来源:HIT专家网 作者:沈玉强
【编者按】
未来已来,新型IT技术层出不穷,在与医疗业务场景深度融合的同时,也为医疗机构带来了新的安全风险与挑战。浙江省卫生和健康委员会在大力推进“未来医院”建设,其中建筑、设施设备和数字化是重点考量因素,对医疗机构提出了新的建设要求。在网络和数据安全管理方面,医疗机构应如何做?浙江大学医学院附属第四医院信息中心主任沈玉强撰写系列文章,分享医疗机构网络和数据安全建设的思考与实践经验。该系列文章分为三篇,本文为第一篇。
在推进“未来医院”的建设过程中,新技术应用带来了新的挑战与机遇:一方面,人工智能、物联网、云计算、大数据等新IT技术与医疗健康行业深度融合,医学人工智能应用对医疗健康数据的需求迫切,租用公有云/私有云计算资源部署医疗机构核心业务信息系统存在不可控风险,且大数据的分析利用与隐私保护之间如何平衡是个难题。另一方面,新型IT技术与网络和数据安全深度融合发展,为网络安全防护提供了新的机遇,比如,网络流量态势感知、安全日志大数据分析、安全风险实时分析等手段和措施层出不穷;通过安全GPT的训练,能够防护规则库外的攻击,实现主动防护;人工智能预判联动网络安全设备,实现联网实时预警和管控。
必须看到,当前医疗机构网络安全防护面临着前所未有的挑战与风险,如数据泄露、数据篡改、隐私泄露、网络瘫痪、系统瘫痪、账户越权和供应链攻击等。回望2024年,1月,某市某某医院因感染Lockbit3.0勒索病毒全院停诊,其中某分院停诊超48小时;2月,某市某某医院因病毒导致全院完全停诊超2小时。
医疗机构网络安全防护的难点在于:一方面,医疗机构业务系统数量多、实时性要求高、网络架构复杂、新技术挑战大;业务系统个性化要求繁杂、研发体系规范性严重不足;特别是医疗健康数据成为暗网必争之地。医疗健康数据包括生物信息数据、医学影像数据、组织病理数据和临床信息数据等方面,空间体量大、数据类型复杂、数据治理难度高、数据价值密度高,可用于群体健康分析、疾病病种研究、隐私泄露、针对性攻击、个人信息贩卖和药品统方等用途,在暗市上具有较高的出售价格,成为不法分子攻击的重点领域。
另一方面,医疗机构对法律法规和政策文件的理解不透彻,对行业标准执行力度不足,未能落实政策文件建议投资比例的网络安全资金,缺乏网络安全专业技术人员。医疗机构工作人员网络和数据安全意识薄弱,关联的软硬件厂商/人员众多且成分复杂、厂商工程师流动性高。
“未来医院”必须建立在安全的基础之上。为此,医疗机构应做好以下工作。
1.树立网络安全意识
医疗机构要时刻保持一种危机感,树立网络安全意识,也即能够认知可能存在的网络安全问题,预估网络安全事故对组织的危害,恪守正确的行为方式,并且执行在网络安全事故发生时所应采取的措施。
医疗机构需推动网络安全相关法律法规和政策文件学习。以《医疗卫生机构网络安全管理办法》《网络安全法》《数据安全法》《个人信息保护法》和《网络数据安全管理条例》等为代表的重要法律法规和政策文件,应在医院周会上传达学习。而涉及网络安全细分领域的法律法规和政策文件,信息部门应开展专题内部学习。
以浙江大学医学院附属第四医院(简称浙大四院)为例,所有新员工入院的第一课就包括网络安全专门培训,且医院每年面向全院员工开展网络安全培训会,充分利用网络安全宣传周开展安全意识培养。网络安全是底线思维,防泄密防重大事件的意识是重要组成部分。不同角色在开展工作时都要恪守网络安全要求,引起网络安全事件要承担责任风险。
2.摸清资产家底,发现安全风险
医疗机构应定期总结网络和数据安全工作要点,对信息资产进行统计梳理,并对网络安全风险进行统一管控。
信息资产清单的梳理,主要包括网络设备、数据中心设备、安全设备、弱电井、虚拟机资产、软件系统、接口服务、互联网应用/服务、数据资产、显示屏幕和联网医疗设备方面等。信息部门应每半年定期更新,如技术可行,要求做到实时更新。
网络安全风险的统一管控,既可通过上级单位通报、安全公司协助检查、自我检查和攻防演练等渠道发现,也可通过HVA(Hazard Vulnerability Analysis,灾害脆弱性分析)得出。医疗机构在开展HVA风险评估时,应主动将网络安全纳入HVA风险分析工作中,且每年至少进行一次,结合网络和数据安全工作要点,每年解决1-2个较难改动的风险点。
发现安全风险后应进行闭环处理,紧扣风险问题、整改方案、负责人、时间节点、整改完成复核等关键要素,确保消除安全风险。医院信息部门要根据网络安全态势,梳理网络安全工作要点,作为年度推进网络安全工作的抓手,并且每半年定期针对网络和数据安全工作要点进行评估和分析。
【责任编辑:陈曦 版式:明超】
评论前必须登录!
注册