《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 牛人訪談:醫(yī)療行業(yè)網(wǎng)絡(luò)安全如何“脫困”

牛人訪談:醫(yī)療行業(yè)網(wǎng)絡(luò)安全如何“脫困”

2020-09-08
來源:安全牛

  近年來,醫(yī)療行業(yè)逐漸成為網(wǎng)絡(luò)安全的重災(zāi)區(qū)。根據(jù)CyberMDX發(fā)布的2020年醫(yī)療行業(yè)網(wǎng)絡(luò)安全調(diào)查報告,2019年醫(yī)療行業(yè)是攻擊者的頭號目標(biāo),勒索軟件攻擊事件高達759次,泄露超過3500萬條病例記錄,損失高達40億美元。

  2020年,面對《生物安全法》、《網(wǎng)絡(luò)安全法》、GDPR合規(guī)的“圍剿”,安全防御能力墊底、攻擊熱度不斷上升的數(shù)據(jù)泄露“震中”——醫(yī)療行業(yè)如何“脫困”?

  近日,安全牛采訪了安進生物Amgen的顧偉,就國內(nèi)外醫(yī)療行業(yè)網(wǎng)絡(luò)安全現(xiàn)狀、問題與戰(zhàn)略進行了深入解讀,以下為采訪內(nèi)容實錄:

  顧偉 Great Gu

  BISO JAPAC,安進生物技術(shù)

  安進生物日本及亞太地區(qū)業(yè)務(wù)信息安全官,負責(zé)日本及亞太地區(qū)所有業(yè)務(wù)部門相關(guān)聯(lián)的信息安全、風(fēng)險管理和合規(guī)隱私,并且向全球信息安全官匯報。擁有超過15年的信息安全領(lǐng)域工作經(jīng)驗,在多個世界500強跨國外企中擔(dān)任過信息安全架構(gòu)和信息安全管理等工作,尤其在制藥行業(yè)、信息安全和隱私經(jīng)驗非常豐富。

  安全牛

  一、2017年網(wǎng)絡(luò)安全法實施,2020年生物安全法列入政府工作,請從對國家和社會的重要性層面談一談這兩個領(lǐng)域的共通點。

  顧偉:2017年6月1日,中國網(wǎng)絡(luò)安全法正式頒布。這標(biāo)志著從國家層面上來講,第一部網(wǎng)絡(luò)空間管轄的基本法和第一份國家網(wǎng)絡(luò)空間安全保障工作指導(dǎo)文件的落地。《網(wǎng)絡(luò)安全法》規(guī)范了網(wǎng)絡(luò)空間多元主體的責(zé)任義務(wù),以法律的形式催生了一個維護國家主權(quán),安全和發(fā)展利益的“命運共同體”;從根本上填補了我國綜合性網(wǎng)絡(luò)信息安全基本大法,核心的網(wǎng)絡(luò)信息安全法和專門法律的三大空白。

  《網(wǎng)絡(luò)安全法》共7章79條,包含六大亮點:

  1.明確了網(wǎng)絡(luò)安全主權(quán)的原則;

  2.明確了網(wǎng)絡(luò)產(chǎn)品和服務(wù)提供者的安全義務(wù);

  3.明確了網(wǎng)絡(luò)運營者的安全義務(wù);

  4.進一步完善了個人信息保護規(guī)則;

  5.建立了關(guān)鍵信息基礎(chǔ)設(shè)施安全保護制度;

  6.確立了關(guān)鍵信息基礎(chǔ)設(shè)施中數(shù)據(jù)跨境傳輸規(guī)則。

  不僅如此,一些配套或相關(guān)的法規(guī)亦先后出臺,包括《網(wǎng)絡(luò)產(chǎn)品和服務(wù)安全審查辦法(試行)》、《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《國家網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案》、《互聯(lián)網(wǎng)新聞信息服務(wù)管理規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務(wù)許可管理實施細則》和《互聯(lián)網(wǎng)信息內(nèi)容管理行政執(zhí)法程序規(guī)定》等。另外,《電子商務(wù)法(草案)》《個人信息和重要數(shù)據(jù)出境安全評估辦法(征求意見稿)》和《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例(征求意見稿)》已公開向社會征詢意見。

  網(wǎng)絡(luò)安全法是著眼于國家安全,國家網(wǎng)絡(luò)空間安全,保障的是我們公民的信息安全。而生物安全法是保護人民健康、保障國家安全、維護國家長治久安。因此把生物安全納入國家安全體系,系統(tǒng)規(guī)劃國家生物安全風(fēng)險防控和治理體系建設(shè),全面提高國家生物安全治理能力是現(xiàn)在刻不容緩的任務(wù)。而生物安全法也是我們國家層面非常重要的基于生物安全治理能力的法律,因此與國家信息安全分別屬于不同領(lǐng)域,但是起到了同樣目的。

