周佳琳，韓傲雪，劉毓煒，郭琛，張晨

(中國信息通信研究院，北京 100191)

1 引言

習(xí)近平總書記強(qiáng)調(diào)，在實(shí)現(xiàn)“兩個(gè)一百年”奮斗目標(biāo)的歷史進(jìn)程中，發(fā)展衛(wèi)生健康事業(yè)始終處于基礎(chǔ)性地位，同國家整體戰(zhàn)略緊密銜接，發(fā)揮著重要支撐作用[1]。醫(yī)療健康事業(yè)關(guān)系著人民群眾的生命安全和身體健康，近年來，人工智能、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)等新一代信息技術(shù)廣泛應(yīng)用于醫(yī)療健康行業(yè)，傳統(tǒng)醫(yī)療信息化1.0時(shí)代快速向互聯(lián)網(wǎng)醫(yī)療健康2.0時(shí)代、智慧健康3.0時(shí)代邁進(jìn)。行業(yè)快速轉(zhuǎn)型的同時(shí)也引發(fā)了大量的數(shù)據(jù)風(fēng)險(xiǎn)，使得醫(yī)療健康行業(yè)面臨更為嚴(yán)峻的安全形勢(shì)[2]。

本文將通過梳理醫(yī)療數(shù)據(jù)安全現(xiàn)狀，探索新技術(shù)和新業(yè)態(tài)為醫(yī)療數(shù)據(jù)安全帶來的挑戰(zhàn)，挖掘和鎖定安全風(fēng)險(xiǎn)來源。在此基礎(chǔ)上，進(jìn)一步梳理當(dāng)前立法、標(biāo)準(zhǔn)制定和監(jiān)管工作的開展現(xiàn)狀，提出提升醫(yī)療數(shù)據(jù)安全性的建議。

2 醫(yī)療數(shù)據(jù)安全現(xiàn)狀

2.1 數(shù)字化醫(yī)療給數(shù)據(jù)安全帶來新挑戰(zhàn)

2019年P(guān)rotenus發(fā)布的醫(yī)療行業(yè)數(shù)據(jù)安全報(bào)告顯示：醫(yī)療行業(yè)自2016年起平均每天至少會(huì)發(fā)生一起患者數(shù)據(jù)泄漏事件，2019年，醫(yī)療行業(yè)黑客攻擊事件較2018年猛增了48%，醫(yī)療數(shù)據(jù)持續(xù)“裸奔”[3]。加拿大某醫(yī)療機(jī)構(gòu)270萬醫(yī)療錄音文件遭黑客公開、印度1250萬份孕婦醫(yī)療記錄被泄露、中國某醫(yī)學(xué)影像公司AI輔助系統(tǒng)和訓(xùn)練數(shù)據(jù)被竊取并在暗網(wǎng)上公開出售等事件層出不窮，醫(yī)療行業(yè)已經(jīng)成為數(shù)據(jù)泄露的重災(zāi)區(qū)[4]。

衛(wèi)生信息安全與新技術(shù)應(yīng)用專業(yè)委員會(huì)主任委員寧義先生在第五屆大數(shù)據(jù)產(chǎn)業(yè)峰會(huì)中指出醫(yī)療健康行業(yè)涉及到人的生命安全，有著更為嚴(yán)重的后果。相比于信息通信領(lǐng)域，醫(yī)療健康行業(yè)信息安全技術(shù)手段較為薄弱，不具備很強(qiáng)的對(duì)策方略，難以防護(hù)。首先，從技術(shù)發(fā)展趨勢(shì)上看，醫(yī)療數(shù)據(jù)與應(yīng)用服務(wù)由內(nèi)網(wǎng)向公網(wǎng)、云融合轉(zhuǎn)型升級(jí)的速度不斷加快，醫(yī)療業(yè)務(wù)和數(shù)據(jù)的暴露面不斷增多，新的威脅不斷增加；其次，從行業(yè)內(nèi)部而言，安全管理規(guī)范難以落實(shí)，適應(yīng)性低，網(wǎng)絡(luò)終端繁多，業(yè)務(wù)系統(tǒng)訪問無法限制，尤其是互聯(lián)網(wǎng)醫(yī)療的開放與限制之間往往存在矛盾，并讓限制成為了難題；再者，在醫(yī)療健康行業(yè)中，信息化部門還是偏弱勢(shì)的，傳統(tǒng)觀念上，它僅僅是一個(gè)輔助性行業(yè)，數(shù)據(jù)安全在協(xié)調(diào)上往往存在很大的難度。

