高數據安全要求,最主要的是需要強化病患敏感數據脫敏處理能力。
4、內部及第三方運維人員造成的數據泄露風險,內部工作人員的權限管控制度如果不完善,很多非權限人員可以隨意接觸病患信息,造成很大泄露風險,加之內部人員監控手段不足,也會引發取證難問題。
大多數醫療機構對於信息安全都有一定程度的認知,但一部分機構在數據安全領域缺乏足夠的認知,普遍安全誤區如下:
①大家會認爲***是大部分安全事件的主因。事實上,80%的數據丟失來自內部;
②網絡防火牆可以保證數據安全。事實上,儘管安裝了防火牆,40%網絡***仍會發生;
③加密可以保證數據安全,事實上,加密僅是保護數據安全的一種途徑,數據安全同樣也需要訪問控制、數據完整性、系統的可用性以及審計等。
面對醫療行業的數據安全威脅和現狀,安華金和憑藉多年在醫療行業的積累,重點關注醫療患者隱私信息批量泄密,非法“統方”導致醫藥賄賂事件頻頻發生等信息安全問題,給出了主動防禦的應對思路,提出綜合性的醫療數據安全加固解決方案,核心是以DBMS、訪問路徑、核心數據爲三大核心,建立包含四道防線的數據安全縱深的防禦體系。