首 頁洞察:2022年醫療行業數據安全回顧及2023年展望
過去的2022年,統籌安全與發展,在醫療信息化發展道路中,數據安全已不可或缺。
這一年,實施五年多的《網絡安全法》迎來首次修改,《數據安全法》、《個人信息保護法》由立而行一周年,配套的《數據出境安全評估辦法》、《網絡數據安全管理條例(征求意見稿)》等政策法規和標準規范接連發布,在醫療行業,數據安全成為《“十四五”全民健康信息化規劃》部署的關鍵領域,作為主要任務和優先行動持續推進,首個關于網絡安全的管理辦法《醫療衛生機構網絡安全管理辦法》重磅出臺,為醫療機構網絡安全和數據安全管理,送上了一份開卷答案。
轉眼來到2023年,站在嶄新的年份,醫療行業數據安全現狀如何?面臨哪些挑戰?醫療機構又如何開展新一年的安全建設?
“解讀2022,展望2023。”日前,CHIMA大講堂醫療行業網絡安全與數據安全回顧與前瞻研討會邀請《中國醫院》雜志社社長、CHIMA主任委員王才有,解放軍總醫院醫學大數據研究中心原主任薛萬國,美創科技醫療行業專家田平,數說安全分析師史高平,一同探討醫療數據安全建設的現在與未來、困境與破局之道。
現狀如何?
數說安全分析師 史高平
從市場來看,2022年醫療行業市場空間為48.22億元,受疫情等因素影響,相較于 2021年同比下滑3.7%。醫療行業仍重點圍繞等級保護進行建設為主,防火墻、殺毒軟件、上網行為管理等傳統產品仍是主流采購項目,安全服務和安全運營增幅明顯,此外,勒索病毒頻發也提升了相關安全產品采購需求。
數說安全《2022醫療行業網絡安全報告》
在數據安全方面,2021年以來,《數據安全法》、《個人信息保護法》等法律法規的落地,醫療行業對數據安全的關注度空間提升,數據安全類產品的需求保持了較高的增長。2022年,數說安全發布的《數據安全市場研究報告》顯示:2021年,醫療數據安全采購項目數量是3700個,同比增長了28.5%,其中專項采購469個,同比增長29%。
數說安全《2022數據安全市場研究報告》
但總體而言,相較于醫療信息化的蓬勃發展,受主觀、客觀條件的限制,醫療數據安全建設依然相對滯后,目前,醫療行業主要采購數據庫審計、數據泄露防護等單項產品。不過,整個行業關于數據安全的理念正在發生改變,逐步認識到數據分類分級對于數據安全保障的重要性,不再局限于單點防護的安全理念,更加關注數據全生命周期的安全防護,一些發達地區大型三甲醫院已開始從單一的產品采購轉向數據安全治理、數據分類分級等安全服務的采購。
解放軍總醫院醫學大數據研究中心原主任 薛萬國
從宏觀層面可以看到,法律與監管、數字經濟與數據要素地位的確立對數據安全保護的要求更加迫切,隨著醫院、患者、管理者、公衛以及科研人員等各方對數據利用和共享的需求日益強烈,也催生著大量的數據安全防護需求。同時,當前醫療行業數據安全落地實施還存在一些問題:
一方面,醫院數據安全在基礎防護上尚存在不足。比如數據備份能力是數據安全防護基礎,但根據CHIMA《2021-2022中國醫院信息化狀況調查報告(征求意見稿)》顯示,僅有四分之一的受調研醫院實現了全部系統數據備份,大多數醫院只能做到核心系統和重點業務系統數據備份,其他系統的數據沒有做到備份,這些數據一旦發生數據的破壞或泄露,如勒索病毒,將對醫院的正常運行以及患者的隱私安全造成損失。而在數據恢復能力上,僅有十分之一的醫院能夠實現全部系統數據能恢復到任意時間點,有22.32%的醫院僅核心系統數據能恢復到任意時間點。
CHIMA《2021-2022中國醫院信息化狀況調查報告(征求意見稿)》