  安全牛

  二、請您談一談國內(nèi)外醫(yī)療健康行業(yè)的網(wǎng)絡(luò)安全現(xiàn)狀。

  顧偉:現(xiàn)在我國的醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全還是以基礎(chǔ)架構(gòu)和應(yīng)用平臺作為突破口,結(jié)合不同屬性的企業(yè)特性,進行自我約束和自我監(jiān)管的態(tài)勢。

  從日趨嚴格的個人信息保護規(guī)范和健康醫(yī)療信息安全指南的監(jiān)管下,網(wǎng)絡(luò)安全戰(zhàn)略的制定,網(wǎng)絡(luò)安全架構(gòu)的設(shè)計,網(wǎng)絡(luò)安全運維管理的流程,技術(shù)和人員的成熟,以及應(yīng)對內(nèi)外部威脅和法律法規(guī)監(jiān)管的壓力都是國內(nèi)醫(yī)療健康行業(yè)亟需加大投入的側(cè)重點。

  醫(yī)療行業(yè)數(shù)據(jù)同樣在《網(wǎng)絡(luò)安全法》的數(shù)據(jù)監(jiān)管體系中也有特殊要求。例如,《個人信息安全規(guī)范》中則將“個人健康生理信息”明確列為“個人(敏感)信息”;《數(shù)據(jù)出境安全評估指南(征求意見稿)》的附錄A“重要數(shù)據(jù)識別指南”中也將部分醫(yī)療行業(yè)相關(guān)的數(shù)據(jù)包括在內(nèi),例如“A.18人口健康”與“A.21食品藥品”等兩個類別。而針對《網(wǎng)絡(luò)安全法》體系下的合規(guī)要求,則需要同步參照《網(wǎng)絡(luò)安全法》《個人信息安全規(guī)范》《個人信息出境安全評估辦法(征求意見稿)》《數(shù)據(jù)安全管理辦法(征求意見稿)》等規(guī)范,并以其為起點梳理具體的合規(guī)義務(wù)。換言之,在開展醫(yī)療數(shù)據(jù)合規(guī)工作的過程中,醫(yī)療行業(yè)經(jīng)營者既要關(guān)注醫(yī)療行業(yè)規(guī)范的具體要求,也不能忽視《網(wǎng)絡(luò)安全法》體系下對“個人(敏感)信息”與“重要數(shù)據(jù)”的合規(guī)監(jiān)管——兩大維度缺一不可。

  國外的醫(yī)療健康行業(yè)網(wǎng)絡(luò)安全發(fā)展相對比較成熟。美國和歐盟都有自己成熟的法律來監(jiān)督醫(yī)療健康行業(yè)的有序發(fā)展。因此,我國需要從以下幾方面著手,來打造醫(yī)療健康行業(yè)的信息安全建設(shè):

  1.政策層面:需要參考國內(nèi)外的法規(guī)和國際標(biāo)準(zhǔn),建立一套行之有效的醫(yī)療健康行業(yè)的安全規(guī)范。并按照這套規(guī)范,貫徹執(zhí)行。

  2.技術(shù)層面:廣泛對于物聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能等技術(shù)的應(yīng)用加以安全評估和控制,并推薦相應(yīng)的安全技術(shù)控制點。

  3.管理和人員方面:需要建立強健的信息安全管理團隊,并選拔和培養(yǎng)更多多元化的信息安全技術(shù)人才。

  安全牛

  三、國內(nèi)外醫(yī)療健康行業(yè)對于敏感信息的保護有哪些最佳實踐和法規(guī)、標(biāo)準(zhǔn)?

  顧偉:我國對于醫(yī)療數(shù)據(jù)有很多不同的監(jiān)管規(guī)則。分析如下:

