安全威胁防不胜防,医院CIO如何自救

2019-05-20 08:51 尹聪颖

医疗卫生机构信息安全挑战十分严峻。过去一年里,医院频频遭遇病毒勒索,从社区医院、三甲医院到卫计委都中过“招儿”。4月,某省医院电子屏出现辱华言论,让整个医疗圈的CIO都紧张起来,不是已经中招儿,就是在中招儿的路上。医疗信息安全威胁真是防不胜防!

“一家医院出现安全问题,每家医院CIO都跟着紧张。”CHIMA主委、《中国医院》杂志社长王才有介绍说,医疗迈向“云大物移智”领航的大健康时代,安全问题需要特别重视。

随着医院信息化发展,信息化对医院的保障既是支柱也是挑战。没有准确的信息就不会有科学的决策,没有科学的决策就不可能有对生命质量的保障。因此信息安全是医疗安全的支撑和必要条件。

然而,近年来医疗行业网络攻击事件持续增加,而其他行业都在降低。这是为什么呢?

追不上医疗信息化发展,安全问题迫在眉睫

医院正在迈向云大物移智的全新时代,全院上下的信息安全意识还在初级阶段。然而,快速发展的科技已经让医疗数据暴露在各类挑战之下,安全成为医院信息中心最敏感的话题。

王才有认为,医疗卫生信息安全问题已经迈进新的阶段,具体体现在以下几个方面:

第一,医院安全人才短缺。从医院到企业,既懂医疗信息,又懂安全的人才凤毛麟角;

第二,传统的安防手段不适合今天的医院。过去安装防火墙将医院数据隔离开,如今互联网医疗、分级诊疗、医联体等让数据流动突破围墙,传统的防护模式不够;

第三,云安全挑战在即。调研发现,美国医疗机构业务上云占70%,国内医院业务也在逐步迈向云端。安全能否跟上?

第四,医院全员安全意识薄弱。医疗大数据、互联网诊疗等新业务,医疗数据在院内每个角色之间流转,每个人都可能是安全漏洞,然而医护人员没有信息安全意识;

第五,专业解决方案短缺。企业对医疗场景的需求不够理解,缺乏专业的解决方案。

一边是不断加速的医疗信息交互和健康数据生产,一边是院墙外快速发展的信息安全技术,该如何引导信息安全走进医院围墙呢?医院CIO主动担起医疗信息安全保护的担子,从内部着手建设医疗信息安全保障体系。

全院行动:发挥管理的力量,医疗信息安全责任到人

去年华数信息泄露了几十万条入住信息,这次事情是典型的内外勾结在一起导致的信息泄露,主责任人被判7年有期徒刑。医疗行业信息安全和数据安全,不仅要防住外部攻击,还要守好内部安全。

要抓好信息化发展,又要保障信息安全和数据安全,医院内部该如何推进呢?

信息安全一把手负责。“现在文件要求就是信息安全是单位一把手而不是信息科,而是这个医院或者这个部委一把手负主要责任。”卫生信息安全与新技术应用专业委员会主任委员宁义介绍说,国家对于信息安全的要求很高,对于医院还需要有进一步细化的要求,才能进一步引导医院数据安全工作向前发展。

医院必须有专职的卫生信息安全员。根据有关规定,每个医院必须有一个专职的卫生信息安全人员,然而,现实中每个医院连专职的卫生信息人员都不足,怎么可能设一个专职的卫生信息安全人员。“人力资源、人力水平、人力能力制约了卫生信息安全的发展,”宁义说,在这种环境下,外包模式就是一种很好的可推荐,很参考的方法模式。

明确全院的安全权限。全院上下都要提高安全意识,才能尽可能降低人为的信息安全问题发生概率。中山大学附属第一医院信息中心主任张武军介绍说,“我们医院领导最关心的就是每天早上信息系统能不能运行。但是我们关心的不仅有运行,还有数据。”临床要使用这个数据该向哪个部门申请,哪些数据要脱敏,哪些数据不能脱敏,要达到能监管又有渠道走。因此,一定要有明确的监管机制和办法,才有可能落实到位。

明确软件厂商如何安全切入。统一治理框架下,从侧重边界的管理到数据应用防护管理,在三个同步下逐步统一医院信息化构想。张武军说,尤其涉及到生产空间没有经过验证的软件架构、没有商量好的程序修改,不能随便接入网络或者没有进入测试库。

医疗信息安全无小事,但安全保护工作有边界

河北某医院电子屏出现辱华事件,正是黑客攻入了电子屏的APP。浙江省人民医院信息中心主任郎义青提到,现在西门子等国外的大型医学影像设备,很多都是通过4G的网络远程维护的。“CT、磁共振等影像设备并不在我们的管辖范围内,但有可能存在隐藏的漏洞,从而影响全院系统安全。”

机房UPS电池间和弱电间的隐患排查也需要加以重视。首都医科大学北京友谊医院信息中心主任王力华分享,我们发现动环系统没有主动报警,一旦出现问题很难及时发现。因此,我们向院领导提出要把HIS迁到新机房,院领导高度重视系统安全,因此快速动员全院力量迁到了新机房。

如今各科室都在使用APP或软件系统,底层又有各类硬件设备、电力设备保障。要想维护信息安全可靠的运行,信息科的安全触角应该延申到哪里呢?