CHIMA《2021-2022中國醫院信息化狀況調查報告(征求意見稿)》
此外,在醫院服務器和數據庫防護措施上,數據庫審計、運維堡壘機、防統方作為典型的安全防護產品,僅有60-70%左右的使用比例。
CHIMA《2021-2022中國醫院信息化狀況調查報告(征求意見稿)》
另一方面,醫院數據安全保護工作存在一定困擾和問題。醫院信息化業務、系統、軟硬件數量非常龐大,遠超其他行業,但技術人員較少,尤其專職的安全人員以及數據安全管理運營人員更為稀缺,數據安全怎么建,如何建,大部分醫院并不知道適合自己的答案,造成建設過程中的“迷茫期”。也因此,70%以上的調查者希望有全面的數據安全咨詢服務、安全意識培訓服務以及數據資產的盤點和分類分級服務等。
美創科技醫療行業專家 田平
2021年,被稱為數據安全元年,9月1日《數據安全法》正式實施落地,同年,國標委發布首部完全針對健康醫療數據安全的標準—《信息安全技術 健康醫療數據安全指南》。2022年8月,國家衛生健康委發布《醫療衛生機構網絡安全管理辦法》。10月,國家衛生健康委規劃司發布《衛生健康行業數據分類分級指南》(征求意見稿),隨著征求意見稿的落地,未來醫療行業將開啟以數據分類分級為起點的數據安全建設。
醫療數據安全建設政策背景
目前,合規升級、監管趨嚴已成為主旋律,國家及相關部門正在通過立法、加強監管、完善標準等多維度方式提升醫療健康數據的整體安全水平,2022年國家衛生健康委、國家中醫藥局、國家疾控局推出了醫療行業首個關于網絡安全的管理辦法——《醫療衛生機構網絡安全管理辦法》(簡稱:《辦法》),并對數據安全管理單獨成篇,做出規制,疊加醫院數字化轉型、數據互聯互通催生的安全需求,如何保障數據安全與患者隱私將持續成為醫療行業的重要議題和焦點需求。
有何難點?
數說安全分析師 史高平
醫療行業數據安全建設從實際成效和結果看,之所以尚未呈現人氣與市場交替上升局面,一方面在現行已頒布的法律法規及標準體系下,健康醫療數據安全的頂層設計仍然還存在著交叉和空白,配套制度的細則不夠完善,行業數據分類分級管理、重要數據目錄制定等相關工作還在研制。同時,供需兩端在需求和能力適配方面存在一些短板和問題。
數說安全《2022醫療行業網絡安全報告》
一方面,需求側醫療機構安全基礎普遍薄弱,各級醫療機構在數據安全方面還處于起步階段,產品采購主要集中在數據庫防護和防泄漏等傳統產品,受限于安全統籌規劃能力弱、專業數據安全人才匱乏、資源投入不足、安全管理制度不統一等因素。
另一方面,在供給側,目前供應商提供的醫療數據安全解決方案和服務的成熟度尚不夠高,需要累積案例經驗,不斷提高數據安全的解決方案成熟度。在醫療數據互聯互通建設的信息化趨勢下,數據安全與業務高度融合,數據安全的基礎是數據的分類分級,這部分和傳統網絡安全有很大不同,這要求從數據分類分級到相應的數據安全策略的匹配都需要安全廠商對醫療業務有深刻的理解,同時也要求供應商提供適配醫療系統的解決方案和產品。
解放軍總醫院醫學大數據研究中心原主任 薛萬國
難點一:大數據環境下,裸數據利用需求增多,數據保護難度增大。在傳統模式下,數據通過應用系統訪問,訪問權限可通過應用系統控制。而在大數據分析模式下,數據利用隨機性大,研究人員基于裸數據進行處理和分析建模,裸數據的授權管理及保護更為困難。
難點二:隨著AI產品研發和合作研究增多,外部數據利用需求增加,需要特殊技術對數據進行保護。比如:醫療機構在對外提供數據時,往往通過數據脫敏和匿名化手段,但當前醫療數據內容及類型多樣、結構復雜,有文本數據、醫療影像等非結構化數據,數據脫敏和匿名化存在技術難點;僅依靠約定進行數據用途限定和數據保護力度不夠,數據一旦泄露,從技術上數據溯源難;數據資源不出院、“數據可用不可見”,存在數據標準化工程量大、數據分析方法設計難點。
