文│中国信息安全测评中心 高松 周冠宇 董博

坚持总体国家安全观是习近平新时代中国特色社会主义思想的重要内容。数据安全作为国家安全的重要组成部分,与国家稳定、经济运行、社会治理、国防安全等方面密切相关,数据泄露、丢失和滥用将直接威胁国家主权、国家安全、社会秩序和公共利益。

近年来,围绕数据的有效保护和合法利用,我国从多个方面、多个层次进行了总体布局和战略规划,形成了以总体国家安全观为指导,以《网络安全法》《数据安全法》《个人信息保护法》为核心驱动,以《关键信息基础设施安全保护条例》《网络安全审查办法》《网络数据安全管理条例(征求意见稿)》为抓手的数据安全保障体系。通过赋予数据发展和应用权利,明确数据安全保护义务,要求数据相关方落实安全责任和监管职责。在此大背景下,健康医疗领域由于承载着海量的数据资源,并伴随着各种新业务、新应用的不断涌现,面临着越来越多的安全挑战。

一、从数据应用角度认识健康医疗数据的重要价值

健康医疗数据是我国重要的基础性战略资源,涉及病患数据、病历信息、医疗保险信息、健康日志、基因遗传、医学实验、临床数据、体外诊断产品及第三方检测数据、医疗机构运营数据、科研数据等多方面信息,具有数据量大、来源广泛、类型多样、存储复杂、实时性强的典型特征,有极高的应用价值。党中央、国务院高度关注健康医疗数据的发展与安全,从战略规划、技术能力及应用与管理三个层面积极落实推进健康医疗数据有关政策,加速产业发展从理论研究进入应用实践。

早在 2016 年,国务院办公厅就在《关于促进和规范健康医疗大数据应用发展的指导意见》强调,健康医疗数据应用发展有利于激发深化医药卫生体制改革的动力和活力,扩大资源供给,不断满足人民群众多层次、多样化的健康需求,有利于培育新的业态和经济增长点。随后,国家卫生健康委先后印发《国家健康医疗大数据标准、安全和服务管理办法(试行)》《关于加强全民健康信息标准化体系建设的意见》《关于深入推进“互联网 + 医疗健康”“五个一”服务行动通知》,对健康医疗数据的应用、标准体系规划、智慧医院建设等方面提出了要求,发布多项卫生健康信息化标准,为推进健康医疗数据的应用发挥了重要作用,取得了显著成效。

但是,在健康医疗数据快速发展的同时,医疗数据资源分散、数据的跨境流动场景复杂、数据汇集困难、数据安全防护体系薄弱等问题凸显,使得健康医疗领域系统性安全风险及法律风险逐步增大。各医疗机构在数据采集、存储、传输、处理、使用、开放、交换、销毁等环节面临着较大的合规压力。坚持健康医疗数据安全与发展并重,完善数据安全防护能力建设,促进数据资源依法有序自由流动,加强数据依法合理有效利用,是各个医疗机构高质量发展的必经之路。

二、从数据保护角度识别健康医疗数据面临的安全威胁

由于健康医疗数据兼具隐私特性与高价值性,在各种利益的非法驱动下,医疗领域早已成为数据泄漏、勒索软件攻击、黑客攻击的重灾区。并且,伴随着新技术新应用在健康医疗领域的不断创新,医疗机构原本相对封闭的应用环境逐渐打开,数据流转加快,整体管控难度显著上升。结合健康医疗数据安全的典型案例和行业实践,主要有六个方面的安全威胁。

(一)健康医疗数据安全管理和标准体系亟待完善

健康医疗数据安全制度体系尚不完备,相关标准缺失。1. 各医疗机构在开展数据分类分级、生命周期管控、安全监测预警与应急处置、数据安全运营管理、数据安全监管等工作时缺乏指导和参考,未能形成针对健康医疗数据的整体安全防护体系。2. 针对患者个人信息的防护措施需仍需完善。健康医疗领域的个人信息相比其他领域隐私程度更高,除去个人基本信息(姓名、身份证号、联系方式、家庭住址等),还涉及治疗信息、检查检验结果以及手术信息等,泄露信息会给患者心理、家庭、社交关系造成伤害。同时,患者个人信息扩散将会给医疗机构的安全带来严重的法律问题和社会影响。3. 数据权属不明,难以厘清数据安全责任。健康医疗数据广泛分布在医院门急诊、住院、体检、保险、支付等流程中,并且在医疗机构内部局域网、医保系统、政务网等多个渠道上应用和传输,权责划分界限模糊。

