HIT专家网
【编者按】
2019年行将过去,对于医疗信息化行业而言,一年来国家卫健委、国家医保局、国家药监局等部门政策频出,医疗卫生机构用户、医疗IT产业,处于深刻的变化之中。
为此,HIT专家网特别甄选业内热点话题,推出“回顾2019,展望2020”系列文章,敬请读者朋友们关注,欢迎大家来稿共同参与讨论。
来源:HIT专家网 作者:谭啸
这两年,在勒索病毒的阴影笼罩下,作为“重灾区”的医疗行业,在遭遇不少惨痛教训之后,在日益趋严的政策监管要求和日益频繁的同行交流中,对于网络安全的意识总体有所“清醒”,但网络安全威胁仍挥之不去。
明确责任主体:医院网络安全进入2.0时代
盘点2019年网络安全领域,首屈一指的关键词,非“等保2.0”(全称:网络安全等级保护制度2.0国家标准)莫属。2019年5月13日,“等保2.0”发布;2019年12月1日,“等保2.0”正式实施。
2019年7月,在厦门举行的CHIMA 2019医院信息领导力论坛上,国家卫生健康委员会规划信息司司长毛群安、国家卫生健康委员会医政医管局副局长焦雅辉都强调了“数据安全”问题。毛群安说:“医院管理者一定要把握好安全底线。”焦雅辉说:“信息系统安全是贯穿智慧医院建设的最重要和最基础的内容,是一条底线。医院的安全,不仅是患者安全,还有信息系统的安全、数据的安全。数据安全不仅是信息泄漏,要从国家安全战略高度,认识到医院产生的医疗大数据是国家安全的重要组成,一定要绷紧医疗数据安全这根弦。”
公开信息显示,2019年有多家医疗机构因为网络安全问题被网监部门罚款,如:重庆某医院被罚款1万元,湖南省岳阳市某县某医院被罚款5万元。根据《中华人民共和国网络安全法》,医疗机构如果发生数据丢失和网络瘫痪等重大网络安全事故,将面临网监部门的高额罚款,有关责任人甚至将承担严重的刑事责任。政策就是指挥棒,医疗机构对网络安全的重视程度正在日益提升。
2019年9月,CHIMA发布《2018-2019年度中国医院信息化调查报告》。报告显示,在839家参与调查的医院中,有43.95%通过了等级保护测评。与上一年相比,《2017-2018年度中国医院信息化调查报告》显示,在484家参与调查的医院中,有36.16%通过了等级保护测评。该数据在提升,表明医院对等保的重视程度也有所提升。
HIT专家网曾采访专家,探讨等保2.0对医疗行业网络安全的要求和影响。深信服医疗事业部副总经理钟一鸣对医疗机构开展网络安全等级保护工作提出了几点建议:第一,合理开展新业务系统及平台的定级备案工作,如医疗大数据平台、互联网医疗平台等,院内如HIS、EMR等还未开展定级备案工作的传统核心业务系统,也需要加快等保建设步伐。第二,在等保建设中尝试采用新技术新手段加强医院的安全技术防护和态势感知建设,以防范特种木马或新型网络攻击。第三,加强日常安全运维,引入可视化、统一运维等创新技术,让安全管理和运维更简单并且更加有效。第四,加强主动防御能力,并通过全方位、多视角的风险分析,完善医院网络安全建设短板。
新疆人民医院信息中心主任彭建明主任建议,医院在开展网络安全建设时,要把能造成医院业务系统停运的每个环节都要考虑到位,可以遵循两个原则:一是医院的信息系统不会因为硬件故障而停运;二是一定要对核心数据进行安全有效的备份。
能力不足:管理和技术水平亟待提升
医院目前的网络安全状况总体仍十分不乐观。尤其是弱口令、内部管理有待加强等现象普遍存在,导致各种管理漏洞频现,黑客或内鬼有机可乘。
国家卫生健康委员会统计信息中心副主任周恭伟近期公开表示,宁夏医院网络安全十分薄弱,网络攻击演练一攻就破,医院网络安全能力亟待提升。
2019年4月,在CHIMA组织的医院网络安全技术培训班上,北京市卫生健康委信息中心副主任郑攀表示,我国医院现有的安全保障体系尚处于初步建设阶段,尚不足以应对当前网络安全威胁,行业整体网络安全保障水平亟需提升。
解放军总医院医疗大数据中心主任薛万国在接受HIT专家网采访时谈道,“从整体上看,医疗行业已经充分认识到网络安全的重要性,当前不重视网络安全的医院已越来越少,特别是大医院在网络安全上也舍得投入。但当前医院网络安全最大的问题是能力不足,大部分医院靠自身的力量无法搞清楚网络安全的风险在哪儿、如何防范、出问题后如何处置,必须依靠第三方。”
