洞察:2022年医疗行业数据安全回顾及2023年展望
过去的2022年,统筹安全与发展,在医疗信息化发展道路中,数据安全已不可或缺。
这一年,实施五年多的《网络安全法》迎来首次修改,《数据安全法》、《个人信息保护法》由立而行一周年,配套的《数据出境安全评估办法》、《网络数据安全管理条例(征求意见稿)》等政策法规和标准规范接连发布,在医疗行业,数据安全成为《“十四五”全民健康信息化规划》部署的关键领域,作为主要任务和优先行动持续推进,首个关于网络安全的管理办法《医疗卫生机构网络安全管理办法》重磅出台,为医疗机构网络安全和数据安全管理,送上了一份开卷答案。
转眼来到2023年,站在崭新的年份,医疗行业数据安全现状如何?面临哪些挑战?医疗机构又如何开展新一年的安全建设?
“解读2022,展望2023。”日前,CHIMA大讲堂医疗行业网络安全与数据安全回顾与前瞻研讨会邀请《中国医院》杂志社社长、CHIMA主任委员王才有,解放军总医院医学大数据研究中心原主任薛万国,美创科技医疗行业专家田平,数说安全分析师史高平,一同探讨医疗数据安全建设的现在与未来、困境与破局之道。
现状如何?
数说安全分析师 史高平
从市场来看,2022年医疗行业市场空间为48.22亿元,受疫情等因素影响,相较于 2021年同比下滑3.7%。医疗行业仍重点围绕等级保护进行建设为主,防火墙、杀毒软件、上网行为管理等传统产品仍是主流采购项目,安全服务和安全运营增幅明显,此外,勒索病毒频发也提升了相关安全产品采购需求。
数说安全《2022医疗行业网络安全报告》
在数据安全方面,2021年以来,《数据安全法》、《个人信息保护法》等法律法规的落地,医疗行业对数据安全的关注度空间提升,数据安全类产品的需求保持了较高的增长。2022年,数说安全发布的《数据安全市场研究报告》显示:2021年,医疗数据安全采购项目数量是3700个,同比增长了28.5%,其中专项采购469个,同比增长29%。
数说安全《2022数据安全市场研究报告》
但总体而言,相较于医疗信息化的蓬勃发展,受主观、客观条件的限制,医疗数据安全建设依然相对滞后,目前,医疗行业主要采购数据库审计、数据泄露防护等单项产品。不过,整个行业关于数据安全的理念正在发生改变,逐步认识到数据分类分级对于数据安全保障的重要性,不再局限于单点防护的安全理念,更加关注数据全生命周期的安全防护,一些发达地区大型三甲医院已开始从单一的产品采购转向数据安全治理、数据分类分级等安全服务的采购。
解放军总医院医学大数据研究中心原主任 薛万国
从宏观层面可以看到,法律与监管、数字经济与数据要素地位的确立对数据安全保护的要求更加迫切,随着医院、患者、管理者、公卫以及科研人员等各方对数据利用和共享的需求日益强烈,也催生着大量的数据安全防护需求。同时,当前医疗行业数据安全落地实施还存在一些问题:
一方面,医院数据安全在基础防护上尚存在不足。比如数据备份能力是数据安全防护基础,但根据CHIMA《2021-2022中国医院信息化状况调查报告(征求意见稿)》显示,仅有四分之一的受调研医院实现了全部系统数据备份,大多数医院只能做到核心系统和重点业务系统数据备份,其他系统的数据没有做到备份,这些数据一旦发生数据的破坏或泄露,如勒索病毒,将对医院的正常运行以及患者的隐私安全造成损失。而在数据恢复能力上,仅有十分之一的医院能够实现全部系统数据能恢复到任意时间点,有22.32%的医院仅核心系统数据能恢复到任意时间点。
CHIMA《2021-2022中国医院信息化状况调查报告(征求意见稿)》
