.

188蓝球即时比分:安全威脅防不勝防,醫院CIO如何自救

來源:HC3i中國數字醫療網作者:尹聰穎

大嬴家足球即时比分网 www.nsmlu.com.cn 醫療衛生機構信息安全挑戰十分嚴峻。過去一年里,醫院頻頻遭遇病毒勒索,從社區醫院、三甲醫院到衛計委都中過“招兒”。4月,某省醫院電子屏出現辱華言論,讓整個醫療圈的CIO都緊張起來,不是已經中招兒,就是在中招兒的路上。醫療信息安全威脅真是防不勝防!

“一家醫院出現安全問題,每家醫院CIO都跟著緊張?!盋HIMA主委、《中國醫院》雜志社長王才有介紹說,醫療邁向“云大物移智”領航的大健康時代,安全問題需要特別重視。

隨著醫院信息化發展,信息化對醫院的保障既是支柱也是挑戰。沒有準確的信息就不會有科學的決策,沒有科學的決策就不可能有對生命質量的保障。因此信息安全是醫療安全的支撐和必要條件。

然而,近年來醫療行業網絡攻擊事件持續增加,而其他行業都在降低。這是為什么呢?

追不上醫療信息化發展,安全問題迫在眉睫

醫院正在邁向云大物移智的全新時代,全院上下的信息安全意識還在初級階段。然而,快速發展的科技已經讓醫療數據暴露在各類挑戰之下,安全成為醫院信息中心最敏感的話題。

王才有認為,醫療衛生信息安全問題已經邁進新的階段,具體體現在以下幾個方面:

第一,醫院安全人才短缺。從醫院到企業,既懂醫療信息,又懂安全的人才鳳毛麟角;

第二,傳統的安防手段不適合今天的醫院。過去安裝防火墻將醫院數據隔離開,如今互聯網醫療、分級診療、醫聯體等讓數據流動突破圍墻,傳統的防護模式不夠;

第三,云安全挑戰在即。調研發現,美國醫療機構業務上云占70%,國內醫院業務也在逐步邁向云端。安全能否跟上?

第四,醫院全員安全意識薄弱。醫療大數據、互聯網診療等新業務,醫療數據在院內每個角色之間流轉,每個人都可能是安全漏洞,然而醫護人員沒有信息安全意識;

第五,專業解決方案短缺。企業對醫療場景的需求不夠理解,缺乏專業的解決方案。

一邊是不斷加速的醫療信息交互和健康數據生產,一邊是院墻外快速發展的信息安全技術,該如何引導信息安全走進醫院圍墻呢?醫院CIO主動擔起醫療信息安全?;さ牡W?,從內部著手建設醫療信息安全保障體系。

全院行動:發揮管理的力量,醫療信息安全責任到人

去年華數信息泄露了幾十萬條入住信息,這次事情是典型的內外勾結在一起導致的信息泄露,主責任人被判7年有期徒刑。醫療行業信息安全和數據安全,不僅要防住外部攻擊,還要守好內部安全。

要抓好信息化發展,又要保障信息安全和數據安全,醫院內部該如何推進呢?

信息安全一把手負責?!跋衷諼募缶褪切畔踩塹ノ灰話咽侄皇切畔⒖?,而是這個醫院或者這個部委一把手負主要責任?!蔽郎畔踩胄錄際跤τ米ㄒ滴被嶂魅撾蹦褰檣芩?,國家對于信息安全的要求很高,對于醫院還需要有進一步細化的要求,才能進一步引導醫院數據安全工作向前發展。

醫院必須有專職的衛生信息安全員。根據有關規定,每個醫院必須有一個專職的衛生信息安全人員,然而,現實中每個醫院連專職的衛生信息人員都不足,怎么可能設一個專職的衛生信息安全人員?!叭肆ψ試?、人力水平、人力能力制約了衛生信息安全的發展,”寧義說,在這種環境下,外包模式就是一種很好的可推薦,很參考的方法模式。

