编者按:近日,网传“武汉政府约谈GE,GE涉及数据泄露,武汉协和超声下网……”的消息频频刷屏。对此,GE医疗中国发表声明称,网传“武汉市政府就信息数据泄露一事约谈GE公司”的说法,纯属子虚乌有。那么,针对医疗行业的网络安全风险,我们应该秉持着一种什么样的态度呢?本文将重点进行探讨。公众号后台回复“下载”或点击文末左下角“阅读原文”可获取报告电子版全文。
编辑 | 信创咨询公众号(ID:XConsultancy)
参考 | 健康时报、中国信通院、中新经纬等
作者 | 赵成光
GE医疗对数据泄露事件的回应
9月19日,针对日前坊间广泛流传的有关“GE医疗设备信息数据不安全”的说法,GE医疗中国发布声明称,网传“武汉市政府就信息数据泄露一事约谈GE公司”的说法,纯属子虚乌有。到目前为止,公司未接到任何来自执法部门或相关监管部门就此事展开的约谈或调查。
GE医疗中国表示,GE医疗始终严格遵守中国的法律法规进行商业活动并遵循业界最严格的安全规范进行数据安全和隐私保护方面的工作,愿意并随时配合医院和有关部门工作。
9月23日,健康时报记者向华中科技大学附属协和医院超声影像科、放射科多位医生证实,该院GE医疗设备均正常使用,没有下网的通知。
GE医疗一位工作人员告诉记者,“这些内容纯属谣言,已经辟谣了。GE公司没有被约谈,且合规守法。公司已经发布了声明并且对不实谣言采取了投诉、报警、发律师函等法律行动。最早写这个内容的文章已经下架。”
此外,华中科技大学附属协和医院超声影像科主任医师杨亚利告诉健康时报记者,医院GE的超声设备均正常使用,科室并未接到下网、停止使用的通知。关于GE被武汉政府约谈的消息,也没有听说过。
从GE中国的声明来看,似乎此次网络刷屏的数据泄露事件纯属“无中生有”。但即便GE中国的医疗设备不存在此类风险,是否意味着医疗数据泄露就属于不值一提的小概率事件呢?随着“健康中国”战略的推进实施,“智慧医院”“智慧诊疗”等创新实践在推动医疗健康产业智慧化转型过程中起到重要的支撑作用。以物联网、云计算、人工智能等为代表的新一代信息技术在医疗健康领域的广泛应用,促进了智慧医疗的进一步发展,使医疗数据能够在诊疗过程中发挥更大的价值。今年6月4日中国政府网发布了《国务院办公厅关于推动公立医院高质量发展的意见》。该《意见》中,明确提出了“强化信息化支撑作用。推动云计算、大数据、物联网、区块链、第五代移动通信(5G)等新一代信息技术与医疗服务深度融合。推进电子病历、智慧服务、智慧管理“三位一体”的智慧医院建设和医院信息标准化建设。大力发展远程医疗和互联网诊疗。推动手术机器人等智能医疗设备和智能辅助诊疗系统的研发与应用。建立药品追溯制度,探索公立医院处方信息与药品零售消费信息互联互通。”由此可见,医疗行业的数字化转型正在提速,以新一代信息技术提升医疗体系资源配置效率、优化社会健康服务水平,已是医疗健康领域的刚性需求。但随之而来的数据安全、医疗物联网安全问题也变得愈发重要,并且需要在医疗行业的数字化转型进程中,同步推进。2021年7月28日,中国信通院联合深信服发布了《医疗物联网安全研究报告(2021年)》。该报告中就明确提到了此类风险。
该《报告》指出,基于医疗健康产业智慧化发展的迫切需求,医疗物联网的应用遍布医疗行业的各个环节。多类型、多型号的IoMT设备分布在多科室,且设备厂商的远程运维方式多样,导致了风险暴露面积的增加,原有安全防护手段难以应对,由此引发的医疗网络安全风险和挑战与日俱增。黑客越来越多地将目标对准我国的公共医疗机构,整体来看我国医疗机构的网络安全形势不容乐观。尤其在2020年新冠疫情期间,医疗机构的网络攻击和数据窃取事件激增,不仅造成了经济损失,也给患者的健康带来了风险。为促进医疗物联网及其生态系统的健康发展,厘清医疗物联网目前面临的安全风险,中国信息通信研究院安全研究所联合深信服科技股份有限公司共同研究编制了《医疗物联网安全研究报告(2021年)》。
