日益严峻的医院网络安全形势,更应引起所有医院一把手和各级行政主管部门的警醒!
接连发生的医院网络安全事件更应让谁警醒
2月24日,春节后开工的第一周,就有一家湖南省的医院信息系统在勒索病毒的攻击下“中招”了。
接连发生的医院网络安全事件,无疑让医院信息科主管们本已高度紧张的神经,进一步紧绷。正如一位医院信息科主任感慨:没有想到2018会在这样的氛围中开始。
但维护医院网络安全,绝非仅仅是信息部门的事,日益严峻的医院网络安全形势,更应引起所有医院一把手和各级行政主管部门的警醒。有关方面绝不可抱有任何侥幸心理,而应以此为契机,举一反三,推动医院网络安全建设实现全面改观和质的飞跃。
第一,各级医院一把手必须高度重视网络安全建设。
作为多年的医疗信息化媒体观察者,平心而论,在网络安全建设的问题上,中国医院普遍需要“补课”。
原因很简单,中国医院对于信息化建设,普遍投入不足。最近10年来,虽然医院信息化建设意识普遍觉醒,但新增资金主要用于硬件更新和业务信息系统等“雪中送炭”的投入上,对于被视作“锦上添花”的网络安全,以及相关专业人才的培养方面,普遍还不够重视。
况且,旧有的医院信息系统普遍采用的物理隔离方式已经逐渐被打破。近年来医院互联网化建设急剧升温,与信息便民相关的互联网应用日益深入,医疗大数据更是被赋予“待开发的金矿”一说,医院信息系统的安全风险自然与日俱增。
因此,遭受外部攻击的这一天早晚会到来,只是看医院是否提前有所防范。
在此特别需要提醒各级院长的是,如果医院发生网络安全事件,一把手应该首当其冲,负有相应的责任。根据2017年6月1日起施行的《中华人民共和国网络安全法》(简称:《网络安全法》)第二十一条,国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:(一)制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;(二)采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;(三)采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;(四)采取数据分类、重要数据备份和加密等措施;(五)法律、行政法规规定的其他义务。
同时,医院信息系统作为《网络安全法》定义的“关键信息基础设施”,除本法第二十一条的规定外,关键信息基础设施的运营者还应当履行下列安全保护义务:(一)设置专门安全管理机构和安全管理负责人,并对该负责人和关键岗位的人员进行安全背景审查;(二)定期对从业人员进行网络安全教育、技术培训和技能考核;(三)对重要系统和数据库进行容灾备份;(四)制定网络安全事件应急预案,并定期进行演练;(五)法律、行政法规规定的其他义务。
第二,更应该引起各级卫生计生行政主管部门的高度警觉。
网络安全,各级政府部门守土有责。
《网络安全法》第五十四条明确, 网络安全事件发生的风险增大时,省级以上人民政府有关部门应当按照规定的权限和程序,并根据网络安全风险的特点和可能造成的危害,采取下列措施:(一)要求有关部门、机构和人员及时收集、报告有关信息,加强对网络安全风险的监测;(二)组织有关部门、机构和专业人员,对网络安全风险信息进行分析评估,预测事件发生的可能性、影响范围和危害程度;(三)向社会发布网络安全风险预警,发布避免、减轻危害的措施。
各级卫生行政主管部门对于确保医院网络安全的职责,自不必说。在相关政策的宣贯方面,网络安全虽然作为卫生信息化的重要基础一直被提及,但是仔细梳理近年来出台的医疗卫生信息化建设相关政策,真正突出医院网络安全的专项研究力度明显不够,全行业仍未形成对网络安全的高度警惕氛围。仅此两点,值得主管部门深刻反思。
为此,呼吁主管部门应该重点在政策引导、制定、贯彻和督导方面,迅速行动,并建立网络安全建设督导的常态化机制。包括及时宣贯网络安全相关法律法规,集中专业力量,针对全行业加强网络安全技术培训和产品的安全测试;有针对性地开医院网络安全现状的摸底调查,建立应对之策;加强与国家网络安全部门的协同防范机制,建立行业范围的预警和应急响应机制等。总之,从行业主管层面全面提升医院网络安全建设工作,不仅迫在眉睫,而且应该常抓不懈。
第三,推进针对医疗卫生领域的数据保护立法进程。
作为更为长期的考虑,相信完备的法律将有力地推进医院网络安全建设。
《网络安全法》第四十二条规定:网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。在发生或者可能发生个人信息泄露、毁损、丢失的情况时,应当立即采取补救措施,按照规定及时告知用户并向有关主管部门报告。
其实,医疗卫生信息化的推进,在数据的保护和利用方面,早已遇到了法律的瓶颈。比如,医院的数据到底归谁所有?已非三言两语所能说清道明。无论如何,在医院信息系统日益走向开放的当下,在不可逆的时代潮流下,有针对性地加强相关领域的立法,势在必行。
让我们衷心祈愿2018,中国医院信息化建设在这场空前的网络安全的危机中,全面强化网络安全意识,筑牢网络安全的堤坝!
近期热门文章:【网络安全】系列
HIT专家网∣最新鲜的医疗信息化资讯,不一样的专家视角
微信:HIT180com
投稿: public@hit180.com
商务合作:(010)82373062