随着移动互联网、大数据、云计算、物联网与人工智能等技术的快速发展,数字医疗、智慧医疗成为未来医疗发展的大势所趋。智慧医疗以解决医疗资源分配、提升医患远程沟通、电子病例管理、健康数据分析等方面的便利,大大提升了医疗效率。但是尽享便捷的同时,随之而来也引发了网络攻击、数据泄露等诸多信息安全问题。
根据美国卫生与公众服务部民权办公室公布的数据,截止到11月,2023年已发生479起针对医疗机构的网络攻击。当针对医疗保健组织时,网络犯罪分子获得的重要数据和PII使其成为网络攻击的主要目标,特别是勒索软件。它会造成数据丢失或无法访问数据的风险,还会增加如保险费、信用监控成本、调查时间和费用等数据泄露相关的无形成本。
同时,企业网D1Net的资料显示,凭借丰富的敏感患者数据,医疗保健行业已成为利用AI工具的网络犯罪分子的首要目标。使用AI工具的网络犯罪分子可以识别漏洞,发动有针对性的攻击,并规避传统的安全措施。一旦获得医疗保健组织系统的访问权限,网络犯罪分子就可以利用AI分析大型数据集,从而收集有价值的数据,如患者的个人身份信息(PII),用于身份盗窃、欺诈或勒索软件攻击。持续发展的威胁对医疗行业带来重大挑战,建立安全的医疗网络信息体系迫在眉睫。
随着医疗反腐的深入,SPD系统是否存在风险也被行业所关注。2023年10月,赣州市第五人民医院SPD项目中爆出的“商业统方”风险,为医院系统数据安全敲响警钟。
SPD运营防统方背景
统方行为,指统计医师个人和临床科室有关药品、高值耗材的用量信息。商业目的的“统方”是建立医药、耗材回扣黑链中的重要一环,是国家和媒体关注的重要问题,不仅损害医院的公众形象,也严重损害患者的利益。
卫生部《关于进一步深化治理医药购销领域商业贿赂工作的通知》(卫办发[2010]59号)要求,各级卫生行政部门和各类医疗机构研究制订贯彻落实《关于加强医院信息系统药品、高值耗材统计功能管理的通知》(卫办医发[2007]163号)的具体办法,采取切实有效措施,加强医院信息系统药品、高值耗材统计功能管理,避免为不正当商业目的进行统方。要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方,严禁商业目的统方。
SPD模式下可能造成统方的风险点
SPD模式下可能造成统方的风险点主要来源于潜在的信息系统漏洞,包括主机防护不完善、系统超级用户管理不严、缺乏有效的数据监管和敏感数据从内部流出等。其中,管理员账户和超级用户账号/密码管理不严格,数据维护人员或院内人员利用职务权限获取敏感信息,系统数据的统计和导出缺乏相应的审核机制、监管和记录为常见问题。
“二十大”报告指出,我国要“完善科技创新体系,坚持创新在我国现代化建设全局中的核心地位,健全新型举国体制,强化国家战略科技力量,提升国家创新体系整体效能,形成具有全球竞争力的开放创新生态。”信息技术应用创新产业(简称:信创产业),即在核心芯片、基础硬件、操作系统、中间件、数据库等领域实现国产替代的战略性新兴产业,二十大报告、中共中央政治局会议、中央经济工作会议均将科技自立自强、产业安全、自主可控摆在重要位置,2023年信创有望迎来政策的持续加码。
信创是科技封锁、安全威胁外部压力的应对之策,也是国家进行科技领域弯道超车,抢占数字经济产业地位、推动中国经济数字化转型、全产业升级的最佳选择。
在信创领域,信息安全不仅是一个重要的组成部分,而且是信创生态建设的基础。信创生态需要建立一个安全可信的环境,以确保数据和应用的安全性和稳定性。只有当信息安全得到充分保障时,信创生态才能健康发展,提供更高效、更安全的信息技术应用解决方案。
近日,塞力医疗集团(股票代码:603716.SH)旗下子公司海思太科传来捷报,海思太科将携手公安部第三研究所共同开展医疗行业信息安全体系建设,双方将聚焦医疗信息安全,开发出更安全、可靠的数据安全体系,确保医疗数据不被泄露,保障医疗行业的稳定发展。
本次合作是对海思太科行业认证的自研技术水平、丰富的项目管理经验、服务质量等综合能力的高度认可。在互联网医疗蓬勃发展的大环境下,借助公安部的专业技术和经验,双方将合力为医疗行业数据安全树立全新典范,打造互联网医疗行业的信息安全发展的里程碑。
在双方的精诚合作下,海思太科将全面提升产品核心竞争力,为旗下医疗供应链管理平台(SPD)、脑科学与类脑研究数智平台在内的全产品线重磅赋能。海思太科作为塞力医疗智慧医疗数智化平台研发的智囊团,肩负着集团以医疗供应链管理平台(SPD)为代表的智慧医疗信息化软件开发、维护的重任。海思太科通过前瞻性的采用开源数据库MySQL并加以Java语言编辑,不受Oracle商用协议制约,底层数据存储基于开源数据库平台进行开发,在有效保障信息数据安全性的基础上突破信息安全“卡脖子”。同时独立自主完成底层信息系统技术研发,自研SPD软件经国家ISO20000、ISO27001、ISO9001、ISO14001、ISO45001、国际CMMI软件能力成熟度模型集成三级、公安部网络安全等级保护第三级等权威认证,对标行业先进水平的工作效能,为医疗机构数据的完整性、准确性和安全性保驾护航。
塞力医疗软硬件产品行业认证资质
未来,在公安部的支持下,塞力医疗将依托智能设备、物联网技术,基于统一编码、智能预警、数据监测等新型信息技术建立更加完善的医药数字化供应链体系,为广阔市场的医疗机构提供更高效、更安全的智慧医疗解决方案。