“当前各医院的漏洞非常多,专业的黑客半天就能攻到核心系统中,医疗行业信息安全的管理和技术水平在所有行业里面算是很低的。”国家心血管病中心主任助理兼信息管理和监测评价处处长、中国医学科学院阜外医院院长助理兼信息中心主任赵韡博士在2019南湖HIT论坛演讲时表示,阜外医院不久前曾组织组织重大攻防项目,扛住20多天的攻击。医疗机构针对网络安全进行的全员培训、攻防演练、应急演习等活动,日渐增加。
2019年8月,腾讯与中国信息通信研究院联合发布《2019健康医疗行业网络安全观测报告》。医疗行业整体评分为788分,处于“较大风险”的风险级别,存在多种网络安全风险以及大量可以被利用的安全隐患,防御公共互联网攻击的能力较弱。网络安全风险的集中表现包括:一是僵木蠕等问题严峻,勒索病毒威胁严重;二是数据泄露事件高发,应用服务存在隐患;三是网站篡改手法多变,隐式植入非法信息。
一方面,医院网络安全能力不足;另一方面,我国网络安全厂商的能力,虽然取得了长足进步,但就全球网络安全产业格局来看,还是处于“雄关漫道真如铁”的局面。在Gartner2019年网络防火墙魔力象限中,华为、深信服、山石网科、启明星辰、新华三等5家企业入选,华为处于挑战者象限,其余4家均处于特定领域者(Niche Players)象限。在Cybersecurity Ventures发布的“2018年网络安全创新500强(Cybersecurity 500)”中,美国有358家公司上榜,中国有8家公司上榜。
市场可期:医疗行业网络安全产业蓬勃发展
12月9日,在2019中国网络安全产业发展高峰论坛上,工信部网络安全管理局局长赵志国表示:“今年,中国网络安全产业规模估计将超过600亿元,年增长率超过20%,明显高于国际上8%的平均增速。”全局如此,医疗行业这一细分领域的网络安全产业也将保持蓬勃发展的态势。
首先,网络安全政策带来增量空间。在国家政策的推动下,医疗行业对于网络安全的重视程度日益增加,医疗机构为符合等保2.0时代国家网络安全等级保护政策的新要求,将进一步加大投入购买网络安全产品和服务。
其次,电子签名日益成为大医院网络安全的刚需。《中华人民共和国密码法》将于2020年1月1日起正式施行,密码是网络安全等级保护的基础,国产商用密码是网络安全的基石。国家卫健委规定,医院要通过互联互通成熟度测评,必须通过网络安全三级等保;要通过互联互通成熟度测评5级,就必须有可靠电子签名应用,医疗行业的数字认证领域无疑充满巨大的机遇。而“账号和口令可以替代可靠电子签名”的错误论点居然还有一定市场,折射医院网络安全意识的淡薄。
第三,互联互通、大数据应用为医疗数据安全产业带来广阔的发展前景。在医联体、医共体、分级诊疗的宏观背景下,各级医疗机构对医疗数据共享及深化应用有强烈的需求。越来越多的大数据应用需求,带来更多数据安全的压力。
上海申康医院发展中心医联中心主任何萍曾表示,“数据只有流动才会产生价值,才能实现数据融合后更大的增值效益。然而医疗数据的隐私保护和共享开放是一对矛盾,如何把握好两者之间的平衡非常重要。医疗大数据涉及到数据采集、治理、分析利用、交换共享、流通交易多个环节,迫切需要加快健康医疗大数据安全保护技术、解决方案与法律法规体系的建设进程,从顶层设计指导全局。”
2019年10月,杭州美创科技与HIT专家网联合发布《医疗数据安全风险分析与防范实践》白皮书,其“知白守黑、灯下黑、与狼共舞、零信任”等理念值得借鉴。
第四,网络安全人才培养很迫切。目前,我国网络安全人才的缺口很大,医疗机构很少有专门的网络安全人员。2019年,“CTF大赛”这个词很流行,各地、各行业、各机构都在举办网络安全攻防大赛,医疗行业亦是如此。两个行业大会(CHIMA和CHINC)都举办了“网络安全攻防大赛”,各医疗机构踊跃报名。以赛促学、以赛代练,成为培养人才、提升水平、打造高素质网络安全队伍的重要手段。
网络安全就像是“达摩克利斯之剑”,始终高悬在院长和信息科主任的头上。展望2020年,在国家政策的指挥棒下,医疗机构对于网络安全的重视程度、医疗机构的购买能力和安全水平都在逐渐向好,但医疗行业网络安全能力普遍堪忧,短时间内很难摘掉“重灾区”的头衔。从中长期看,由于医疗大数据价值日益彰显,医疗服务在互联网环境下日益开放,医院将长期处于各种内外部网络安全威胁之中,传统的网络安全防护理念和模式已经无法应对。
在网络安全有法可依、责任主体日益清晰的当下,医院何以解忧?唯有持续加强网络安全能力建设。
想加入HIT专家网专业交流群吗?请添加“HIT专家网”小助手微信好友
(请务必注明姓名、单位名称、职务、主管技术或产品领域等实名信息)
【责任编辑:孙鹏】
评论前必须登录!
注册