(二)健康医疗数据生命周期各环节面临的潜在风险

健康医疗数据在各个医疗场景的流转贯穿了数据生命周期的全过程,每个环节都面临潜在隐患。例如,因信息散乱和来源庞杂而带来的数据采集安全风险,因数据流转频繁带来的数据传输安全风险,因数据海量和场景复杂带来的数据存储安全风险,因业务发展需求和用户隐私而带来的数据使用、开放和交换安全风险等,具体如表 1 所示。

表1 数据生命周期的各个环节面临的潜在风险

(三)健康医疗数据在业务应用过程中面临的潜在风险

健康医疗数据主要应用在各种医疗业务场景中,在应用过程中,可能存在业务系统管理不当、业务数据流转管控受限、业务连续性中断等安全问题,如表 2 所示。

表2 数据在业务应用过程中的潜在风险

(四)健康医疗数据安全面临的外部力量威胁

健康医疗数据的高价值和隐私性是黑客或高级持续性威胁(APT)组织关注的焦点。1. 面临数据泄露威胁,以患者相关数据为例,医疗机构存有个人身份信息以及银行卡信息、就诊数据、诊断结果、用药信息等,这些极具敏感性的数据蕴含着极大的价值,一旦遭到泄漏,轻则引发医疗身份欺诈、电话诈骗、财产失窃等后果,重则影响国家安全、社会秩序和公共利益。2. 面临勒索软件攻击,健康医疗领域是此类攻击重灾区。攻击者普遍认为,健康医疗数据作为涉及患者人身安全和隐私的信息,如果因网络安全攻击导致数据泄露、丢失、业务中断等严重问题,将危及患者生命安全,同时面临监管部门的问责,因此,医疗机构愿意不惜代价尽快恢复业务正常运转。

(五)健康医疗相关设备存在数据安全威胁

健康医疗相关设备在疾病的预防、诊断与治疗中发挥着极其重要的作用,安全问题不容忽视。1. 我国在高端医疗设备领域存在短板,在产业链、供应链上受到一定制约。公开资料显示,进口CT 设备、磁共振诊断仪、手术机器人、体外膜氧合器(ECMO)等占据了我国三级医院的主要市场,一些医疗器械虽然实现了国产化,但其核心零部件、原材料、制造设备和检测设备仍然依赖进口,难以实现自主化。这些设备中存储有大量的检测数据,若存在漏洞和预置后门,被攻击者利用,引发数据外泄,直接危及患者人身健康。2. 健康医疗设备中的漏洞情况不明,须加强安全检测。据《2022 年医疗物联网设备安全状况报告》显示,联网健康医疗设备中有 53% 存在已知漏洞,33% 的床旁医疗设备存在重大安全风险。如 2021 年 8 月,德国贝朗医疗有限公司的输液泵被发现存在重大漏洞,远程攻击者可利用这些漏洞更改设备配置,导致不正确的药物剂量,对患者造成伤害。

(六)健康医疗供应链存在数据安全威胁

健康医疗供应链涉及企业、人员、技术、管理、产品、服务等方方面面,范围广、环节多、时间长、情况复杂,安全威胁较为隐蔽。1. 医疗机构在软件供应链安全上缺乏管理,较少开展软件供应链安全审查、源代码检测、自主可控度测评等工作,诸如 Apache Log4j2 漏洞引发的开源软件威胁事件难以预估。2. 医疗机构在进行网络安全和信息化建设时,将部分模块或功能外包,由第三方厂商承担模块研发、测试或运营保障服务。攻击者可使用第三方业务作为攻击点,迂回进入医疗机构网络环境或平台系统中,窃取或破坏数据。3. 外包人员难以有效管控,数据窃取事件频发。例如媒体曾报道,某三甲医院“排队叫号系统”的外包维护人员,在利益驱使下与某公司医药代表勾结,数次侵入医院计算机信息系统数据库,非法获取 3198 条医院“统方”数据出售牟利。

三、从数据管控角度构建健康医疗数据的安全治理路径

(一)提高健康医疗数据安全责任意识,建立数据安全管理和标准体系

建立健康医疗数据安全管理体系。1. 形成全方位、跨部门、跨层级的健康医疗数据安全组织架构,明确各部门数据安全相关责任和义务,划分数据权属,涵盖医疗业务、信息技术、法律合规等多方面因素,贯穿于医疗机构的全部业务流程。2. 重点推进健康医疗数据分类分级、数据出境管理、数据安全评估等关键制度实施细则。3. 针对患者个人信息,建立医疗卫生机构患者信息的保护规则,通过具体的场景落实个人信息保护要求。4. 配合管理制度实施,围绕数据安全治理基础、数据生命周期管控、数据安全管理、典型场景安全建立健康医疗数据安全标准体系,全面落实数据安全工作,如图所示。