2.2 新型智能醫(yī)療設(shè)備及其應(yīng)用軟件存在安全風(fēng)險(xiǎn)隱患

可穿戴醫(yī)療設(shè)備憑借其簡易低廉的優(yōu)勢(shì)迎來產(chǎn)業(yè)的蓬勃發(fā)展，如智能手環(huán)、便攜式血壓儀、智能體溫檢測儀等，但在收集個(gè)人信息及生理數(shù)據(jù)的同時(shí)，也存在一定的安全隱患[5]。2021年6月11日，國家互聯(lián)網(wǎng)信息辦公室針對(duì)違法違規(guī)收集使用個(gè)人信息情況通報(bào)了129款A(yù)PP，其中健康類APP 39款， 其中不乏Keep、悅動(dòng)圈、小米運(yùn)動(dòng)、樂心健康等用戶群龐大、行業(yè)代表性產(chǎn)品[6]，線上醫(yī)療、健康管理等智能移動(dòng)終端APP普遍存在過渡索權(quán)、超范圍收集個(gè)人信息、未經(jīng)允許向第三方轉(zhuǎn)移相關(guān)數(shù)據(jù)、過渡推薦醫(yī)療定向廣告等問題。部分企業(yè)聚焦于技術(shù)實(shí)現(xiàn)，尚未建立完善的數(shù)據(jù)安全保護(hù)機(jī)制和風(fēng)險(xiǎn)管理措施，同時(shí)虛擬貨幣的匿名性和價(jià)格持續(xù)高漲，提高了追查難度，這些讓黑客們趨之若鶩，攻擊手段也越來越多樣化，而這其中，勒索病毒對(duì)醫(yī)療行業(yè)數(shù)據(jù)安全的威脅與日俱增。2017年WannaCry勒索病毒重創(chuàng)歐洲最大的醫(yī)療服務(wù)體系——英國國民健康服務(wù)(National Health Service，簡稱NHS)，旗下248個(gè)醫(yī)療機(jī)構(gòu)中有48個(gè)受到攻擊，許多醫(yī)院正常的治療活動(dòng)受到影響，部分病人被迫轉(zhuǎn)院。2018年湖南省某醫(yī)院感染Globelmposter勒索病毒，醫(yī)院內(nèi)部系統(tǒng)癱瘓，數(shù)據(jù)庫文件被加密破壞，正常就醫(yī)秩序受到嚴(yán)重影響。從數(shù)據(jù)泄漏所涉及的機(jī)構(gòu)實(shí)體來看，商業(yè)合作伙伴/第三方服務(wù)供應(yīng)商所引起的安全事件在不斷躍入公眾視野。在2019年572起泄露事件中，76%的事件與醫(yī)療單位有關(guān)，9%的事件與健康計(jì)劃相關(guān)，9%的事件與商業(yè)合作伙伴有關(guān)。應(yīng)用軟件安全漏洞風(fēng)險(xiǎn)居高，81.2%的App存在高危漏洞，可被利用進(jìn)行App仿冒、植入惡意程序、竊取敏感信息、攻擊服務(wù)等，大部分App安裝文件未進(jìn)行安全加固，易被破解暴露源代碼[3]。

2.3 醫(yī)療機(jī)構(gòu)內(nèi)部數(shù)據(jù)泄露事件減少，但危害不斷增加

隨著法規(guī)和監(jiān)管措施不斷完善，全國醫(yī)療系統(tǒng)普遍采用合規(guī)性分析平臺(tái)。根據(jù)Protenus調(diào)查數(shù)據(jù)顯示，2016年以來，內(nèi)部人員所導(dǎo)致的醫(yī)療數(shù)據(jù)泄漏事件逐漸減少，但平均每起內(nèi)部數(shù)據(jù)泄漏所牽連的患者數(shù)量在成倍增長，多起數(shù)據(jù)泄漏事件多年后才被察覺。

醫(yī)療行業(yè)的安全內(nèi)部威脅主要包括：內(nèi)部人員的惡意行為，即懷有惡意目的的員工訪問并竊取用戶的敏感信息；內(nèi)部人員的無意行為，即正常員工的人為錯(cuò)誤可能會(huì)給攻擊者留下攻擊入口。Protenus對(duì)美國衛(wèi)生與公眾服務(wù)部(HHS)等公開數(shù)據(jù)進(jìn)行統(tǒng)計(jì)，2019年，共發(fā)生72起由內(nèi)部人員無意行為造成的數(shù)據(jù)泄漏事件，至少涉及365萬名患者；35起內(nèi)部人員由內(nèi)部人員惡意行為造成的數(shù)據(jù)泄漏事件，至少涉及13萬名患者[3]。內(nèi)部人員無意行為所涉及的患者數(shù)量遠(yuǎn)大于內(nèi)部人員惡意行為所涉及的患者數(shù)量。

