新兴信息技术与传统医疗业务的不断深化融合,促进医疗服务从院内向院外、从线下向线上的不断延伸。医疗行业传统内外网物理隔离的安全防护策略被彻底打破,医疗机构被暴露在互联网环境更多的网络风险之中,应如何以现有条件更好应对?
笔者根据自身实践经历,分享医疗机构从购买网络安全产品转向购买网络安全服务的另一种思路。
困局:医院网络安全人员配备与能力普遍不足
虽然近两年国家出台了一系列关于网络安全管理方面的要求和文件,各方看起来也“高度重视”,但我国医疗行业网络安全工作起步较晚、整体风险较高、防护水平相对落后依然是不争事实。根据2020年3月中国软件评测中心网络空间安全测评工程技术中心发布的《医疗行业网络安全白皮书》显示,医疗行业网络安全存在以下五大问题:身份认证口令不健壮、网络防护架构不到位、数据备份机制不健全、数据加密措施未落实和网络安全管理不到位。
针对以上五大问题,如何提高医疗行业网络安全保障能力建设,将网络安全等级保护2.0标准真正落到实处,成为医院信息管理部门绕不过的门槛。
一个客观困难是:网络安全规划、实施和运维的复杂性对网络安全工程师的综合素养提出了更高要求。网络安全工程师只有熟悉各种网络安全产品的防护原理、功能特点及策略配置,并能在实践中不断总结经验教训和完善安全知识体系,才能结合医院实际情况做好安全规划。出于众所周知的原因,目前各医院信息管理部门的人员配备普遍不足,专业的网络安全工程师更是凤毛麟角。根据国家卫生健康委统计信息中心发布的《全民健康信息化调查报告——区域卫生信息化与医院信息化(2021)》显示:医院信息化部门核定人员编制数集中在10人以下,其中核定编制人数≤4人的三级、二级和其他医院占比分别为50.1%、70.2%和72.9%。
作为单体医院,普通IT工程师尚且配置不足,更别提有能力自己培养优秀的网络安全工程师了。即使网络安全公司的工程师有意向入职甲方,甲方也未必养得起;而且一旦入职甲方,往往意味着其安全知识体系将局限于过去。
目前,大多医院的做法是:根据信息部门技术人员有限的网络安全认知,结合网络安全公司的部分建议,规划医院的网络安全建设;根据等级保护评审的最低要求,分别从不同安全厂商那里购买不同的安全设备和软件,再由各产品的实施工程师协助部署到位后,进入项目验收环节。
至于安全产品的部署是否真正到位?相关安全策略有没有根据医院实际业务需要及时开启或关闭?是否有日常的监管、运维和持续改进?这些问题的答案可能都不太理想。网络安全的复杂性决定了安全产品的策略部署和安全协同不可能是一成不变的,这就需要配置一个网络安全工程师定期对医院的网络安全环境进行风险评估,并提出经济可行的整改建议。
在传统项目交付的医院网络安全建设模式下,必然决定了安全厂商的只关注自家产品的功能应用,而忽略其在整体规划中真正应发挥的作用;而且一旦项目验收,也就意味着后续工作动力不足,能否提供更好的服务或行之有效的调整建议,可能完全只能凭借私人交情或安全厂商工程师的个人素养了。
破局:从购买安全产品到购买安全服务的转型尝试
为避免出现安全产品“齐全”而安全服务不足的问题,笔者于2019年曾经在原就职医院(以下简称甲方)做过一次大胆尝试,直接与网络安全服务厂家(以下简称乙方)签署安全运维服务合同,内容要点包括以下几个部分:
首先由乙方对甲方进行一次全面的网络安全风险评估,并对存在的安全漏洞给出切实可行的解决方案,其中包括但不限于提供安全设备和安全软件的部署。
这个主意看起来是不是很不错?我相信你一定也想到了一个问题:乙方既做评估又出解决方案,有点既当运动员又当裁判员的感觉,会不会出于成本考虑,对甲方存在的安全风险有意隐瞒,从而可以降低后续的安全加固成本?