明確全院的安全權限。全院上下都要提高安全意識,才能盡可能降低人為的信息安全問題發生概率。中山大學附屬第一醫院信息中心主任張武軍介紹說,“我們醫院領導最關心的就是每天早上信息系統能不能運行。但是我們關心的不僅有運行,還有數據?!繃俅慘褂謎飧鍪莞孟蚰母霾棵派昵?,哪些數據要脫敏,哪些數據不能脫敏,要達到能監管又有渠道走。因此,一定要有明確的監管機制和辦法,才有可能落實到位。

明確軟件廠商如何安全切入。統一治理框架下,從側重邊界的管理到數據應用防護管理,在三個同步下逐步統一醫院信息化構想。張武軍說,尤其涉及到生產空間沒有經過驗證的軟件架構、沒有商量好的程序修改,不能隨便接入網絡或者沒有進入測試庫。

醫療信息安全無小事,但安全?;すぷ饔斜囈?/p>

河北某醫院電子屏出現辱華事件,正是黑客攻入了電子屏的APP。浙江省人民醫院信息中心主任郎義青提到,現在西門子等國外的大型醫學影像設備,很多都是通過4G的網絡遠程維護的?!癈T、磁共振等影像設備并不在我們的管轄范圍內,但有可能存在隱藏的漏洞,從而影響全院系統安全?!?/p>

機房UPS電池間和弱電間的隱患排查也需要加以重視。首都醫科大學北京友誼醫院信息中心主任王力華分享,我們發現動環系統沒有主動報警,一旦出現問題很難及時發現。因此,我們向院領導提出要把HIS遷到新機房,院領導高度重視系統安全,因此快速動員全院力量遷到了新機房。

如今各科室都在使用APP或軟件系統,底層又有各類硬件設備、電力設備保障。要想維護信息安全可靠的運行,信息科的安全觸角應該延申到哪里呢?

“醫院缺乏系統的安全?;ぬ逑?,從現在開始,醫院需要有應用+數據的安全?;??!蓖趿銜?。

健康大數據金礦備受關注,軟件廠商往往會要求更廣泛的數據。解放軍總醫院計算機室主任劉敏超強調,“信息中心要把好關,只提供基本的數據量,應用系統之間只做必要的數據交互?!崩紓浩攔攬蒲蠩DC系統的數據訪問安全風險,梳理內部數據使用權限,嚴格數據訪問權限管理等等。必須交互和發布的數據,要考慮數據脫敏。劉敏超說,我們對廠商的每一個軟件、每一個??槎家靄踩饈?,這個工作量非常大。

醫院CIO主動出擊,讓安全技術走進來

醫院系統個性化太強,外面的安全廠商對于醫療信息流轉不夠了解,怎么能守住信息安全呢?“4月,杭州市26家醫院和16家安全廠商共同召開了一場安全會議?!崩梢邇嗨?,“每個醫院把自己的丑事抖出來,讓安全廠商知道醫院需要什么?!比靡攪菩幸檔奈侍獬溝贅∠殖隼?,再引入更多愿意深耕醫療的安全廠商,才有可能逐步提升醫療信息安全保障能力。

相比金融等行業高度統籌一體化的發展路徑,醫院信息化經歷了過去30年里自主發展,不僅醫院內部應用豐富,醫院之間也是差異巨大?!拔以汗燦芯糯罄啾?,42個???,282個系統,隨著醫院信息化持續發展系統不斷增加,數據流轉越來越快?!閉盼渚檣芩?,過去醫院內外網隔離很大程度上降低了病毒入侵的風險。今天,互聯網+醫療服務在醫院廣泛落地,讓醫院信息迅速暴露在互聯網上。面對即將到來的DT時代,醫院CIO又該怎么面對?