2.4 網(wǎng)絡(luò)安全事故頻發(fā)，容災(zāi)備份機(jī)制不完善

數(shù)據(jù)安全攻與防的發(fā)展是相輔相成的，醫(yī)療數(shù)據(jù)安全防護(hù)手段不斷提升的同時(shí)，各種網(wǎng)絡(luò)攻擊的手段同樣層出不窮。從目前網(wǎng)絡(luò)安全發(fā)展的現(xiàn)狀來看，這一場沒有硝煙的非對(duì)等戰(zhàn)爭：病毒木馬威脅代碼等攻擊工具已經(jīng)趨于產(chǎn)業(yè)化，形成勒索、盜竊、銷售的一整條產(chǎn)業(yè)鏈，在黑市中幾百到幾千塊錢即可買到各種新型的攻擊工具，從事數(shù)據(jù)破壞勒索的黑客甚至不需要很高的技術(shù)水準(zhǔn)。同時(shí)，因?yàn)槿珖鞯蒯t(yī)療行業(yè)信息化發(fā)展的不均衡，許多醫(yī)院的網(wǎng)絡(luò)安全機(jī)制建設(shè)不完善、缺乏相應(yīng)的容災(zāi)備份等“兜底”機(jī)制，2020年中國評(píng)測網(wǎng)安中心分析了 35 家開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)的醫(yī)療信息系統(tǒng)案例后發(fā)現(xiàn)，只有 2%的單位具有災(zāi)備服務(wù)器，大部分醫(yī)療信息系統(tǒng)沒有完善的數(shù)據(jù)保護(hù)機(jī)制[7]。這在黑客看來成為了最好的攻擊目標(biāo)，一旦被攻破，比如植入勒索病毒，往往只能妥協(xié)付費(fèi)解鎖數(shù)據(jù)，但也不能保證可以恢復(fù)。

3 醫(yī)療行業(yè)數(shù)據(jù)安全風(fēng)險(xiǎn)來源

目前行業(yè)風(fēng)險(xiǎn)來源主要來自以下幾個(gè)方面：一是數(shù)據(jù)管控制度相對(duì)滯后。盡管醫(yī)療組織在數(shù)據(jù)安全的威脅下逐漸增強(qiáng)數(shù)據(jù)安全意識(shí)，但是關(guān)于數(shù)據(jù)管控尚未建立統(tǒng)一管理機(jī)制，數(shù)據(jù)管控制度有待進(jìn)一步完善；二是安全漏洞、僵木蠕毒、網(wǎng)站篡改等層出不窮的外部攻擊。醫(yī)療數(shù)據(jù)作為一種高附加值的信息資產(chǎn)，很容易遭受黑客攻擊。如果不采取措施及時(shí)修復(fù)漏洞，便會(huì)為外部攻擊提供途徑，因此急需采取有效措施應(yīng)對(duì)外部攻擊風(fēng)險(xiǎn)。三是數(shù)據(jù)交換風(fēng)險(xiǎn)。目前大量的醫(yī)療行業(yè)數(shù)據(jù)由第三方加工、分析及測試使用，在交換共享的過程中容易造成真實(shí)數(shù)據(jù)的泄露，需要建立科學(xué)合理的對(duì)外數(shù)據(jù)交換標(biāo)準(zhǔn)，尤其是需要提升病患敏感數(shù)據(jù)脫敏處理能力。四是內(nèi)部及第三方運(yùn)維人員造成的數(shù)據(jù)泄露風(fēng)險(xiǎn)，內(nèi)部工作人員的權(quán)限管控制度有待進(jìn)一步完善，很多非權(quán)限人員可以隨意接觸病患信息，加之內(nèi)部人員監(jiān)控手段不足，防范意識(shí)不足，造成很大泄露風(fēng)險(xiǎn)。

4 相關(guān)政策法規(guī)及標(biāo)準(zhǔn)規(guī)范

4.1 政策法規(guī)

我國自2017年網(wǎng)絡(luò)安全領(lǐng)域的基礎(chǔ)性法律《網(wǎng)絡(luò)安全法》實(shí)施以來，對(duì)于信息安全的保護(hù)正式由行政法規(guī)上升到了法律層面，系列配套的法律法規(guī)逐漸發(fā)布實(shí)施，形成了極具協(xié)調(diào)性、整體性及可行性的網(wǎng)絡(luò)安全保護(hù)法律體系[8]。相關(guān)政策法規(guī)總結(jié)如表1。

表1 相關(guān)政策法規(guī)

