世纪坛医院田宗梅:医院信息安全防护要建立可落地的管理制度
首都医科大学附属北京世纪坛医院信息中心主任 田宗梅在近日的演讲中分析了目前医院的信息安全形势,并介绍了一些应对策略。
有数据显示,2019年全国三甲医院中有247家医院遭到勒索病毒攻击,数家医院支付了比特币,2020年疫情防控期间也出现了疫情防控文件泄露事件。医疗数据泄露事件频发,然而媒体披露的信息只是冰山一角。
近年来,国家出台了一系列重要文件,也有一些举措,例如2014年中央网络安全和信息化领导小组成立;2016年、2017年《国家网络空间安全战略》和《网络安全法》出台;2019年等保2.0对医院信息安全的工作提出了新的要求;今年国家将制定《个人信息保护法》和《数据安全法》......这一系列信息反映了国家对于信息安全的重视。
首都医科大学附属北京世纪坛医院信息中心主任 田宗梅在近日的演讲中分析了目前医院的信息安全形势,并介绍了一些应对策略。
现状
田宗梅介绍,近几年医院的业务系统呈现爆发性增长,2018年的数据显示,医院在信息安全投入上情况较乐观,投入在200万以上的三甲医院居多。安全设备涉及26种(调研问卷400份,三甲医院占79%)。这种增长给信息安全带来了新的挑战,也提出了新的要求。医疗行业信息安全的现状并不乐观,报告数据显示,医疗行业是唯一一个内部威胁远大于外部威胁的行业,很多安全问题出现在医院内部。排在第一位的原因是员工的安全意识薄弱,其次是数据管理和系统上的漏洞。而目前,医院在信息安全培训和网络安全应急演练方面,大部分只在信息部门内部组织,没有扩展到全院。
面对信息安全事件,前几年主要精力都集中于业务连续性的保护,“不停机就万事大吉”,近年来防护能力在不断提升,但除了业务连续性方面的安全事件之外,又出现了新的变化,例如信息泄露安全事件的增加。医药公司、大数据公司、商业保险等对医疗数据的需求非常迫切,很多时候信息泄露是隐形存在的,很难追溯到源头。
原因
田宗梅认为,信息安全问题逃不开人员、设备、系统、制度和环境等几个方面,其中最严重的是人员问题。
目前医院内部安全意识较为薄弱,另一方面,每家医院尤其是三级医院拥有大量的信息系统,面临不同的IT服务商、设备厂商工程师等,这些外来人员的安全管理也是重中之重。
设备管理方面,目前许多医院仍然缺少统一的设备管控平台。
系统本身也存在一系列问题,例如数据库死锁、系统漏洞、软件Bug、访问策略配置不合理、变更发布、病毒攻击等。
此外,医院还面临着管理制度缺失或缺乏可执行性,以及机房空调、UPS、火灾、漏水等物理环境方面的问题。
方案
这些问题如何解决?田宗梅提出具体的思路:
1.制度落地
首先要有健全的制度,确保可以落地,并且根据每阶段的实际情况持续更新。基础设施的可靠,不单是硬件运营可靠,还包括软设施,也就是安全的防护设施、策略部署是否可靠。应对不同的应用场景和安全需求,需要做一些定制的防护策略。还要加强系统应用的安全培训,既包括院内医务人员,也包括信息中心内部的专业人员。
在制度建设方面,需要重视几点:第一是对外来服务商的管理。第二是在医疗数据的使用方面,应当规范审批流程,确保制度落地,例如向临床科室明确隐私和敏感数据的定义,告知数据使用原则,规范流程化的数据获取形式,什么样的数据需要院领导、职能科室、临床科室审批,约定分级授权。
2.基础设施安全
当前很多医院现有的安全设备、系统是否能获得有效使用,需要进行排查,例如防火墙的策略是不是合理,是否已经做到了最低风险,又如疫情期间许多厂商为医院提供了远程服务方式,是否关注了远程服务的有效期和授权管理等,许多问题仍需要进一步细化。
3.具体场景具体策略
不同医院面临不同的阶段,也有很多业务需求、安全需求,不同的业务系统的防护策略是不一样的,应当按具体种类进行划分。
例如,在互联网应用场景下,患者的隐私如何保护?田宗梅提到,在做互联网诊疗有关工作的过程中,发现很多医院在患者绑卡的过程中没有验证手机等信息,验证信息不足,这样就存在很大隐患。
再到一些患者病历隐私的处理,例如一些比较隐私的疾病和敏感的病理报告,容易对病人容易造成不良的后果,这类数据的处理需要多加考虑。目前的处理方法是通过过滤,提醒患者到医院取纸质报告,避免在互联网上信息泄露。
此外,病历错误的处理机制,以及个人和家庭成员的数据共享的策略等,都需要进一步的规划和实施。
从院内管理角度出发,统一的身份与权限管理平台是一个解决方案,通过平台来统一全院人员平台和身份的管理和授权,从而保障安全,带来便利。
再例如面对勒索病毒,可以通过以下策略来应对:
1).关闭不必要的文件共享权限,关闭高危端口。
2).更改账户密码,设置强密码,避免使用统一的密码,密码越长越好。
3).服务器VLan划分,根据不同的防护等级进行划分:核心业务域、一般业务域、物联网业务域、对外业务域、医保业务域、DMZ等。
4).不同VLan之间访问的防火墙策略按照业务访问特性、访问端口进行配置。
5).备份文件和生产文件应尽量存储在不同的操作系统之下。
4.培训和管理
主要包括终端设备的接入管理、使用管理、互联网应用管理、账号密码管理等方面加强制度建设和宣教。
田宗梅认为,“三分技术七分管理”,首先要建立可落地的管理制度,不能让制度只留在纸面上,在技术防范措施方面,要确保采购的每台设备发挥应有的作用,保证必要的安全投入有产出。
在培训方面,加强全员的安全意识的培训,信息安全人人有责,不仅是内部安全团队的培训,也包括院内医务人员。
在日常工作落实当中,压实责任,包括规范运维、巡检、变更发布,对外来人员的管理要求,签订相应的安全管理协议等。
根据不同的安全需求制定安全防御策略,而且是统筹考虑,才能根据当前的安全形势进行持续改进。
(本文根据“数字医学云讲堂-医院信息安全形势分析与对策”演讲内容汇总)
关注大健康Pai 官方微信:djkpai我们将定期推送医健科技产业最新资讯