公众号后台回复“下载”或点击文末左下角“阅读原文”可获取报告电子版公众号后台回复“下载”或点击文末左下角“阅读原文”可获取报告电子版当前,伴随着信息通信技术的发展和普及应用,卫生健康行业高度依赖信息网络和信息系统,卫生健康行业关键信息基础设施已成为经济社会稳定发展的重要保障。近年来,卫生健康行业信息技术应用创新工作进程不断加快,取得了积极成效,但医疗卫生机构信息系统及基础软硬件产品信创技术水平还有待进一步提升。鉴于此,为贯彻落实国家相关部委信创工作要求,中国信通院率先于今年6月初便联合相关单位筹划成立卫生健康信创生态实验室。卫生健康信创生态实验室旨在开展卫生健康信创发展策略与技术方案研究,推动卫生健康信创关键技术协同攻关、标准制定、适配验证、人才培养等工作,组织协调医疗卫生机构与信息技术企业开展卫生健康信创应用试点,打造卫生健康信创产业支撑基础环境。为推动落实实验室建设工作,中国信通院通过官网面向社会公开征集了合作伙伴。征集方向包括:基础软硬件企业(包括服务器、终端、芯片、操作系统、数据库、中间件、网络设备等);网络信息安全企业(包括网络安全、数据安全、商用密码等);系统集成、运维等企业;新技术企业(包括云计算、大数据、人工智能、区块链、隐私计算等);医疗卫生信息化企业(包括HIS、PACS、LIS、CIS、远程医疗信息系统、公共卫生信息系统、医疗大数据平台等);医疗设备企业;医疗卫生机构(包括医院、公共卫生机构、基层医疗卫生机构、第三方 检测检验机构、区域医疗健康大数据中心等)等等。在征集合作伙伴的基本条件中,则明确要求“近三年未发生重大网络安全事件”。首家卫生健康信创生态实验室的筹划成立,在某种意义上意味着医疗行业在新一代信息技术的引领下,加速数字化转型的同时,已充分认识到自主安全与创新的重要性,医疗信创作为数据安全和网络安全的基础,与医疗数字化转型好似一枚硬币的两面,两者缺一不可。值得一提的是,由中国卫生信息与健康医疗大数据学会、中国医院协会信息专业委员会指导,移动医疗教育部-中国移动联合实验室发起,与全国各地相关协会学会联合主办的全国性创新赛事——“第五届智慧医疗创新大赛”特别开设“第五届智慧医疗创新大赛–医疗健康信创专题赛”。在9月4日刚刚结束的医疗健康信创专题赛中,通过向临床科室、企事业单位、科研院所征集信创成果、产品与场景创新方案,进一步促进信息技术应用创新在医疗健康领域的应用与产业发展,整合信创优势人才、技术资源,加强行业人员对国产化优势技术的深入了解,培育与孵化医疗健康信创应用场景,集中攻克医疗健康信息技术应用创新重点难点问题。
而省市一级相关部门在推进医疗信创方面,名不见经传的宝鸡市脱颖而出。笔者在搜集调研相关数据时,发现早在今年年初,宝鸡市卫生健康委员会就发布了《关于征集卫生健康信创产业技术与应用优秀案例的通知》,这无疑走在了全国的前列。
在智慧医疗、数字健康、智慧医院快速发展的趋势下,我国医疗健康信息与数据安全面临严峻挑战。在9月1日开始施行的《中华人民共和国数据安全法》(下称《数据安全法》)中,卫生健康是被提及的八大行业之一。如今,健康医疗大数据也已成为国家重要的基础性战略资源。而与此同时,医疗健康数据安全事件频发,医疗数据安全形势趋于严峻。即将在11月1日开始实施的《中华人民共和国个人信息保护法》(下称《数据安全法》),作为中国首部针对个人信息保护的专门性立法,个人信息保护法将进一步强化个人信息安全监管与治理,个人信息使用权受到法律保护。而在2017年6月开始实施的《 《中华人民共和国网络安全法》则是为了保障网络安全,维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益。公开报道显示,在新冠疫情期间,医疗机构个人和患者信息泄露事件频发。2020年4月,世界卫生组织发表声明称,疫情期间遭受网络攻击数量同比增长5倍。今年7月,参考消息网援引外媒报道称,世界范围内医院遭网袭案例大增,专业网站Hackmaggedon在对2021年第一季度的分析中指出,医疗系统是受网络攻击最严重的部门,受袭频率高于个人、公共行政和教育行业。目前,医疗数据不安全风险体现在医联体访问数据、在线医疗数据、临床科研数据、医保数据、医疗健康APP数据等多个方面。如,检验报告、诊断结果、既往病史等健康医疗数据,可能因漏洞攻击、病毒感染等,被非法访问、窃取篡改和恶意上传。移动应用则涉及众多在线健康医疗服务,存在泄露个人健康状况数据、支付数据、卫生资源数据以及公共卫生信息的隐患。