疫情期间,基于核酸筛查、流调溯源、风险区域划分等防控工作的需要,健康码、场所码、行程码等数字防控手段成为重要支撑,而其采集、使用的大量个人敏感信息如:身份证号、人脸信息、行踪轨迹等数据也被黑灰产盯上,诱发出了一系列的数据泄漏问题。
如今,随着疫情防控进入“乙类乙管”的常态化阶段,医疗机构又该如何做好“涉疫数据”的安全保护?
3月22日,赣鄱HIT青年讲堂(第1期)线上直播成功举办,本次会议由江西省研究型医院学会医疗大数据与人工智能分会青委会、《中国数字医学》杂志社江西联通站联合主办,全知科技协办。
会上,江西省妇幼保健院互联网医院管理办公室主任兼信息部副部长金忠林、萍乡市人民医院信息总工程师/信息科长方淳分享了精彩内容;全知科技华东区技术总监、医疗行业数据安全解决方案专家石育齐,从医疗数据安全形势、法律合规要求等维度切入,深度剖析了当前医疗机构面临的困境难点,分享了涉疫数据安全流动的相关思考和解决方案。
01 医疗机构涉疫数据安全管理痛难点
对于医疗卫生机构来说,即使新冠疫情感染被调整为“乙类乙管”,医疗卫生机构仍需要对疫情就诊人员进行快速记录、筛查、分诊,所有涉疫数据属于高敏感的个人隐私信息,面临着较高的个人信息滥用与泄露风险。
随着互联网医院,微信公众号、小程序等业务开放,API接口作为数据流转的重要通道,连接着各种服务、应用和终端,也连接着医院的职能部门、患者和合作伙伴,甚至整个医疗生态。
医疗机构需要通过整合、开放API接口来实现不同系统、业务之间的数据交互,数据流动频率高、量级大,流动场景也十分广泛,如向上疫情报送、对外开放查询等。涉疫数据会在国家卫健局、地方医疗卫生机构、政府部门、个人之间形成复杂的数据流动链路;与此同时,巨大的流量和访问频率让API接口成为涉疫数据泄露的重要途经,背后的数据风险无法估量。
在核酸检测、在线挂号、报告查询等实际业务场景中可以发现,API已成为医疗卫生机构的一大痛点,其安全现状不容乐观,主要表现在以下几个方面:
01攻击面大
医疗卫生机构存在多个信息系统,API接口数量繁多,涉及到医院方、患者端、第三方等多个主体,数据泄露风险点激增。
02泄漏量大
API承载着医院核心业务数据、患者/医护个人信息等大量数据,外部攻击者可以利用API接口批量获取敏感数据。
03威胁源多
针对API的外部攻击,除了要提防黑灰产产业链的恶意攻击,竞争对手、境外势力的攻击威胁也不容小觑。
04管理滞缓
医疗卫生机构存在病历系统、药品库存管理、医疗设备管理等不同信息系统,但内部安全管理能力无法适应快速变化的业务及复杂繁多的系统。
02医疗机构涉疫数据安全能力需提升
从监管层面来看,2022年,国家卫生健康委、国家中医药局、国家疾控局联合印发《医疗卫生机构网络安全管理办法》,《办法》明确要求医疗卫生机构要定期对数据资产进行盘点统计、定期进行数据安全风险评估、建立数据行为审计流程、加强数据全生命周期的安全管理等;明确医疗机构网络安全细化监督制度和机制,建立网络安全风险应急响应等机制。
医疗数据是重要资源,这些极具敏感性的数据蕴含着极大的价值,一旦泄漏,将会造成严重后果。因此,不论是监管的合规要求,还是医疗卫生机构自身发展的需要,都应该重视医疗数据安全体系的建设,确保数据的有效利用和安全可控。
涉疫数据流动安全解决方案
结合《数据安全法》、《个人信息保护法》等法律要求,同时基于当前医疗卫生机构的数据安全现状,全知科技打造了一套“以数据为中心”的涉疫数据流动安全解决方案,为医疗卫生机构提供涉疫数据接口盘点、涉疫数据接口风险监测、数据异常行为监测等核心安全能力支撑,全面提升数据安全保护能力。
1、涉疫数据接口全面盘点
自动梳理发现医疗机构的所有API接口并进行分类分级,形成API全量清单;自动识别暴露PII或其他敏感数据的API ,并对暴露面进行分级,避免安全管理盲区,降低API数据泄漏与和合规风险。
2、涉疫数据接口风险监测
对医疗机构的API接口进行全面风险监测,包括接口权限类、数据暴露类、安全规范类、口令认证类、高危接口类5大类等30+项的API接口,完整覆盖OWASP Top 10 。
3、涉疫数据出境安全监测
支持数据出境多维度安全风险检测,包括web应用主动外发、境外调用、文件主动上传、境外下载、邮件外发等,帮助医疗机构规范数据出境活动。
4、涉疫数据接口数据溯源
主动式检索,盘点医疗机构的风险接口历史传输数据;保留6月内历史风险日志,支持时间段内任意追溯;海量日志秒级检索响应,迅速定位敏感数据泄露源。
5、数据异常行为持续监测
主动对API接口进行攻击学习,持续发现针对具体API特性的攻击,识别API扫描、路径试探、异地调用、IP高频撞库、暴力破解、数据遍历等攻击风险。
夯实数据安全防护能力建设,是新形势下医疗卫生机构信息化发展的必要路径,也是要坚守的安全底线。
全知科技是国内领先的数据安全服务商,拥有领先的数据安全治理能力和丰富的落地实践经验。未来,全知科技将继续深化技术创新,持续赋能医疗行业客户的数字化发展。