  而國外的話,因為他們的行業(yè)成熟度更高,相關(guān)的法律法規(guī)也更加完善和系統(tǒng)。我就拿美國和歐盟來舉例。1996年《健康保險流通與責(zé)任法案》(HIPAA) 這項法案頒布,此法案的目的在于使美國工人在跳槽或失業(yè)后更容易繼續(xù)享受健康保險。該法案還力圖推動電子健康記錄的采用,以便通過加強信息共享來提高美國醫(yī)療保健系統(tǒng)的效率和質(zhì)量。在推動采用電子病歷的同時,HIPAA還加入了相關(guān)規(guī)定來保障受保護健康信息 (PHI) 的安全性和隱私性。PHI包含一系列非常廣泛的可識別個人身份的健康數(shù)據(jù)和健康相關(guān)數(shù)據(jù),包括保險和賬單信息、診斷數(shù)據(jù)、臨床護理數(shù)據(jù)、影像等實驗室結(jié)果以及測試結(jié)果。HIPAA的條例適用于所涉實體,其中包括直接接觸病人并處理病人數(shù)據(jù)的醫(yī)院、醫(yī)療服務(wù)提供商、由雇主贊助的健康計劃、研究機構(gòu)和保險公司。HIPAA還將保護PHI這一要求的適用范圍擴大到了商業(yè)伙伴。隨著2009年經(jīng)濟與臨床健康信息技術(shù)法案 (HITECH) 的頒布,HIPPA條例得到了進一步的擴充。HIPAA和HITECH共同建立起了一套聯(lián)邦標(biāo)準(zhǔn),意在保障PHI的安全性和隱私性。這些條款包含在稱為“簡化管理”的規(guī)則中。HIPAA和HITECH強制推行使用和披露PHI的相關(guān)要求、保護PHI的適當(dāng)安全措施、個人權(quán)利和管理責(zé)任。

  歐盟《通用數(shù)據(jù)保護條例(GDPR)》,被認為是大數(shù)據(jù)監(jiān)管新時代的標(biāo)志。它將影響幾乎所有行業(yè),但是特別在衛(wèi)生健康領(lǐng)域,患者數(shù)據(jù)的管理方式隨著歐盟GDPR的頒布而改變。一方面,新法規(guī)使患者有更多權(quán)利控制其個人數(shù)據(jù)的收集及使用;另一方面,對相關(guān)數(shù)據(jù)的不合規(guī)行為可導(dǎo)致重罰,最高罰款達2000萬歐元或營業(yè)額的4%。GDPR實施后,醫(yī)療衛(wèi)生領(lǐng)域?qū)⒚媾R如下變化:

  一是個人資料更安全。醫(yī)療機構(gòu)必須更了解其收集患者信息的方式和存儲位置。不僅電子數(shù)據(jù)會受到影響,對紙質(zhì)記錄也會有所影響。根據(jù)GDPR要求,若發(fā)生數(shù)據(jù)泄露,必須在72小時內(nèi)報告。

  二是患者檔案更詳細。通過從醫(yī)生手術(shù)到專業(yè)醫(yī)療機構(gòu)等不同點收集的數(shù)據(jù),個人的數(shù)據(jù)足跡通常是高度分散的。GDPR的核心組成部分之一是確保有更多關(guān)于收集的任何數(shù)據(jù)的目的和位置的可用信息。這意味著醫(yī)療保健機構(gòu)將更全面、更詳細地進行記錄。但是,根據(jù)GDPR規(guī)定,患者可決定自己的數(shù)據(jù)是否被保留,這可能也會在某種程度上成為改善診斷的障礙。

  三是患者掌控程度更高。醫(yī)療保健是高度敏感和私密的領(lǐng)域之一,但是,檢查結(jié)果通常會被廣泛分享以進行診斷?;颊邔θ绾问占@些信息、誰有權(quán)訪問以及如何存儲這些信息幾乎沒有深入的了解。GDPR將使患者有更多機會了解這些信息,并牢牢掌握自己的數(shù)據(jù)。

  四是數(shù)據(jù)源更新。來自社交網(wǎng)絡(luò)的技術(shù)越來越多地用于為病人提供醫(yī)療保健和支持。醫(yī)療保健專業(yè)人員經(jīng)常使用WhatsApp等即時通信工具向?qū)Ψ桨l(fā)送患者數(shù)據(jù)。當(dāng)這些信息通過網(wǎng)絡(luò)傳播時,這可能意味著敏感數(shù)據(jù)在歐盟以外被持有,違反GDPR法規(guī)。為此,歐洲的一家移動通信公司Hospify開發(fā)了類似WhatsApp的消息傳遞服務(wù),使醫(yī)療團隊能夠通過基于歐盟的網(wǎng)絡(luò)安全發(fā)送患者數(shù)據(jù)。Hospify加密并傳送來自電話到電話的文本信息,并在72小時內(nèi)從服務(wù)器中刪除該信息,這一方面保證了數(shù)據(jù)更新,同時大大減少了安全漏洞。

  五是預(yù)防更有力。歐盟衛(wèi)生和食品安全委員在布魯塞爾舉行的“大數(shù)據(jù):更好的醫(yī)療保健互聯(lián)解決方案”會議上,提及旨在促進罕見病等低流行疾病跨境醫(yī)療的歐洲參考網(wǎng)絡(luò)(ERNs)時指出,ERNs的成功取決于大數(shù)據(jù),將根據(jù)不同的罕見病編制分散的健康數(shù)據(jù)集,生成新的臨床、遺傳、行為和環(huán)境數(shù)據(jù),并加以利用。當(dāng)然隨著2020年年初的COVID-19大爆發(fā),數(shù)據(jù)收集和分享可以幫助預(yù)防和監(jiān)控疫情的蔓延。但是如何控制過度收集數(shù)據(jù),順應(yīng)HIPAA和GDPR合規(guī),也是考慮了從設(shè)計著手保護隱私的要求。

  安全牛

  四、國內(nèi)外醫(yī)療健康行業(yè)最關(guān)注的網(wǎng)絡(luò)安全問題有哪些?

