随着移动终端和智能终端、可穿戴设备、云端和物联网的普及,数据安全的形势已完全改变。近年来我国发布了一系列相关法律法规,包括《全国人大常委会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》《消费者权益保护法》和《中华人民共和国网络安全法》等。医疗行业的数据安全形势则更加严峻。
医疗数据安全问题分析
根据数据安全的结果,医疗数据安全问题可以分为如下四类:
数据丢失 数据丢失包括个别数据被删除、部分文件丢失、整个数据库丢失、整个系统丢失等,数据丢失事件的例子颇多。2017年著名代码资源托管网站Gitlab.com因误删除生产数据库且备份措施失效丢失了6小时数据。2015年谷歌的比利时数据中心因雷电天气引起电力中断系统断线磁盘受损导致约100多GB的的数据丢失,部分公司的服务中断了长达12小时。
数据被篡改 医疗数据被篡改包括病人费用、病历、网页、办公流程审批数据、内部管理数据、系统设置数据等被篡改。因报考数据被篡改,2003年河南王娜娜、2009年湖南罗彩霞被人顶替而不能上大学。2014年中国电信网站被篡改成钓鱼网站,大肆贩卖假手机充值卡。
数据被泄露 部分不法人员通过雇佣黑客入侵或收买内部人员,窃取患者隐私数据、药品和耗材使用数据牟利。2017年京东一员工盗取了涉及交通、物流、医疗、社交、银行等个人信息约50亿条贩卖到网络黑市。山东省疾控中心、泰州市和徐州市的疾控中心泄露了大量的病人隐私资料。
数据被破坏 数据文件若被破坏,相关功能则不能正常运行,系统可能瘫痪。2017年黑客窃取了美国国家安全局的工具“永恒之蓝”,勒索了全球近百个国家数万台计算机,索取比特币赎金,在这次事件中,英国多家医疗机构被迫取消手术。
医疗数据安全问题原因分析
导致数据安全问题的原因很多,概括如下:
保密意识不强 在使用社交媒体和手机App时,也无意中泄露了个人隐私数据。如发布的JPG、TIFF图片就泄露了一些私密数据,因这些图片文件头部记录了照相设备、作者、日期、GPS位置等数据。调查显示,文档类泄密事件97%是内部员工有意或无意泄露造成的。
内部管理漏洞 因管理不严,医生办公室的电脑很容易被盗用,数据也易泄露。部分医院数据中心主机房和分布在医院各栋楼宇的网络设备间也可能因管理不严,存在信息设备被人断电或接入不安全设备或恶意操作的隐患。
人员误操作 误操作也是数据错误的重要原因,尤其是人们习惯打开多个界面同时操作,经常在不同界面切换,如前面提到的Gitlab.com数据丢失。
人为故意 隐私数据被有意收集、盗取的事件时有发生,如拍照留存快递单、统方、蓄意删除病人费用记录、为掩盖错误而篡改医嘱活库存数据等。还有人为搞破坏恶意篡改医院网站网页、植入病毒或木马致系统瘫痪。
外部安全原因 在互联网时代,医院信息系统的外界威胁也越来越多,病毒感染、黑客入侵、外部攻击等不断影响系统的运行。有资料显示,医疗卫生行业网站的高危漏洞比例在所有行业中排第三,平均被攻击次数排第一。
软硬件故障 电力问题、设备故障都是数据安全问题的重要原因,谷歌数据丢失就是因为电力中断。软件设计缺陷如数据驻留、数据传输未加密等也可能导致数据安全问题。
医疗数据安全措施
医疗数据安全措施应贯穿于数据管理全生命周期,确保数据不丢失、不被篡改、不被泄露和可用。
数据分级管理 根据数据的特性,医疗数据可分为绝密、机密、保密、内部共享、医院间共享和对外公开几个等级。应根据不同的等级,制定不同的的管理规程,包括数据保密范围、保密时效、授权范围、授权流程、操作规程、操作核对规程、操作记录规程、操作审查机制、责任追究机制、技术保护策略、应急预案等。
加强内部管理 加强管理,加强监督、检查和评估,重视用户培训和文档管理。定期评估数据安全状况,包括安全系统软硬件运行状况、制度和规范执行情况、数据复制情况、送修和报废设备的数据保护状况、权限的审批和收回情况、密码强度、外包服务中的数据保护管理情况、演测试环境数据保护情况等,发现问题及时整改。加强技术方案的审核和把关,包括对安全规范、安全漏洞、数据访问控制、数据加密、数据访问日志管理、本地临时数据保护措施等进行审核。
采取必要的技术措施 安全技术措施包括系统容灾、终端设备网络准入、病毒防护、访问控制、入侵防护、数据库审计、防火墙、堡垒机、加解密、脱敏、漏洞扫描和修复、日志分析、流量监控、安全态势感知、数字证书、数字水印、数据泄露防护等。应用软件的设计对数据保护也能起到巨大作用,如权限管理到数据级,记录数据访问日志,重要数据采用多表写入和定期校验,对敏感数据加密存储等。
加强日常监控 对医院信息系统进行安全监控和预警,帮助技术人员迅速发现和解决安全隐患和安全故障。对涉密电脑还须安装监控和报警软件,实现对安全事件的自动响应甚至销毁数据。
引入第三方服务 术业有专攻,第三方专业数据安全服务是提高医院数据安全的有效方式。在第三方的支持下,构建科学的医疗数据安全防护体系,利于及时主动发现信息系统的安全漏洞及潜在威胁,提高医院安全事件的相应和处理能力,切实保障医疗数据安全。
数据备份 无论如何先进的数据安全措施,都不可能保证数据完全不丢失,数据备份仍是保障数据安全的重要手段。可根据HIS、PACS等应用的特点选择不同的备份策略,如完全备份、差异备份、日志备份、本地备份、异地备份、磁带备份和数据容灾等[9-10]。
医疗数据的价值巨大,数据安全问题带来的社会影响和经济损失也是巨大的,增强医院的数据安全防护能力是医院信息化建设的责任和使命。
第三十四届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:content
免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。
抢沙发