接下来,笔者在安全服务内容设计时增加了两条要求:第一,乙方必须协助甲方完成基于网络安全等级保护2.0标准的第三方机构测评,综合得分不低于80分;第二,增加对赌条款,如果因为乙方服务不到位导致甲方出现重大安全问题(包括但不限于勒索病毒攻击等导致日常业务中断等),乙方应第一时间采取救援措施(包括但不限于支付勒索赎金等),同时根据业务中断时间等计赔付额,赔付金额最高可达合同总金额的5倍。
通过上述两个条款,甲方成功地将风险转嫁给了乙方。如果乙方不认真做好服务,由此造成的损失将由乙方全额买单。
但这样就真的安全了吗?邓宁格说过:资本如果有50%的利润,它就会铤而走险;如果有100%的利润,它就敢践踏人间一切法律。风险或许可以转嫁给乙方,但医疗机构必须承担网络安全的主体责任。面对有较大弹性的招标项目,总会有一些小公司铤而走险、胡乱应标,中标后又舍不得安全加固的成本投入,就指望运气好熬过一年后可以顺利拿到服务费用。万一真的运气不好,就做好扯皮的打算,或者干脆关门大吉,最终吃亏的还是甲方。
所以,医疗机构对网络安全服务商的选择一定要设定较高的门槛。对于一家有实力的服务商来说,信誉比赔款更重要。为了避免出现赔付风险,他们会更愿意投入更多的服务成本,将甲方的安全风险降低到相对可控范围。同时乙方也可以针对某家医院的安全运维项目向第三方保险公司投保,来转嫁部分赔付风险。
第三,网络安全建设是一个投入再多也填不满的“无底洞”,因此这份网络安全服务合同必须要约定大体的服务内容边界。可以参考网络安全等级保护建设标准,并结合医院的网络安全建设目标,建议在招标初期就将必须要由乙方提供的安全设备和软件列出清单,便于乙方更好地评估应标该项目可能需要付出的实际综合成本。同时,甲方要在标书和合同中对于赔付标准给出清晰的、实际可执行的定义。
还要注意的是,网络安全责任是很难严格划分边界的,光有乙方一腔热血而甲方管理配合不到位也是白搭。不是有了乙方的对赌承诺,甲方就可以躺平了;相反,需要甲方网络安全工程师花费更多精力去配合乙方完成安全加固服务、日常运维和相关安全管理制度的落地。甲方工程师要全程跟随乙方专业人员进行产品部署和配置管理,并在交流学习中不断积累和修正自己的网络安全知识体系。
在笔者亲身经历的这次运维服务合作中,在近两年时间里,乙方除了一次性投入大量的安全设备软硬件之外,每周都会派工程师到甲方现场服务,每月会为甲方提供一份全面的风险评估报告,双方就新发现的网络安全问题共同探讨解决方案,从而有效保障了甲方的网络安全。即使在勒索病毒肆虐的2020-2021年,甲方也从未发生过因网络安全问题导致的局部停机事件。
通过这一案例,笔者想表达的是:在我们习以为常的事情上不妨转换一下建设思路,或许能花更小代价实现更理想的应用效果。对于医疗机构而言,购买安全服务的方式付出的成本,实际上比单纯购买安全产品更经济实惠,也更有保障。但必须再一次强调的是:网络安全服务或许可以寻找新的服务途径,但网络安全责任永远无法“外包”。
【作者简介】
应华永,主任技师,弘和仁爱医疗集团金华广福医院CIO兼集团信息部顾问。
九三学社浙江省代表大会代表、九三学社金华市科技委员会秘书、九三学社金华市中心医院支社副主任委员;中国医院协会信息专委会(CHIMA)青年委员,浙江省卫生信息学会医院信息化专委会副主任委员,浙江省卫生信息学会信息安全专委会副主任委员。
【责任编辑:秦勉】
评论前必须登录!
注册