在实践中,医疗数据的归属权不明确也会造成数据运用的阻碍。比如,患者去医院看病,医院归档的同一份数据中,既有患者的基础信息,又有主治医生的诊疗方案,还涉及医疗费用、药品用药等,由于区域医联体的推进,部分情况下相关数据还会存档在卫生健康部门。有专家认为,因为归属权不明确,所以在使用这些医疗数据过程中,没有主体说这个数据是属于他的,“卫健委也不能说这个数据一定是他的,医院也不能说这个数据就是他的。”据《经济参考报》报道,消息人士透露,全国医疗机构网络信息安全管理办法正在起草中,不久将会出台。报道称,新冠疫情暴发后,全球医疗健康数据频繁受到黑客攻击,国内开始重视医疗健康数据的价值,希望通过立法、加强监管等多维度方式提升医疗健康数据的整体安全水平。另外,基于医疗健康数据的敏感性,2016年至今,国家也已相继出台不少医疗健康数据安全政策进行规范,包括《关于促进和规范健康医疗大数据应用发展的指导意见》《互联网诊疗管理办法》《互联网医院管理办法》《国家健康医疗大数据标准、安全和服务管理办法》,以及近日开始实施的《数据安全法》等法律法规。信创产业作为科技创新的重要领域,是数据安全与网络安全的基础,也将成为拉动经济发展的重要抓手之一。在事关重要民生和重大公共利益的数据方面,医疗健康数据的安全性备受关注。上海复旦大学附属华山医院信息中心主任黄虹表示:“医疗健康数据已经成为一种新的生产要素,为社会提供价值。数据作为信创行业的衍生物,会产生很大的社会影响。医院的数字化转型的过程中,也特别关注数据安全以及数据的归属权。相信《数据安全法》的实施,将会对医疗信创体系的建设将会有更好的支撑。”东华医为科技的专家符德东认为:“国内医疗信创厂商的信创适配投入目前相对不足,国产化版本难以满足实际需求。医疗信创的推进过程中,产品的兼容性、稳定性、连续性、可靠性等都面临一定的困难和挑战。”
不过,对于医疗信创行业的发展前景,专家符德东仍十分看好。在他看来,“医疗信创涵盖了医疗和信创两个方向,每一个都是万亿的大市场”,率先“卡位”有利于占得发展先机。他表示,医疗行业目前正在数字化转型,新基建主推的5G、大数据、云计算、物联网等新一代信息技术,都将给医疗行业带来巨大机会。8月26日,国际会计师事务所普华永道发布《2021年中期中国医疗健康服务行业并购活动回顾及展望》。报告指出,中国医疗大健康市场规模已达到13万亿元,市场规模年复合增长率高达13%,目前已经跃居为全球第二大市场。
复旦大学附属华山医院院长毛颖院士在今年6月10日的一场张江复旦创新发展论坛上表示:“从安全性的角度上,我们仍然缺少一个安全共享的数字化平台,目前医院对数字化改造的投入非常巨大,一些医院的投入规模可能是按亿计算的。”据某财经记者从业内了解到,复旦大学附属中山医院和华山医院在数字化转型中每年的投入多达数千万元。
与此同时,信创产业正进入发展快车道。中国电子学会与众诚智库联合发布的《中国信创产业发展白皮书 (2021)》中预计,2023年我国信创产业规模将突破3650亿元,市场容量将突破万亿元。此外,各地也在积极发布涉及信创产业发展的鼓励政策。北京、广州、广西、山西、天津、福建等地相继在数字经济发展规划、新型基础设施建设计划、电子信息产业发展规划中明确了当地信创产业的发展措施。在系列利好政策推动下,当前我国信创生态体系已初步成形,通过解决核心技术“卡脖子”问题,构建国产化信息技术全周期生态体系,一批具有竞争力的信创企业正在加速崛起。由此可见,在医疗行业数字化转型不断加速的趋势下,信创行业的万亿大市场,也已脚步渐近。当医疗与信创相遇,两个万亿级别的市场必将光芒四射。对于医疗信创行业以后的发展,专家符德东建议:树立全员医疗信创意识,建立统一的医疗信创组织架构,积极推进信创技术平台建设、适配能力建设、系统迁移能力建设、信创产品运维服务建设、信创生态建设等信创体系;以云计算和分布式技术为核心,打造面向数字化和智能化转型的新一代医疗信创IT架构及技术平台;选择合适的信创改造路径,分批逐步进行改造,业务系统平滑过渡;在安全合规的医疗信创环境中,打造统一的信创管理和运维平台;推广医疗信创行业标准,建设强大的医疗信创生态。
公众号后台回复“下载”或点击文末左下角“阅读原文”可获取报告电子版