CHIMA《2021-2022中国医院信息化状况调查报告(征求意见稿)》
此外,在医院服务器和数据库防护措施上,数据库审计、运维堡垒机、防统方作为典型的安全防护产品,仅有60-70%左右的使用比例。
CHIMA《2021-2022中国医院信息化状况调查报告(征求意见稿)》
另一方面,医院数据安全保护工作存在一定困扰和问题。医院信息化业务、系统、软硬件数量非常庞大,远超其他行业,但技术人员较少,尤其专职的安全人员以及数据安全管理运营人员更为稀缺,数据安全怎么建,如何建,大部分医院并不知道适合自己的答案,造成建设过程中的“迷茫期”。也因此,70%以上的调查者希望有全面的数据安全咨询服务、安全意识培训服务以及数据资产的盘点和分类分级服务等。
美创科技医疗行业专家 田平
2021年,被称为数据安全元年,9月1日《数据安全法》正式实施落地,同年,国标委发布首部完全针对健康医疗数据安全的标准—《信息安全技术 健康医疗数据安全指南》。2022年8月,国家卫生健康委发布《医疗卫生机构网络安全管理办法》。10月,国家卫生健康委规划司发布《卫生健康行业数据分类分级指南》(征求意见稿),随着征求意见稿的落地,未来医疗行业将开启以数据分类分级为起点的数据安全建设。
医疗数据安全建设政策背景
目前,合规升级、监管趋严已成为主旋律,国家及相关部门正在通过立法、加强监管、完善标准等多维度方式提升医疗健康数据的整体安全水平,2022年国家卫生健康委、国家中医药局、国家疾控局推出了医疗行业首个关于网络安全的管理办法——《医疗卫生机构网络安全管理办法》(简称:《办法》),并对数据安全管理单独成篇,做出规制,叠加医院数字化转型、数据互联互通催生的安全需求,如何保障数据安全与患者隐私将持续成为医疗行业的重要议题和焦点需求。
有何难点?
数说安全分析师 史高平
医疗行业数据安全建设从实际成效和结果看,之所以尚未呈现人气与市场交替上升局面,一方面在现行已颁布的法律法规及标准体系下,健康医疗数据安全的顶层设计仍然还存在着交叉和空白,配套制度的细则不够完善,行业数据分类分级管理、重要数据目录制定等相关工作还在研制。同时,供需两端在需求和能力适配方面存在一些短板和问题。
数说安全《2022医疗行业网络安全报告》
一方面,需求侧医疗机构安全基础普遍薄弱,各级医疗机构在数据安全方面还处于起步阶段,产品采购主要集中在数据库防护和防泄漏等传统产品,受限于安全统筹规划能力弱、专业数据安全人才匮乏、资源投入不足、安全管理制度不统一等因素。
另一方面,在供给侧,目前供应商提供的医疗数据安全解决方案和服务的成熟度尚不够高,需要累积案例经验,不断提高数据安全的解决方案成熟度。在医疗数据互联互通建设的信息化趋势下,数据安全与业务高度融合,数据安全的基础是数据的分类分级,这部分和传统网络安全有很大不同,这要求从数据分类分级到相应的数据安全策略的匹配都需要安全厂商对医疗业务有深刻的理解,同时也要求供应商提供适配医疗系统的解决方案和产品。
解放军总医院医学大数据研究中心原主任 薛万国
难点一:大数据环境下,裸数据利用需求增多,数据保护难度增大。在传统模式下,数据通过应用系统访问,访问权限可通过应用系统控制。而在大数据分析模式下,数据利用随机性大,研究人员基于裸数据进行处理和分析建模,裸数据的授权管理及保护更为困难。
难点二:随着AI产品研发和合作研究增多,外部数据利用需求增加,需要特殊技术对数据进行保护。比如:医疗机构在对外提供数据时,往往通过数据脱敏和匿名化手段,但当前医疗数据内容及类型多样、结构复杂,有文本数据、医疗影像等非结构化数据,数据脱敏和匿名化存在技术难点;仅依靠约定进行数据用途限定和数据保护力度不够,数据一旦泄露,从技术上数据溯源难;数据资源不出院、“数据可用不可见”,存在数据标准化工程量大、数据分析方法设计难点。
