當前,抗擊疫情的戰鬥還在繼續,這並不妨礙我們將目光投向未來。疫情在考驗着國家公共衛生體系、應急管理體系的同時,也考驗着我國醫療信息化整體建設水平。醫療信息化能夠極大地提升醫護人員的工作效率,提高病患的就醫體驗及滿意度。但是,隨之而來的是信息泄露帶來的“用戶裸奔”。
在衆多泄露事件中,黑客和IT事故是主要原因,佔所有數據泄漏的60%以上。這並不難理解,數據庫是網絡犯罪分子的主要攻擊目標,因爲這裏擁有大量的敏感信息,例如病史、賬號、個人財務數據等。所以,醫療行業必須採用主動防禦的技術和安全可靠的數據安全最佳實踐,以確保其IT系統中的所有數據全天候安全。
醫療數據安全存在哪些風險?
●數據管控風險
雖然醫療組織正在逐漸增強數據安全意識,但關於數據管控尚未建立統一管理機制,制度的完善相對滯後,同時“互聯網+”等新興業態的不斷湧現,並滲透至醫療領域的各個環節,客觀上導致原本相對封閉的使用環境被逐漸打破。
●外部攻擊風險
醫療行業數據價值高,很容易引發來自互聯網的攻擊行爲,漏洞如果無法及時修復,自然會爲外部攻擊提供了途徑,黑客能夠非常精準地獲取數據,繼而進行精確詐騙,因此必須採取有效措施應對外部攻擊風險。
●數據交換風險
爲了規避數據交換風險,需要建立科學的對外數據交換標準,提高數據安全要求,同時強化對病患敏感數據的脫敏處理能力。
●數據泄露風險
內部人員的權限管控制度如不完善,非權限人員便可隨意訪問病患隱私信息,數據泄露風險很大;加之內部人員監管手段不足,引發取證難等更多問題。
如何應對數據安全風險?
●加強醫療數據管理
對現有醫療核心系統,如醫院的HIS、LIS、PACS核心業務系統、衛計委的區域衛生工作平臺、社區衛生公共服務平臺等系統的數據庫資產和數據資產進行全方位梳理。對於包含患者隱私信息的數據庫進行權限控制,並對醫療數據進行分類分級;對醫療核心數據資產進行週期性動態分析,實時掌握數據資產變化及使用趨勢,做到對醫療數據的風險預估和異常評測。
●加強數據庫安全防護
爲了防止黑客或內部高權限用戶整體拖庫,造成大批量明文數據泄露,需對數據庫中存儲的敏感數據進行加密。通過多級權限控制體系,按角色、IP地址、時間範圍對密文進行訪問控制,並通過對應用程序或系統進行摘要值和連接隨機種子的判定,保證應用身份標識不可僞造,合法連接不可重放,實現醫療數據被盜後無法查看明文的目的。
●做到真正意義上的防“統方”
對醫院信息系統進行安全監控和預警,幫助技術人員迅速發現和解決安全隱患和安全故障。例如在醫院內網部署防統方數據庫審計系統,全面監控HIS系統的用藥、藥品庫存信息使用狀態等,對惡意統方行爲進行實時監控和告警,同時可及時通知管理人員快速定位統方行爲並進行阻止,有效保證醫院信息系統數據的安全性。
構建科學的醫療數據安全防護體系,利於及時主動發現信息系統的安全漏洞及潛在威脅,從而提高醫院安全事件的相應和處理能力,切實保障醫療數據安全。