4.2 標(biāo)準(zhǔn)規(guī)范

在國家標(biāo)準(zhǔn)層面，2018年4月，國家衛(wèi)生健康委員會(huì)規(guī)劃與信息司、國家衛(wèi)生健康委員會(huì)統(tǒng)計(jì)信息中心發(fā)布《全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)》，以單獨(dú)的章節(jié)重點(diǎn)闡述醫(yī)院信息化建設(shè)的安全防護(hù)問題，包括數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全、容災(zāi)備份四個(gè)大的方向，提出包含對(duì)于數(shù)據(jù)安全重點(diǎn)防護(hù)的技術(shù)保障機(jī)制[11]。2019年5月，公安部正式發(fā)布《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》等網(wǎng)絡(luò)安全等級(jí)保護(hù)制度相關(guān)的系列國家標(biāo)準(zhǔn)，對(duì)新一代信息技術(shù)和新應(yīng)用領(lǐng)域提出了安全擴(kuò)展要求，從而更加有效地保護(hù)等級(jí)保護(hù)對(duì)象[12]。2020年12月國家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》，從個(gè)人信息安全風(fēng)險(xiǎn)的角度出發(fā)劃分?jǐn)?shù)據(jù)分級(jí)，提出多場景下安全措施要點(diǎn)并給出安全指南[13]。

5 展望與建議

提升數(shù)據(jù)安全的防御力，保障醫(yī)療健康行業(yè)安全有序發(fā)展，需各行業(yè)主管部門形成監(jiān)督領(lǐng)導(dǎo)有力、醫(yī)療機(jī)構(gòu)落實(shí)有效、企業(yè)技術(shù)服務(wù)能力提升的工作格局。

健康醫(yī)療領(lǐng)域目前存在信息數(shù)據(jù)標(biāo)準(zhǔn)不統(tǒng)一的問題[14]，行業(yè)主管部門應(yīng)優(yōu)先推動(dòng)標(biāo)準(zhǔn)化工作，補(bǔ)足互聯(lián)網(wǎng)醫(yī)療、智慧醫(yī)院等各類新場景下的安全標(biāo)準(zhǔn)和規(guī)范，以安全標(biāo)準(zhǔn)為建設(shè)基線和考評(píng)指標(biāo)，進(jìn)而在行業(yè)內(nèi)落地實(shí)施，同時(shí)建立風(fēng)險(xiǎn)檢測機(jī)制和預(yù)警手段，分散監(jiān)管平臺(tái)的安全風(fēng)險(xiǎn)。其次，主管部門應(yīng)統(tǒng)籌行業(yè)內(nèi)外資源，建設(shè)健康醫(yī)療行業(yè)的感知預(yù)警機(jī)制和手段，及時(shí)發(fā)現(xiàn)和預(yù)警安全風(fēng)險(xiǎn)，推動(dòng)下屬醫(yī)療機(jī)構(gòu)進(jìn)行整改，提升行業(yè)整體安全水平。

醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)安全防護(hù)能力，很大程度上取決于機(jī)構(gòu)從業(yè)人員的安全意識(shí)和安全能力，盡管醫(yī)療機(jī)構(gòu)人員安全意識(shí)和安全能力有所提升，但仍處于較差水平[15]。醫(yī)療機(jī)構(gòu)應(yīng)著重加強(qiáng)從業(yè)人員數(shù)據(jù)安全教育培訓(xùn)，針對(duì)常見的釣魚郵件、惡意網(wǎng)頁、弱密碼等典型問題重點(diǎn)講解。同時(shí)，隨著攻防技術(shù)的不斷升級(jí)，醫(yī)療機(jī)構(gòu)應(yīng)培養(yǎng)或引入專業(yè)安全團(tuán)隊(duì)，定期進(jìn)行網(wǎng)絡(luò)安全掃描評(píng)估，及時(shí)解決安全漏洞、惡意程序等隱患，對(duì)單位的網(wǎng)絡(luò)安全建設(shè)進(jìn)行持續(xù)改進(jìn)。

醫(yī)療健康行業(yè)安全技術(shù)水平的提升，依賴于信息化和安全廠商的服務(wù)能力和技術(shù)水平，在日趨復(fù)雜的國際環(huán)境下，應(yīng)加大技術(shù)研發(fā)的投入，增強(qiáng)自主創(chuàng)新能力，提升安全服務(wù)水平和質(zhì)量。同時(shí)切實(shí)理解醫(yī)療行業(yè)痛點(diǎn)，挖掘行業(yè)場景下的業(yè)務(wù)特點(diǎn)和安全需求，提供針對(duì)性的解決方案。

在提升醫(yī)療健康信息安全建設(shè)的同時(shí)，也需消費(fèi)者提高自我防范意識(shí)，謹(jǐn)慎透漏個(gè)人信息，避免安裝來歷不明的軟件和插件。使用健康類應(yīng)用軟件時(shí)，應(yīng)了解相關(guān)的授權(quán)協(xié)議，結(jié)合自身需求，有限制的開放軟件權(quán)限。