近年来,我国医卫行业信息化全面发展,在线挂号、线上问诊、电子病历等数字化场景应用广泛。老百姓就医便捷,医院运转效率也得到提高。与此同时,大量数据汇入医卫系统,医疗信息数据中涉及大量患者个人隐私(真实身份、电话、家庭地址、疾病信息、检查信息等),如何保障老百姓就诊信息安全,避免隐私外泄风险?
十三届全国政协常委,九三学社中央常委、河南省委主委,河南省政协副主席张亚忠表示,“当前,我国医卫行业网络信息安全形势较为严峻,有些医卫单位的内网却存在“僵木蠕”互联网病毒”。
网络安全隐患较多
据了解,医疗数据因隐私性强、可利用价值高、来源广泛,容易成为黑客重点攻击目标。仅从媒体公开报道即可看到,因医卫信息安全问题导致的泄露事件多次发生,小到医护人员转卖患者信息牟利,大到第三方公司利用外包服务便利,窃取患者医疗数据。2017年杭州某公司在承接疾病预防控制部门网站信息化建设时,非法下载接种疫苗儿童及家长信息370余万条,曾造成恶劣社会影响。
张亚忠委员认为,“由于我国医卫行业信息安全工作起步较晚,整体风险较高且防护能力较低,网络信息安全形势较为严峻。主要存在三个问题:一是医信系统存在安全隐患;二是安全管理建设不足,没有真正施行《网络安全法》要求的'三同步'建设原则;三是网络安全专业人才稀缺。”
数据显示,通过对我国医卫行业相关单位开展调研发现,部分单位应用服务端口在没有任何安全措施的情况下、直接暴露在公共互联网,有些单位正常工作受到“僵木蠕”网络病毒干扰,有些单位官方网站存在被篡改的安全隐患,甚至有单位网站已被篡改却不自知。
张亚忠指出,“有些医院的医疗信息系统(HIS)、电子病历系统(EMRS)缺少有效安全措施和审查机制,系统账号随意借用、一号多用、使用简单密码等情况导致核心业务数据存在盗用风险,医院内外网缺乏可靠的技术隔离措施、系统接口与合作单位及公共网络未经安全规划直接互联导致网络攻击、重要业务数据泄密风险加剧。”
对此,张亚忠建议“完善安全防控体系”:
一是完善医卫行业网络信息安全相关政策法规和标准规范。建立符合医卫行业特色的安全体系架构,制定具备行业特性的安全标准,出台医卫行业网络信息系统设计、实施和运维规范。
二是加强健康医疗数字身份管理。建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统,推进医卫数据可信体系建设。
三是建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。指导医卫行业相关单位设置网络信息安全管理专门机构和岗位,明确职责任务。
网络安全管理建设不足
张亚忠指出,“有些医卫单位投资网络信息安全建设时缺乏统筹、规划和审计,单纯注重硬件设备建设,且购买、招标、利用、分配全过程缺少严格审计。对信息安全的建设投入和宣传教育重视不足,安全管理机制不健全,忽视安全设备和专业人员的管理使用效能,发生安全事故无法高效启动安全措施,追踪溯源避免损失扩大。”
对此,张亚忠建议尽快“健全安全审查机制”,加强对医疗设备及商业化软件的安全审查和安全检测,制定设备远程运维监管制度。严格落实内外网络分离,严格落实系统用户分级分类接入,改进安全感知、安全处置和安全审计等方面的数据防护能力,加强对第三方安全运维单位的监管。
网络安全专业人才稀缺
医卫行业网络安全是我国网络安全的重要组成部分,受到国家高度重视。党中央、国务院及医疗监管部门陆续出台相关政策法规,逐步完善行业网络安全体系。但传统医院体系里缺少网络安全人才,即使服务外包,也无法专业把控第三方公司所存在的安全风险。
张亚忠认为,应全力培养医卫系统内部的网络安全专家。“医院里多以医卫专业人员替代管理网络信息系统,其专业性、敏感性较低,对网络安全认知存在不足,易出现安全事故处置失当、人为加剧事故等情况。”
对此,张亚忠建议,“通过资质认证、教育培训、攻防演练等方式,提升医卫系统现行信息安全队伍的专业技能,全力培养行业安全专家。建立行业网络、信息系统及数据安全专控队伍,定期开展行业重要信息系统的安全测评、风险评估以及安全应急演练等工作。对于医疗专业人员定期开展信息安全宣传教育,有针对性的开展保护患者隐私、医疗数据安全、反钓鱼、反欺诈宣传,增强医务人员的网络信息安全意识和法制观念。”
今年两会,张亚忠已提交《关于加强医卫行业网络信息安全的提案》,他呼吁尽快“对症下药”完善安全防控体系、健全安全审查机制、强化专业队伍建设。让技术更好守护人民群众健康,保障医卫系统信息安全的全生命周期。(李贤娜)