新增安全標的不斷出現,比如:位置、行為軌跡、語音、圖像等。劉敏超說,這種情況下醫院CIO往往有心無力。

面對醫院信息實力的短板,醫院CIO也在積極探索解決之道。王力華介紹說,云服務商的安全實力更強,因此我們將患者端的互聯網應用放到云端更有保障,通過云端更強大的安全防護提高防護能力,彌補醫院自身互聯網應用安全防護的短板。當然云服務商必須可靠,為保證云服務的可靠性,我院聚焦在政務云,通過專線連接保障安全。

“醫療安全攻防力量不均衡,需要更廣泛的安全大環境?!繃趺舫岬?,作為醫院信息安全的守護者,信息中心?;さ謀甑惱詵⑸浠?。過去守住封閉的院內信息安全就夠了,現在要應對互聯網攻擊,接下來大數據會帶來更加動態的安全威脅,5G的落地讓醫療信息安全威脅更加嚴峻。

在日前召開的C3安全峰會上,亞信集團董事長田溯寧認為:“5G時代已經開啟,其中一個核心事實是,整個商業流程實現從人的連接到物的連接,到知識連接再到商業流程的連接,從而將形成產業互聯網的元年?!?/p>

如果說3G、4G是移動互聯網的基礎設施,5G則正在成為產業互聯網化的基礎設施。各種要素在5G的時代被連接在一起,而在這樣的聯接過程中,我們看到云和網又逐漸一體化、萬物開始協同運作。人類正逐漸從信息化走向數字化、智能化。田溯寧表示:“云網一體化是5G時代最重要的特征。而當這么多事物聯接在一起的時候,安全變成了重要課題??梢運?,沒有安全,就沒有5G云網,就有可能沒有更美好的未來?!?/p>

為了全面助力醫療信息安全保障工作發展,亞信安全不斷加深對醫療行業安全需求的分析和技術融合創新,持續推進與醫院信息部門的合作,將先進的安全技術融入到醫療場景中去,并為行業用戶分享面向未來的安全防護技術和解決方案。

2018年,?亞信安全與中國醫院協會信息管理專業委員會(CHIMA)共同發布《中國醫院信息安全白皮書》。2019年C3安全峰會上,亞信安全組織了醫療網絡安全論壇,邀請醫療信息大咖交流安全問題和應對策略。亞信安全醫療行業總監劉華告訴HC3i,在與醫院CIO持續深入的交流中,我們共同探討醫療行業安全問題的解決思路,并快速形成解決方案落地到行業用戶中,實現行業知識和先進技術的快速融合與轉化落地。

為推動醫院信息安全的全面發展,CHIMA攜手亞信積極推動醫療信息安全調研與人才培養,通過引入企業的安全技術和人才帶動醫院信息安全成長,通過需求的深入調研帶動企業加深行業理解。

寫在最后:從飛行安全到醫療安全

如何保障航空安全?飛機失事后,可以從黑匣子找到事故原因,從而提高下一次飛行的安全性。王才有介紹說,在《機長的一萬天》這本書里,我們可以看到為提高航空安全,人們做了很多的工作,去找問題以提高安全性。

“從飛行安全到醫療安全,我們如何借鑒安全的經驗,讓醫院CIO不用每天膽戰心驚,讓醫療大數據來臨不會變成更大的安全挑戰呢?”


版權聲明:
  凡注明來源為“國訊股份”的文章,版權均屬國訊股份所有。未經授權,任何人不得復制、摘編等用于商業用途。如需轉載,請注明“信息來源:國訊股份網”,并保留本站的原文鏈接地址,否則,國訊股份保留追究版權責任的權利;
  本網凡注明“來源:XXX(非國訊股份)”的文章,均轉載自其他媒體,轉載目的在于傳遞更多信息,并不代表本網贊同其觀點和對其真實性負責,且不承擔此類作品侵權行為的直接責任及連帶責任。如其他媒體、網站或個人從本網下載使用,必須保留本網注明的"稿件來源",并自負版權等法律責任;
  如涉及作品內容、版權等問題,請在作品發表之日起兩周內與本網聯系,否則視為放棄相關權利。