图 健康医疗数据安全标准体系

(二)梳理健康医疗数据资产,开展分类分级,加强重要数据管控

利用技术工具从健康医疗业务系统或者数据平台中梳理医疗数据。识别数据关系,可视化包含元数据、数据字典的数据模式,捕捉数据流转过程和关键节点,形成数据资产地图,并动态更新。在此基础上,对健康医疗数据资产进行合理的分类分级、处理权限划分等。特别重视重要数据安全管控,形成健康医疗重要数据目录并进行动态调整,制定重要数据识别、保护要求、风险评估等配套指引,完善重要数据全流程安全保障体系。

(三)建设数据安全技术保护体系,围绕数据全生命周期打造技术落地安全策略

采用技术手段完善健康医疗数据安全合规性建设。1. 依照最小必要原则进行数据采集,并向患者征得授权许可,加强源头管控。2. 通过访问权限控制、数据加密、数据脱敏、审计等技术,对健康医疗数据存储系统进行防护。3. 通过数据加密、个人信息去标识化、传输校验等技术,保障健康医疗数据传输安全。4. 通过充分知情授权,以区块链技术记录数据使用全过程,运用隐私计算等技术保证全过程不会出现超范围使用,减少泄露风险。5. 提供反爬技术和数字水印技术,在进行健康医疗数据开放共享时,通过反爬技术禁止爬取联网数据,通过添加水印防止被截屏或拍照而造成的数据泄露。

(四)完善健康医疗数据安全运营管控,建立常态化、规范化数据安全工作机制

通过组建健康医疗数据安全运营团队,建立完善的数据安全运营管控机制。1. 定期对健康医疗数据安全产品的使用情况进行分析,并结合管理要求,持续进行管控措施策略和配置的优化。2. 定期开展应急演练,制定健康医疗数据安全事件应急预案,按照事件的危害程度、影响范围等进行演练。3. 建立健康医疗数据安全监测预警与通报制度,及时收集分析数据安全信息,向有关部门上报重大安全事件,根据既定要求发布健康医疗数据安全监测预警信息等。4. 加强快速响应与应急处置,在发生数据安全事件时,快速启动应急处置措施,定期优化和完善应急预案和处置流程。5. 做好灾难备份与恢复,未雨绸缪,提前做好备份,在数据安全事件发生后,采取合适的恢复措施,确保健康医疗数据和业务系统及时恢复。

(五)开展健康医疗数据安全监管,综合施策,提升医疗机构数据安全保护水平

健康医疗领域主管部门开展数据安全监管工作,能够有效推动医疗机构落实数据安全主体责任,切实提升数据安全保障能力。1. 依据数据安全相关法律法规和标准,综合运用监督检查、贯标试点、评估检测等多种手段,引导医疗机构排查漏洞,杜绝隐患。2. 构建行业数据安全态势感知能力,加强数据安全风险监测和管理,实现威胁信息共享、上报和应急处置。3. 开展重要数据安全风险评估,提升医疗机构重要数据全生命周期安全风险防范能力。4. 开展数据安全供应链安全检查,从企业、产品、服务、人员多个维度查找风险隐患。

(六)创新驱动,人才引领,助推健康医疗数据产业安全合规发展

聚焦健康医疗数据产业发展,保障数据安全合规性建设,需要创新驱动和人才引领。1. 加大扶持力度,依托专精特新、产融合作等多种政策,从高等教育学科建设、科研经费保障、健康医疗数据安全领军企业培育等多个方面实现产学研用协同创新。2. 开展健康医疗数据安全关键技术科研攻关,通过“揭榜挂帅”、首席科学家负责制、经费包干制,充分激发数据安全企业创新创造活力,通过示范引领推动数据安全技术产品在医疗领域应用落地。3. 建立医疗领域数据安全人才培养体系,探索建设本领域数据安全人才基地,培养健康医疗数据应用和数据安全复合型人才。

作为关系国计民生的重要领域,健康医疗数据关系到千千万万患者的隐私和健康安全,医疗领域应当以总体国家安全观为指导,提升数据安全意识,建立健全数据安全管理制度和标准体系,依法对数据的采集、传输、存储、处理、使用、开放、交换、销毁等进行技术保护,加强健康医疗数据安全运维,开展数据安全监管,积极推进医疗数据合法利用,充分发挥健康医疗海量数据和丰富应用场景优势,赋能传统业务转型升级,催生新产业新业态新模式,全面推进健康中国建设。

(本文刊登于《中国信息安全》杂志2022年第7期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。