難點三:應用系統和數據開發平臺的技術架構多樣化,給統一的數據監管審計造成困難。當前,醫療機構正面臨多樣化的數據技術環境,既有傳統關系型數據庫、也有MongoDB、Hbase等NoSQL數據庫,這要求數據庫審計系統必須有強大的協議支持能力。
難點四:缺乏落實法規的具體遵循。《數據安全法》、《個人信息保護法》作為上位法,對醫療行業安全保障工作提出了基本規范和要求,但在醫療機構落地實施,還需要制定具體的細則,如對于醫療行業數據如何分類分級,哪些數據是重要數據?《個人信息保護法》中知情同意原則如何在醫療行業實施,特別是對于醫療活動之外的數據共享利用(科研、單病種上報、管理部門數據采集等)、對于以患者醫療為目的的電子病歷共享。
探索實踐
美創科技醫療行業專家 田平
數據安全分類分級是數據安全管理和防護體系建設的基礎,是數據流動過程中安全態勢保護的底層,識別核心數據、重要數據資產,并針對性的設計安全管理機制,是安全建設的必由之路。
針對醫療行業存在的“無標準落地難、數據復雜難梳理、數據安全管理粗放、長效性難保證”等普遍問題和安全建設的實際需求,美創科技基于對醫療行業的深入理解和在數據分類分級領域的研究,對標參考法律法規、國家行業標準,如《數據安全法》、《醫療衛生機構網絡安全管理辦法》、《國家衛生健康委規劃司衛生健康行業數據分類分級指南(征求意見稿)》、《GB/T 39725-2020 信息安全技術 健康醫療數據安全指南》及其他行業地方標準等,形成切實可行的核心數據、重要數據識別模型,形成基于分類分級的醫療健康行業臨床數據合規共享與安全防護建設實踐方案。
1.基于自研的數據支撐平臺,實時、準確的將結構化數據,半結構化數據、非結構化數據采集抽取至ODS數據湖、以及半結構化、非結構化文件庫中,數據支撐平臺采用基于數據庫日志文件的無侵入式增量采集技術,采集過程不影響生產系統的穩定運行,并保證數據的一致性。
2.通過暗數據發現與分類分級系統進行數據的自動化發現和分類分級,建立數據目錄,并提供豐富的API接口,實現與資產管理平臺、數據安全管控平臺、第三方數據安全產品對接,為后續數據資產合規管理、數據安全防護提供基礎支撐。
3.最終,整體方案基于數據分類分級結果進行數據合規共享(臨床業務)、敏感資產安全防護(內部管理)。
在臨床數據合規共享場的合規性應用。
在敏感資產安全防護(內部管理)中,依據數據分類分級結果,建立相適應的安全管控策略。如在醫療運維側,通過分類分級結果有效管控運維側工作人員對核心數據、重要數據的訪問權限,對于一般數據中的敏感個人信息與特殊病種在訪問時可以進行差異化訪問控制。在醫療審計側,原有數據審計只能審計到表、字段、數據與時間,基于數據分類分級結果后,除了能滿足原有的審計對象外,還能審計數據的敏感度,對于核心數據、重要數據、敏感個人數據與特殊病種數據能實現更加精確化審計并告警。
數據分類分級結果在臨床科研與醫學論文應用場景
醫療數據天然帶有業務屬性,做好數據安全分類分級工作,首先必須是數據安全專家其次也需要是醫療行業的業務專家,美創科技已在人社、大數據局、公安、醫療、金融等行業積累了成功的數據分類分級項目落地經驗,形成專業咨詢團隊和自動化工具支撐。
趨勢展望
《中國醫院》雜志社社長、CHIMA主任委員王才有