  顧偉:先從國內(nèi)醫(yī)療健康行業(yè)說起:

  第一, 沒有設(shè)立信息安全的專門管理機構(gòu),沒有行政和技術(shù)上的有效安全管理;

  第二,對信息安全工作的認識不到位,對重要信息系統(tǒng)安全保護缺乏應(yīng)有的重視,重要信息系統(tǒng)未落實關(guān)鍵安全保護技術(shù)措施;

  第三,沒有實行強制性的安全監(jiān)督、審查、驗收機制,特別是沒有第三方介入的監(jiān)督、審查、驗收機制,人員和資金投入不足;

  第四,沒有重視和執(zhí)行對用戶的安全知識、法規(guī)、標(biāo)準(zhǔn)的宣傳、培訓(xùn)、考核,沒有規(guī)定和缺少應(yīng)有的崗位設(shè)置;

  第五,“頭痛醫(yī)頭,腳痛醫(yī)腳”,很難實現(xiàn)整體的安全管控。這些都是目前國內(nèi)醫(yī)療健康行業(yè)亟待解決的問題,也是他們最重視的問題。

  國外的話,經(jīng)過數(shù)十年安全行業(yè)的蓬勃發(fā)展,醫(yī)療健康行業(yè)的網(wǎng)絡(luò)安全成熟度到了某個比較平穩(wěn)的階段。舉例,美國醫(yī)療健康行業(yè)現(xiàn)在最主要關(guān)注的網(wǎng)絡(luò)安全問題在于新興技術(shù)的應(yīng)用,例如人工智能、物聯(lián)網(wǎng)、機器學(xué)習(xí)等。因為新興技術(shù)帶來行業(yè)革新的同時,也催生了新的安全威脅和固有漏洞。美國的分散立法模式從嚴格意義上來講是在政府立法引導(dǎo)下的行業(yè)自律,即采用由下而上的方式進行開展,其優(yōu)勢在于:一方面,信息技術(shù)仍在快速發(fā)展之中,采取分散立法的方式可以避免國家過早立法而限制技術(shù)應(yīng)用的現(xiàn)象,也能更好的配合技術(shù)發(fā)展的趨勢;另一方面,健康醫(yī)療服務(wù)過程中不同環(huán)節(jié)對信息的收集和處理也存在區(qū)別,行業(yè)自律分散立法可增強個人健康醫(yī)療信息保護的針對性。但是,美國的這種模式也存在較為明顯的弊端。例如投訴與爭端解決機制相對不完善、缺乏強制執(zhí)行力等問題也表現(xiàn)的比較明顯。尤其是針對個人信息主體權(quán)利的保護仍需進一步完善。

  安全牛

  五、請您再談?wù)劙策MAmgen的網(wǎng)絡(luò)安全戰(zhàn)略。

  顧偉:安進Amgen是全球生物制藥的領(lǐng)軍企業(yè),長期排在獨立生物制藥第一的寶座。針對于網(wǎng)絡(luò)安全戰(zhàn)略的設(shè)定,信息安全團隊的愿景是讓安進受到信任、保護和獲得安全。信息安全團隊的使命是保護安進創(chuàng)新和服務(wù)患者的能力。為了實現(xiàn)愿景和使命,信息安全團隊將實現(xiàn)以下目標(biāo):

  1.夯實安進的信息安全基礎(chǔ);

  2.將信息安全和信息管理植入安進的文化;

  3.合理布局網(wǎng)絡(luò)安全能力,以適應(yīng)不斷變化的威脅格局;

  4.建立高可靠組織;

  5.利用具有吸引力和可消費性的服務(wù)和技術(shù)創(chuàng)造價值。

  而我所處的亞太區(qū)是最快速發(fā)展和多變的一個地區(qū),信息安全架構(gòu)需要動態(tài)的調(diào)節(jié)來適用業(yè)務(wù)的變化。發(fā)揮本地化優(yōu)勢,借力全球資源,監(jiān)控外部環(huán)境,推動內(nèi)生安全,原生安全賦能是未來醫(yī)療健康行業(yè)信息安全的方向,也是安進追求的目標(biāo)。

  


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。