【e医疗原创】全球著名安全厂商:移动互联网医疗对数据的关注与其他行业相比差距很大
想说点儿什么?欢迎点击文章下方“写评论”留下您的精彩观点。
马蔚彦
在移动互联网大潮下,移动医疗或互联网医疗是医疗行业信息化发展道路上的新“风向标”。在解决患者看病难,医疗资源长期不足,以及资源分配不均等问题上,移动医疗在互联网模式下最大程度地利用并合理分配资源,在一定程度上解决了患者和医疗机构在传统医疗中所面临的“痛点”。
移动医疗以及相应的信息化应用虽然在当下十分热门, BAT纷纷进入这一领域,拓展其在医药和医疗方面的电商业务。但总体上讲,现阶段的焦点和关注点仍是解决和挑战传统医疗模式的问题上,也可以被理解为从医院为中心向患者服务和服务本身为中心的转型。而信息安全方面,无论从意识、重视程度、安全防护水平,移动医疗服务平台安全,特别是数据安全问题都与其他行业(例如金融、保险等行业)有着相当大的差距,主要体现在以下两点。
第一点,从安全意识上看,患者和医疗机构对于患者信息在丢失后的风险和危害程度还没有足够的认识,这包括患者身份数据、诊疗数据、个人健康数据等。随着移动医疗的发展,以个人医疗数据为基础的个人资料数据将广泛地关联到个人的众多其他信息,包括用于移动支付的银行卡及信用卡信息、保险信息、个人健康数据信息、职业信息等。实际上,当移动医疗出现后,医疗数据泄露的风险已经远远超出了大家现在已经有保护意识的个人身份及银行账户信息的泄露。赛门铁克公司在《2014年全球互联网威胁报告》中指出,在2014年全球数据泄露事件中,医疗行业占37%,位居第一。虽然造成这些事件的主要原因是设备无意丢失或者被盗为主,但从发展趋势上已经可以明显看到,医疗行业正在成为“针对性攻击”的目标行业。相对于个人金融数据,个人医疗数据在地下交易市场上的价格也相差很大。根据数据涵盖的内容范围大小,医疗数据是金融数据的10~100倍不等。相对于金融数据,利用获取的医疗及关联数据所实施的“针对性攻击”可以有更多途径。随着越来越多的医疗设备具有联网功能,个人医疗及健康设备(如穿戴式设备)的弱点和漏洞也会成为攻击者的突破口。这些医疗设备基本不具有安全措施,攻击者不仅可以利用这些医疗设备进入医疗机构来获取信息,所导致的后果甚至会危及患者的身体健康安全。
第二点,从安全防护能力上看,多年来,医疗行业的IT系统及应用以HIS系统为核心,并且一直处在相对封闭和有限开放的IT环境中。相对于其他互联网应用行业,医疗行业较晚接触并意识到互联网安全的相关风险,相应的防护手段和防护经验都比较缺乏。例如,很多银行目前已经具备一定的能力,当发现一个异常的信用卡使用行为时,银行可以快速发现并通知客户,采取相应的措施,可以说,银行从应对威胁的防护技术到响应流程等方面都具有成熟的举措。但是,当个人医疗信息在被异常获取或者泄露时,现有医疗机构的IT安全防护系统是否能够及时发现,却未见得。移动医疗产业的快速兴起正在催生全新的业务形态和应用模式。根据中国医药物资协会统计,截至2014年,我国共有2000多款移动医疗APP上线,在“患者-医院-供应商(药品、医疗设备)-银行保险”之间的业务环节中同样出现了全新的应用模式和产业链角色(例如电商)。医疗行业IT在应对传统网络威胁方面还未进入成熟期的情况下,便在新的业务形态下快速进行IT转型,这进一步拉大了业务发展与安全防御发展程度的落差,更是拉大了安全防护建设与安全成熟行业的差距。
因此,尽管移动医疗的风头正盛,但作为医疗行业的IT人员或业务开发商都应该对安全风险和威胁具有清醒的认识,在业务模式变革的同时,医疗机构可以向专业安全厂商获取最新安全咨询和专业建议,向安全建设先进的行业看齐。
以上内容来源:e医疗2015年6月刊
近期推送“移动互联网医疗服务平台数据安全”专题系列报道,请继续关注即将推出的以下内容:
中山大学孙逸仙纪念医院牛启润:如何系统考虑移动互联网医疗服务平台的安全问题?
温医一院:移动互联网医疗服务平台的数据安全问题探讨
云南省肿瘤医院:信息中心如何为移动互联网医院保驾护航
盘锦市中心医院:针对医院移动服务应用的几点建议
北京朝阳医院:“掌上医院”安全设计的实现
挂号网:数据安全是我们的立足之本
点击查看前期内容:
“e医疗”原创文章,转载请注明来源。
▶e医疗
医疗卫生信息化资讯平台
微博 | @ e医疗
微信 | e-healthcare
杂志 | e医疗