2022年12月19日,中共中央國務院發布《關于構建數據基礎制度更好發揮數據要素作用的意見》(即:“數據二十條”)。作為關于數據要素資源的基礎制度,盤活數字經濟、推動數據要素市場化創新發展的基礎性文件,開啟了我們國家數據資源開放和流通的閘門。
基礎制度的建立,也為破解醫療健康數據開放與保護的“兩難困境”帶來期望,對促進數據的流通和交易活動開展帶來動力,對數據提供者和開發者提供了新的動能,隨著我國數據基礎制度的建立,醫療健康行業部門也必然會根據這個基本制度的要求,細化和規范醫療健康數據的制度體系,但同時,這也對醫療行業數據安全提出新的挑戰和新的要求。
當數據由靜止轉向動態流動,數據安全場景發生了改變,保護對象在發生變化,數據安全不再僅僅是要保護數據實體,還要在數據流轉基礎之上做動態的防護,加工后的數據以及數據衍生品,包括數據模型、數據核驗產品等都需進行切實有效的保護,為此這需要醫療行業采取新的防御措施和手段,做好數據安全防護工作,使這些數據發揮出它應有的價值。
解放軍總醫院醫學大數據研究中心原主任 薛萬國
1.在政策法規方面:期待醫療行業管理部門在國家相關法律和機制框架下,加速制定醫療行業數據安全法規實施細則,更好地承接《數據安全法》在行業的實施落地。如:對醫療行業數據明確分類分級,制定重要數據目錄,提出具體的保護技術和管理要求;對醫療數據采集和使用中的個人知情同意方式進行明確;對于醫療數據流通中的數據匿名化、去標識化要求進一步明確;明確醫療行業數據交易規則等。
2.在數據安全技術方面:針對醫療行業典型業務信息系統和數據利用場景,在數據防損壞(如勒索病毒)、防流失、防不正當使用、訪問追溯等方面,期望開發出示范性解決方案;大力發展和推廣應用標準化醫療數據模型和術語,為分布式數據研究提供基礎,開發分布式數據統計、建模方法與算法,支持“數據可用不可見”的共享利用模式。
3.系統應用與建設方面:面對數據安全法規和行業規范,越來越多的醫療單位會通過改造既有系統強化患者信息保護,同時加強系統性技術防護,強固安全基礎,實施系統性數據安全保護方案,完善防勒索病毒破壞的數據備份機制,建立數據訪問審計、運維監控審計等系統。
4.數據產品化方面:隨著國家、地方就醫療數據要素市場化陸續出臺相應的布局規劃并逐步落實,在明確了數據安全和個人信息保護要求前提下,將進一步調動醫療數據加工利用的積極性,醫療數據市場有望逐漸形成,數據價值將由隱形向顯性轉變。
美創科技 田平
《數據安全法》的正式實施,數據安全建設路徑就發生了很大變化。原來是以網絡安全法與等保條例作為數據安全建設的法規條律,主要以邊界防護與全面防護為主,通俗一點講就是“寧可錯殺一千絕不放過一個”,一條數據中發現有敏感數據原來的方式就是直接把這條數據進行阻斷,但從結果上來說屬于阻住數據流動,在《數據安全法》實施后,數據作為第五生產要素,讓數據依法、有序流動勢不可擋。
因此,對于數據安全建設,醫療機構應基于法律要求,開展數據分類分級,對級別較高,類別較敏感的數據,進行分級防護。同時,數據安全建設應圍繞應用場景進行開展,同一份數據在不同的應用場景進行不同顆粒度的安全防護措施。如:醫療數據出境與醫療數據應用于科研屬于兩種不同的應用場景,采用的安全防護也應有所差異,數據出境累計到一定量后需要向網信辦申報,但當數據用于醫療科研,就沒有數據量的要求,反而應側重病人個人隱私的保護。
未來,在整體行業的倡導下和數字化轉型的大方向下,數據分類分級,包括數據安全,數據安全治理、數據治理等工作,一定會在各醫療機構逐漸地展開,數據分類分級是目前也是未來醫療機構開展數據安全工作的基礎工程。
