܄

#后疫情时代的新思考#数据安全隐患仍是医疗行业的“老大难”问题丨数据猿公益策划

【数据猿导读】 随着实体医院将诊疗活动延伸至互联网端,数据共享和流通成为刚性业务需求,静态的隔离保护措施难以控制数据在流动中的风险,关乎患者隐私、种类繁多的医疗数据价值快速提升,迎来愈加严峻的安全挑战。

#后疫情时代的新思考#数据安全隐患仍是医疗行业的“老大难”问题丨数据猿公益策划

本文是由作者蔡毅独家投递数据猿,并参与数据猿推出的《寻找新冠战“疫”,中国数据智能产业先锋力量》的公益主题策划活动的征文部分。

信息化新技术的不断发展,云计算、大数据的不断深化应用,使得医疗信息化快速发展。此次疫情的爆发更是推动了远程诊疗、移动诊疗、医疗物联网等拓展场景的使用和互联网医院的开展。

随着实体医院将诊疗活动延伸至互联网端,数据共享和流通成为刚性业务需求,静态的隔离保护措施难以控制数据在流动中的风险,关乎患者隐私、种类繁多的医疗数据价值快速提升,迎来愈加严峻的安全挑战。医疗行业需要通过动态变化的视角分析和判断数据安全风险。

医疗行业的“老大难”问题

医疗数据安全问题,一直是医疗行业的“老大难”。近年来医疗行业成为了黑色产业关注的主要对象,据腾讯安全联合中国信通院发布的《2019健康医疗行业网络安全观测报告》显示,勒索病毒、数据泄漏、网站篡改是医疗行业网络与数据安全风险的三个主要方面。疫情期间,一些黑客组织以“新冠肺炎”话题为诱饵,通过钓鱼软件、恶意链接等方式对医疗机构、医护人员的电脑发起网络攻击,从而达到勒索、窃取信息等目的。

过去一年,美创科技接收并处理了近百家遭受勒索病毒软件攻击的医疗机构的求助,勒索病毒频发,已是医疗行业的主流威胁之一。目前来看,定向攻击植入勒索病毒的事件逐渐增多,且勒索软件新变种不断产生,通过清除杀毒软件相关进程,甚至自我混淆加密,传统基于特征码的防护方式效用大减。针对以上问题,我建议医疗机构在加强弱口令、漏洞、文件共享和远程桌面管理等自身信息安全管理能力的基础上,改变防御思路,采取更加主动的防御机制,对勒索病毒攻击的重点目标,如:数据库、核心文档、哑终端等进行主动式防御。

数据安全_医疗_公益策划-1

在面临各类外部威胁的同时,医疗行业也面临着各类内部风险管理问题:

1、技术人员不足

在当前的建设条件下,各个医院的信息化设备一般都采取机房集中式托管的模式。在实际应用中,往往是数十台至几百台服务器的机房,却只能配备1-2名技术人员,显然,人员需求是不足的。

2、管理手段需要强化

在设备的日常管理和维护方面,大多数操作都是直接远程登录操作管理,或者派人员去机房对所需设备外接显示器进行操作。对于这些操作过程的记录和可追溯性不足,不满足相关法规要求。

3、安全建设意识薄弱

安全建设一直处于一种“重建设、轻管理”的状态,通常也只是在网络安全层面部署安全产品,如网络层面的内外隔离、防止底层的网络攻击等。

随着IT技术的不断深入发展,面临的安全危险也越来越多,传统的网络安全界限也逐渐模糊化。对于实际的日常工作中遇到的最核心的数据层面的安全问题,缺乏有效的建设防护。

针对内部风险,我们一直建议医疗行业在敏感数据安全保护方面,不仅要加强流程、制度的约定,更要以技术手段做相应的管控,建立健全的敏感数据分级分类机制,对内部人员权限进行细化和鉴权并加强事后追责溯源。做好制度和技术的双重保障。

新技术新应用也在引发新的数据安全隐患

在整个疫情防护过程中,医疗大数据分析可谓功不可没,但伴随着大数据的采集、存储和应用增长,涉及到医疗信息数据流转使用各个层面的数据安全问题不容忽视。我认为医疗单位需要全面考虑到数据的防攻击、防泄露和防窃取,做到数据全生命周期安全保护。尤其在数据存储、传输、使用过程中,应充分应用先进的数据保护技术,如脱敏技术及加密技术,对医疗敏感数据进行持续性的保护,避免数据在共享交换过程中的泄漏。

数据安全_医疗_公益策划-2

无论是包括勒索病毒在内的外部威胁,还是内部人员非法窃取,医疗数据安全备受关注离不开其独特的地位和价值。当前,数据这一要素的重要性已经提升到与土地、劳动力、资本、技术同等地位的高度,基于国家健康医疗大数据战略,医疗数据资源整合、互联互通持续加强,数据快速流动,安全问题也将在数据生态体系的互动中进一步放大。

如何解决内忧外患?首当其冲的是安全架构,当传统的网络边界模糊失效的时候,我们需要基于新视角对安全架构做演进。首先我们定义了一个明确的保护目标即数据,从资产、入侵、风险三个视角看数据安全并做好数据安全防护。从而解决黑客攻击、勒索软件、社会工程等外患,防范由于软件开发人员、高权限人员等内部因素导致内部数据安全等内忧。

随着数据源的不断增多,数据结构的不断增加,要从海量数据中明确保护的对象,基于安全的数据分类、分级的作用日益凸显。医疗机构需要从认识数据出发,对医疗数据进行梳理,并基于安全角度对数据进行分类分级,将结果运用于医疗数据安全防护以及数据治理的开展,从而提高数据安全防护质量、更有效的发挥数据资产的价值、提升医院信息化建设水平。

2020年,数据安全建设仍将是医疗行业的重要工作内容,医疗机构需要做的是:深入了解数据全生命周期面临的安全风险,并对这些环节的关键风险点进行分析,借助和利用最新的技术、方法,形成完整、行之有效的安全防护能力,从而赢得患者的信任、实现医疗数字化转型下的数据之安。

本文作者·蔡毅:

蔡毅,美创科技解决方案总监,从事数据管理、信息安全及战略咨询工作十余年,是行业信息化建设和数字化转型的资深专家。


来源: 数据猿

声明:数据猿尊重媒体行业规范,相关内容都会注明来源与作者;转载我们原创内容时,也请务必注明“来源:数据猿”与作者名称,否则将会受到数据猿追责。

刷新相关文章

#榜样的力量#寻找新冠战“疫”,中国数据智能产业先锋力量丨数据猿公益策划
#榜样的力量#寻找新冠战“疫”,中国数据智能产业先锋力量丨数...
#榜样的力量#开域疫情防控测温一体机——为千万人的生活出行安全保驾护航丨数据猿新冠战“疫”公益策划
#榜样的力量#开域疫情防控测温一体机——为千万人的生活出行安...
#榜样的力量#Smartbi疫情收集和分析系统——助力教育行业复工复学丨数据猿新冠战“疫”公益策划
#榜样的力量#Smartbi疫情收集和分析系统——助力教育行业复...

我要评论

精品栏目

[2017/12/19]

大数据24小时

More>

[2017/12/18-22]

大数据周周看

More>

[2017/12/18-22]

大数据投融资

More>

[2017/12/18-22]

大咖周语录

More>

[2017/12/13-20]

大数据周聘汇

More>

[2017/12/12-19]

每周一本书

More>

返回顶部