日前,中国信通院云计算与大数据研究所,联合医疗器械企业、医疗卫生机构、网络安全企业共同编制发布了《医疗器械数据安全白皮书(2023年)》。白皮书围绕医疗器械数据安全发展概况、医疗器械数据存在安全风险和挑战、医疗器械数据安全发展规划、医疗器械数据安全行业应用实践、医疗器械数据安全发展展望进行了深入研究。
随着5G、云计算、物联网等新一代信息技术与医疗器械产业的不断深化融合,我国医疗器械产业蓬勃发展,并逐步向数字化、智慧化迈进,与此同时,医疗器械勒索病毒、医疗健康数据泄露等安全事件时有发生,智能化医疗器械网络和数据安全形势愈加严峻。
1
合规与风险驱动医疗器械数据安全
医疗器械是医疗卫生机构资产构成的重要组成部分,据调查分析,某医院每台PET-CT设备的年均治疗人次达6000以上,彩超机多达1.5万人次,产生大量医疗数据。然而,在医疗器械管理领域,针对数据安全的重视程度亟待加强。
01
医疗器械数据安全面临多合规需求
从国家层面,《网络安全法》《数据安全法》《个人信息保护法》作为三部上位法,对医疗行业安全保障工作提出了基本规范和要求。从行业层面,《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等政策文件的出台,智慧医疗迎来蓬勃发展。针对医疗器械数据安全方面,党中央、国务院及医疗监管部门相继发布一系列政策指导文件,逐步完善医疗器械网络安全与数据安全体系。
02 医疗器械网络安全事件频发,引发数据泄露
医疗器械种类众多,增长迅速。一方面,医疗器械信息化水平相较其他行业存在一定差距,安全建设能力不足,数据安全建设处于起步阶段,自身安全防护能力薄弱。
2019年3月,某品牌心脏除颤仪所使用的Conexus无线遥测协议存在网络安全漏洞,未使用加密、身份验证或授权,可能导致未经授权的个人访问并操纵可植入设备。
2019年6月,某品牌部分型号及版本的胰岛素泵存在潜在的网络安全风险,攻击者可以通过更改胰岛素泵设置的手段,导致高血糖和糖尿病酮症酸中毒。
2019年7月,相关安全研究人员当时使用最为广泛的嵌入式设备实时操作系统VxWorks中发现了11个高危漏洞,主要受影响的医疗器械包含影像系统,输液泵和麻醉机等。
2022年6月,某基因测序仪的本地运行管理软件存在网络安全漏洞,可以实现对基因测序仪进行远程控制外,还可以影响患者的临床测序结果,从而导致诊断过程中的结果被篡改。
医疗器械数据安全存在诸多风险
医疗器械数据作为医疗健康数据的重要组成部分,具有高度敏感性。随着技术发展,医疗器械联网设备激增,分布广泛,应用场景多样,并展露出类型多、型号多、远程运维方式多的“三多”趋势,直接导致安全风险暴露面的增加。
1.数据交换风险 随着技术发展,数据交换场景和频次增多,涉及数据所有者、数据处理者、数据使用者等多重角色和大量人员,导致安全责任方无法有效的监测资产流转过程中的安全风险,无法有效地识别参与人员的异常行为。 黑客通过网络安全漏洞控制医疗器械进而向医院索要赎金的勒索攻击,正在成为最主要的信息安全危害,医疗数据泄露隐患突出。
第三方风险管控夯实医疗器械数据安全 针对以上问题,道普信息风险管控专家建议,通过第三方信息化风险管控,采取多规管理融合、数据安全治理等手段,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗器械数据安全环境。 2.数据安全治理实现数据核心价值 3.构建安全防护体系实现数据安全运营 构建长期、有序、常态的运营体系,在前期做好基础安全防护,在具备基础之后,做好分类分级、数据流转,做分级管控和安全防护,实现多源数据汇聚、数据流动监测、监测与分析、安全事件及时发现等安全运营。
1.多规管理融合加强数据安全合规