难点三:应用系统和数据开发平台的技术架构多样化,给统一的数据监管审计造成困难。当前,医疗机构正面临多样化的数据技术环境,既有传统关系型数据库、也有MongoDB、Hbase等NoSQL数据库,这要求数据库审计系统必须有强大的协议支持能力。
难点四:缺乏落实法规的具体遵循。《数据安全法》、《个人信息保护法》作为上位法,对医疗行业安全保障工作提出了基本规范和要求,但在医疗机构落地实施,还需要制定具体的细则,如对于医疗行业数据如何分类分级,哪些数据是重要数据?《个人信息保护法》中知情同意原则如何在医疗行业实施,特别是对于医疗活动之外的数据共享利用(科研、单病种上报、管理部门数据采集等)、对于以患者医疗为目的的电子病历共享。
探索实践
美创科技医疗行业专家 田平
数据安全分类分级是数据安全管理和防护体系建设的基础,是数据流动过程中安全态势保护的底层,识别核心数据、重要数据资产,并针对性的设计安全管理机制,是安全建设的必由之路。
针对医疗行业存在的“无标准落地难、数据复杂难梳理、数据安全管理粗放、长效性难保证”等普遍问题和安全建设的实际需求,美创科技基于对医疗行业的深入理解和在数据分类分级领域的研究,对标参考法律法规、国家行业标准,如《数据安全法》、《医疗卫生机构网络安全管理办法》、《国家卫生健康委规划司卫生健康行业数据分类分级指南(征求意见稿)》、《GB/T 39725-2020 信息安全技术 健康医疗数据安全指南》及其他行业地方标准等,形成切实可行的核心数据、重要数据识别模型,形成基于分类分级的医疗健康行业临床数据合规共享与安全防护建设实践方案。
1.基于自研的数据支撑平台,实时、准确的将结构化数据,半结构化数据、非结构化数据采集抽取至ODS数据湖、以及半结构化、非结构化文件库中,数据支撑平台采用基于数据库日志文件的无侵入式增量采集技术,采集过程不影响生产系统的稳定运行,并保证数据的一致性。
2.通过暗数据发现与分类分级系统进行数据的自动化发现和分类分级,建立数据目录,并提供丰富的API接口,实现与资产管理平台、数据安全管控平台、第三方数据安全产品对接,为后续数据资产合规管理、数据安全防护提供基础支撑。
3.最终,整体方案基于数据分类分级结果进行数据合规共享(临床业务)、敏感资产安全防护(内部管理)。
在临床数据合规共享场的合规性应用。
在敏感资产安全防护(内部管理)中,依据数据分类分级结果,建立相适应的安全管控策略。如在医疗运维侧,通过分类分级结果有效管控运维侧工作人员对核心数据、重要数据的访问权限,对于一般数据中的敏感个人信息与特殊病种在访问时可以进行差异化访问控制。在医疗审计侧,原有数据审计只能审计到表、字段、数据与时间,基于数据分类分级结果后,除了能满足原有的审计对象外,还能审计数据的敏感度,对于核心数据、重要数据、敏感个人数据与特殊病种数据能实现更加精确化审计并告警。
数据分类分级结果在临床科研与医学论文应用场景
医疗数据天然带有业务属性,做好数据安全分类分级工作,首先必须是数据安全专家其次也需要是医疗行业的业务专家,美创科技已在人社、大数据局、公安、医疗、金融等行业积累了成功的数据分类分级项目落地经验,形成专业咨询团队和自动化工具支撑。
趋势展望
《中国医院》杂志社社长、CHIMA主任委员王才有