“医院缺乏系统的安全保护体系,从现在开始,医院需要有应用+数据的安全保护。”王力华认为。

健康大数据金矿备受关注,软件厂商往往会要求更广泛的数据。解放军总医院计算机室主任刘敏超强调,“信息中心要把好关,只提供基本的数据量,应用系统之间只做必要的数据交互。”例如:评估科研EDC系统的数据访问安全风险,梳理内部数据使用权限,严格数据访问权限管理等等。必须交互和发布的数据,要考虑数据脱敏。刘敏超说,我们对厂商的每一个软件、每一个模块都要做安全测试,这个工作量非常大。

医院CIO主动出击,让安全技术走进来

医院系统个性化太强,外面的安全厂商对于医疗信息流转不够了解,怎么能守住信息安全呢?“4月,杭州市26家医院和16家安全厂商共同召开了一场安全会议。”郎义青说,“每个医院把自己的丑事抖出来,让安全厂商知道医院需要什么。”让医疗行业的问题彻底浮现出来,再引入更多愿意深耕医疗的安全厂商,才有可能逐步提升医疗信息安全保障能力。

相比金融等行业高度统筹一体化的发展路径,医院信息化经历了过去30年里自主发展,不仅医院内部应用丰富,医院之间也是差异巨大。“我院共有九大类别,42个模块,282个系统,随着医院信息化持续发展系统不断增加,数据流转越来越快。”张武军介绍说,过去医院内外网隔离很大程度上降低了病毒入侵的风险。今天,互联网+医疗服务在医院广泛落地,让医院信息迅速暴露在互联网上。面对即将到来的DT时代,医院CIO又该怎么面对?

新增安全标的不断出现,比如:位置、行为轨迹、语音、图像等。刘敏超说,这种情况下医院CIO往往有心无力。

面对医院信息实力的短板,医院CIO也在积极探索解决之道。王力华介绍说,云服务商的安全实力更强,因此我们将患者端的互联网应用放到云端更有保障,通过云端更强大的安全防护提高防护能力,弥补医院自身互联网应用安全防护的短板。当然云服务商必须可靠,为保证云服务的可靠性,我院聚焦在政务云,通过专线连接保障安全。

“医疗安全攻防力量不均衡,需要更广泛的安全大环境。”刘敏超提到,作为医院信息安全的守护者,信息中心保护的标的正在发生变化。过去守住封闭的院内信息安全就够了,现在要应对互联网攻击,接下来大数据会带来更加动态的安全威胁,5G的落地让医疗信息安全威胁更加严峻。

在日前召开的C3安全峰会上,亚信集团董事长田溯宁认为:“5G时代已经开启,其中一个核心事实是,整个商业流程实现从人的连接到物的连接,到知识连接再到商业流程的连接,从而将形成产业互联网的元年。”

如果说3G、4G是移动互联网的基础设施,5G则正在成为产业互联网化的基础设施。各种要素在5G的时代被连接在一起,而在这样的联接过程中,我们看到云和网又逐渐一体化、万物开始协同运作。人类正逐渐从信息化走向数字化、智能化。田溯宁表示:“云网一体化是5G时代最重要的特征。而当这么多事物联接在一起的时候,安全变成了重要课题。可以说,没有安全,就没有5G云网,就有可能没有更美好的未来。”

为了全面助力医疗信息安全保障工作发展,亚信安全不断加深对医疗行业安全需求的分析和技术融合创新,持续推进与医院信息部门的合作,将先进的安全技术融入到医疗场景中去,并为行业用户分享面向未来的安全防护技术和解决方案。

2018年,?亚信安全与中国医院协会信息管理专业委员会(CHIMA)共同发布《中国医院信息安全白皮书》。2019年C3安全峰会上,亚信安全组织了医疗网络安全论坛,邀请医疗信息大咖交流安全问题和应对策略。亚信安全医疗行业总监刘华告诉HC3i,在与医院CIO持续深入的交流中,我们共同探讨医疗行业安全问题的解决思路,并快速形成解决方案落地到行业用户中,实现行业知识和先进技术的快速融合与转化落地。

为推动医院信息安全的全面发展,CHIMA携手亚信积极推动医疗信息安全调研与人才培养,通过引入企业的安全技术和人才带动医院信息安全成长,通过需求的深入调研带动企业加深行业理解。

写在最后:从飞行安全到医疗安全

如何保障航空安全?飞机失事后,可以从黑匣子找到事故原因,从而提高下一次飞行的安全性。王才有介绍说,在《机长的一万天》这本书里,我们可以看到为提高航空安全,人们做了很多的工作,去找问题以提高安全性。

“从飞行安全到医疗安全,我们如何借鉴安全的经验,让医院CIO不用每天胆战心惊,让医疗大数据来临不会变成更大的安全挑战呢?”