来源:HIT专家网 作者:李崇铭
【编者按】
物换星移,又是一年。HIT专家网延续惯例,推出年度“回顾展望”系列文章,对已经过去的2023年HIT行业热点事件进行回顾,同时展望2024年,向未来追梦前行。敬请读者朋友们关注。
在信息系统规模不断扩张、医疗数据资产不断“升值”的当下,医疗机构的网络安全“担子”愈发沉重。虽然这些年医院网络安全意识有所觉醒,网络安全投入有所加大,等保认证持续开展,但是医院信息部门普遍缺乏专业网络安全管理人才,甚至没有专人负责网络安全岗位,仍是不争事实。
回望2023年,医疗机构的网络安全外延继续延伸,面临的外部威胁有增无减;在数据安全领域,不断出台的法律法规更是敦促医疗机构抓紧扎紧篱笆。
重压之下,如何突围?安全托管服务(Managed Security Service,简称MSS)并非新事,但专门面向医疗用户提供的专属MSS服务的出现,却是2023年医疗行业网络安全领域令人眼前一亮的一笔。为医疗机构网络安全引入强有力的“外援”,医疗专属的MSS服务,会是医院CIO们期待的那个“答案”吗?
从信息系统到医疗设备,网络安全外延在拓展
在智慧医院的建设过程中,医疗设备与医院信息系统的数据交互愈加密集,医疗设备的数据安全和网络安全等问题已经越来越重要了。
2022年3月,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》,针对医疗机构设备网络安全管理问题给出了明确的政策依据。2022年8月,《医疗卫生机构网络安全管理办法》正式发布,明确要求“建立健全医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度,定期检查或评估医疗设备网络安全,并采取相应的安全管控措施,确保医疗设备网络安全”。
这些政策的出台,为医院信息部门守土有责提供了“利器”。对不符合网络安全要求的医疗设备,医院信息部门从此更有底气说“不”。但医疗设备的网络安全问题在不少医疗机构依然存在“管理真空”,上述指导原则与管理办法如何落地,还需实践检验。
2023年4月,2023IHE(医疗信息系统集成)大会将主题定为“统筹规划医疗设备安全”;2023年8月,IHE中国再次围绕“医疗设备信息管理”展开专题研讨。从这些业界讨论的整体意见来看,医疗机构需要树立“医疗设备整体安全观”,医疗设备的网络安全问题需要医工部门与信息部门的“双向奔赴”,需要业务人员与安全人员的“双向了解”。在当前无法完全控制外部设备的形势下,加强医院自身安全壁垒仍是最好的办法。
法律法规体系日益健全,扎紧网络安全“篱笆”
在数字经济时代大背景下,医疗数据将发挥越来越重要的战略性基础资源作用,价值备受瞩目。
2022年底,“数据二十条”发布,将“坚持促进数据合规高效流通使用、赋能实体经济”作为主线。2023年10月,国家数据局正式挂牌成立。2023年12月,《关于加强数据资产管理的指导意见》发布,《指导意见》侧重对公共数据资源开发利用过程中的规范和管理,强调安全的重要性,其基本原则第一条即为“坚持确保安全与合规利用相结合”。
医院数据资产价值高,医院数据安全风险也水涨船高,网络安全防护形势更为严峻。2023年3月,在国务院办公厅印发的《关于进一步完善医疗卫生服务体系的意见》中,就明确要求加快健康医疗数据安全体系建设,强化数据安全监测和预警,提高医疗卫生机构数据安全防护能力,加强对重要信息的保护。然而,2023年底发生的明星病历泄露事件,再次引发了社会对医疗信息安全与患者个人隐私保护的强烈关注。
面对内忧外患,医院需要全面构建网络安全文化氛围。实际上,一些医院开始通过实战演练提升全员网络安全意识。2023年,北京友谊医院、北京大学肿瘤医院、和睦家医疗等不少医疗机构面向全体成员开展了网络安全攻防战、钓鱼邮件演练等网络安全专题宣传活动,让全院上下切身感受网络安全威胁,在日常工作中提高风险防范意识。
安全“服务化”,医疗MSS可望迎来“夏天”?
2022年8月,《“十四五”卫生健康人才发展规划》发布。《规划》提到,研究制定卫生健康信息化人员配备标准,突出加强数据分析、网络安全等技术人员配备;加强信息化知识普及,提高全行业人员信息素养和安全。
然而,长期以来,医院信息部门普遍面临人力资源投入不足、缺乏系统的人才队伍培养和学科建设。本应设立专人负责网络安全,就成为一种奢谈。
近年来,国家卫生健康委连续举办卫生健康行业网络安全技能大赛,在实战中学习、提升医院信息部门网络安全技能。有一批医院信息部门的网络安全人才在大赛中脱颖而出,但这对于成千上万家医疗机构而言,可谓杯水车薪。
MSS(安全托管服务)慢慢走入行业视野。针对医疗机构网络安全“合规+实践”的要求,安恒信息提出网络安全“服务化”的理念,站在医院的角度了解业务和需求痛点,提供安全托管运营服务,为浙江大学医学院附属第二医院等医疗机构打造立体防护体系。
深信服医疗行业安全运营中心于2022年正式成立,至今已运行一年有余。据介绍,该中心是专为医疗行业设立的,根据医疗业务的特殊性对MSS服务进行了大量的行业化适配,截至2023年9月已累计为全国范围内超过500家医疗卫生机构提供MSS服务,识别客户侧安全漏洞数逾10万个,从提前预防、实时监测、闭环处置三个维度防范网络安全风险。
术业有专攻。医疗机构网络安全走向“服务化”,MSS提供的安全效果评估和体系建设“补强”,于医疗机构而言更经济实惠,也更有保障:
第一,配备行业化专属安全专家团队,对医疗机构的安全需求了解更深,为网络安全工作引入专业“外援”,缓解医院信息部门压力;
第二,沉淀安全医疗行业能力,帮助医院监测漏洞风险、规划安全体系、补齐短板缺项,防微杜渐;
第三,共享医疗行业威胁情报,增强网络安全工作的预见性和方向感,让医院CIO们“心中有底,遇事不慌”。
可以预见,在医院网络安全工作扩容、内涵提升的需求推动下,医疗MSS还有很大的落地空间。对医疗机构而言,医疗网络安全的服务可以外包,责任并不能外包。毕竟,医疗机构始终是网络安全的主体。
【回顾展望系列文章】
回顾展望 | 任连仲:给医疗信息化同行们提几点“乌托邦式”的建议
回顾展望 | 薛万国:期待新一代医院信息系统更加关注业务创新
【责任编辑:陈曦】
评论前必须登录!
注册