2022年12月19日,中共中央国务院发布《关于构建数据基础制度更好发挥数据要素作用的意见》(即:“数据二十条”)。作为关于数据要素资源的基础制度,盘活数字经济、推动数据要素市场化创新发展的基础性文件,开启了我们国家数据资源开放和流通的闸门。
基础制度的建立,也为破解医疗健康数据开放与保护的“两难困境”带来期望,对促进数据的流通和交易活动开展带来动力,对数据提供者和开发者提供了新的动能,随着我国数据基础制度的建立,医疗健康行业部门也必然会根据这个基本制度的要求,细化和规范医疗健康数据的制度体系,但同时,这也对医疗行业数据安全提出新的挑战和新的要求。
当数据由静止转向动态流动,数据安全场景发生了改变,保护对象在发生变化,数据安全不再仅仅是要保护数据实体,还要在数据流转基础之上做动态的防护,加工后的数据以及数据衍生品,包括数据模型、数据核验产品等都需进行切实有效的保护,为此这需要医疗行业采取新的防御措施和手段,做好数据安全防护工作,使这些数据发挥出它应有的价值。
解放军总医院医学大数据研究中心原主任 薛万国
1.在政策法规方面:期待医疗行业管理部门在国家相关法律和机制框架下,加速制定医疗行业数据安全法规实施细则,更好地承接《数据安全法》在行业的实施落地。如:对医疗行业数据明确分类分级,制定重要数据目录,提出具体的保护技术和管理要求;对医疗数据采集和使用中的个人知情同意方式进行明确;对于医疗数据流通中的数据匿名化、去标识化要求进一步明确;明确医疗行业数据交易规则等。
2.在数据安全技术方面:针对医疗行业典型业务信息系统和数据利用场景,在数据防损坏(如勒索病毒)、防流失、防不正当使用、访问追溯等方面,期望开发出示范性解决方案;大力发展和推广应用标准化医疗数据模型和术语,为分布式数据研究提供基础,开发分布式数据统计、建模方法与算法,支持“数据可用不可见”的共享利用模式。
3.系统应用与建设方面:面对数据安全法规和行业规范,越来越多的医疗单位会通过改造既有系统强化患者信息保护,同时加强系统性技术防护,强固安全基础,实施系统性数据安全保护方案,完善防勒索病毒破坏的数据备份机制,建立数据访问审计、运维监控审计等系统。
4.数据产品化方面:随着国家、地方就医疗数据要素市场化陆续出台相应的布局规划并逐步落实,在明确了数据安全和个人信息保护要求前提下,将进一步调动医疗数据加工利用的积极性,医疗数据市场有望逐渐形成,数据价值将由隐形向显性转变。
美创科技 田平
《数据安全法》的正式实施,数据安全建设路径就发生了很大变化。原来是以网络安全法与等保条例作为数据安全建设的法规条律,主要以边界防护与全面防护为主,通俗一点讲就是“宁可错杀一千绝不放过一个”,一条数据中发现有敏感数据原来的方式就是直接把这条数据进行阻断,但从结果上来说属于阻住数据流动,在《数据安全法》实施后,数据作为第五生产要素,让数据依法、有序流动势不可挡。
因此,对于数据安全建设,医疗机构应基于法律要求,开展数据分类分级,对级别较高,类别较敏感的数据,进行分级防护。同时,数据安全建设应围绕应用场景进行开展,同一份数据在不同的应用场景进行不同颗粒度的安全防护措施。如:医疗数据出境与医疗数据应用于科研属于两种不同的应用场景,采用的安全防护也应有所差异,数据出境累计到一定量后需要向网信办申报,但当数据用于医疗科研,就没有数据量的要求,反而应侧重病人个人隐私的保护。
未来,在整体行业的倡导下和数字化转型的大方向下,数据分类分级,包括数据安全,数据安全治理、数据治理等工作,一定会在各医疗机构逐渐地展开,数据分类分级是目前也是未来医疗机构开展数据安全工作的基础工程。