探索医疗卫生行业如何落地实施数据安全法,需正确理解医疗卫生行业数据安全顶层设计建设,从行业真实痛点出发来考虑如何推进相关数据安全制度的构建,方能以有效手段解决真实困境。痛点一:医疗联合体互联互通带来的数据安全问题在医疗卫生行业的发展中,区域发展的不平衡带来了资源的分配不均与浪费,管理部门提出利用业务联动打通医院之间的壁垒,让数据流动起来,带动业务流转。但实际中各医院对此抵触情绪较大,例如同城医疗机构之间的电子病历健康档案互通,检验结果互认,都难以很好地实现。在此基础上,国家提出医疗联合体(以下简称“医联体”)的概念,推动数据共享。但同一医疗机构医联体间需共享的信息和数据繁杂,以区域为目标带动行业发展的道路仍旧艰辛,若通过互联网进行数据交互则接入安全风险大,若使用专网互联,则面临接口种类统一性难题。此项任务缺乏专人梳理,导致数据质量不稳定,数据清洗成本高。此外,由于个人健康档案涉及数据类别众多,包括大量的个人信息和隐私数据,若使用此类数据则需要患者进行授权,会对相关的业务流程造成较大的重构要求。如今对医疗数据的利用已成为兵家必争之地,信息处(科)的地位也随之有所增长,但长期以来的忽视,导致提升有名无实。医联体带来的地缘区域优势,也由理想中的互惠互利逐步演变成现实中的大鱼吃小鱼,医疗数据的互通与利用变成单方面的汇聚,医联体的网格化布局反而成为星状的大网络聚集,由此带来的信息化压力与信息安全成本陡增。痛点二:自身数据安全运维体系脆弱问题在医疗卫生行业,信息化部门一般有两种工作模式。一种是对新项目大干快上,能上马几个就上马几个;另一种是项目转入运营后,发现项目过多导致运营吃力。同时,新建项目经费有余,但老项目高企的运维成本难有出处,大量的三级(非三甲)医院与二甲医院只能勉强保障 IT 基础运维,对于信息安全运维经费甚至只能寄希望通过某次安全事件能带来新的补给。医疗卫生行业对信息化的观念仍停留在低效运营阶段,往往只看到新兴业务带来的收益远高于自身网络安全建设的收益,造成一直以来重开发而轻管理的发展模式。无论是基础的安全测评服务,还是安全设备的采购,过去医疗卫生行业滞后一两年是常态,如今仍旧是设备大于服务的理念,盼来一次咨询梳理与升级改造难上加难。大量医疗卫生机构宁愿埋头当“鸵鸟”,也不愿正视自身数据存在安全隐患。例如,媒体屡屡报道医院的数据被倒卖,机构并非不知情,出了问题后再去努力整改,反而从某种程度上驱动数据安全的进步。这种轮回带来的后果,导致信息处(科)缺乏足够的动力对安全负责,而是将能放出去的业务尽可能托管出去,因为自身的工作无法量化,不如购买可视化的服务更能得到领导的认可。痛点三:数据安全的外延安全管理问题《数据安全法》的落地,需要区分数据的管理者、使用者、加工者等多种身份。但我国的医疗卫生行业从原始模式到电子化甚至无纸化,信息化的进程超乎想象,导致机构在还未消化完善好业务自身的状况下,又因智能化发展而不断叠加了新技术、新应用、新场景,随之而来的是安全的持续缺位。重发展而轻安全,是一段时期的特殊产物,对长远发展不利,所以习近平总书记高瞻远瞩地提出了“网络安全和信息化是一体之两翼、驱动之双轮”的指导思想。在面临数字化转型的今天,安全这个无法带来直接经济效益的难题直接摆在了医疗卫生行业面前。《数据安全法》的及时颁布,让很多人还未享受到医疗语音智能 AI、医疗大数据汇聚处理平台、决策驾驶舱等新技术所带来的数字化红利,就要被冠上“数据安全”这一紧箍咒,导致个别决策者存在抵触情绪,某些赛道的厂商也同样表现消极,因数据安全而停掉的项目有可能越来越多,合规性是医疗卫生行业面临的一个新的挑战。过往选择将部分业务托管给外部单位,是医疗卫生行业最佳的减负选择。但随着相关法规的强力要求,对管理者来说,职责边界也随业务扩张而外延,其外延的安全威胁也越来越大,难以维持住外延的安全保障,例如因第三方丢失数据引发的安全事件常有发生。因此,开始有医疗机构谋划将数据重新集约化管理,以提升安全保障。但医疗卫生行业虹吸效果显著,在信息化与数字化转型中也同样明显,大量非三甲医院缺少技术支撑,导致行业难以均衡发展。痛点四:区域数据汇集问题如今,绝大多数三甲医院进行了大数据的汇集,但带来的安全保障压力与日俱增。大量区域性汇集以存储为主,在医疗用地紧张的今天,机房空间日渐不足,很多医疗机构选择了云服务。但机构使用云服务往往仅解决数据存储的广度问题,未能有效利用云技术的优势,导致大量数据无序存放。例如医疗卫生行业不断升级迭代的新业务,使得同批次货物(数据)占用了多个云存储空间。这种无序导致了缺乏安全的纵深防御和业务感知的颗粒度辨识,还造成云存储资源的浪费。此外,对云上数据的利用缺乏审计与监管,使得很多管理制度直接成空。医疗数据缺乏有力监管的成因之一是数据管理者的缺位,而数据使用方存在加工后的数据资产归属模糊的思想,也是需要通过数据安全法的深化落地而解决的问题。大量的历史数据数字化再利用,也面临着缺乏授权、追溯困难等挑战。在医疗卫生行业产业升级的过程中,对于数据资源利用亟需一次精准的宏观调控,将有限的数据空间资源充分利用起来,让属于医疗行业的业务回归其本质,更好地利用科技去治病救人。痛点五:供应链安全问题国家近期提出“东数西算”的战略,其实在医疗卫生行业非常需要大型算力,用于有关疾病研究、药物开发、数字孪生等模拟演算。近年来世界格局的发展让我们深刻意识到,科技是有国界的。只有发展自身的关键技术,才能保证自身的数字化发展进程不被打断。这里最关键的是需要构建软硬结合的全产业链科技体系。当前,医疗卫生行业的供应链管理较为孱弱,无论是对供应商的管理,还是对产业升级替代,都无法做到有效驱动。例如医院信息系统(HIS)系统被极个别厂商强势绑定,导致整体产业无法及时跨入数字化时代,此类供应链问题得不到足够重视。对医疗卫生行业整体供应链的安全维度和管理制度,是亟需加强的核心问题。医疗卫生行业在供应链安全管理中,除公司、人员、技术、管理、产品外,还应该对软件的开发进行安全排查。基于信息化发展初级阶段的互相模仿,医疗卫生行业的大量软件存在后门及其他隐患。疏于对于软件开发的管理,也将成为今后数据安全面临的挑战。除已有的软件安全性存疑,后续最大的挑战在第三方的配合度,医疗卫生行业的核心功能软件,例如HIS、实验室信息管理系统(LIS)、影像归档和通信系统(PACS)等,能否适配未来的信创环境,还有待观察。痛点六:医疗工控设备数据安全医疗机构除了传统业务场景下缺乏自主可控以及科技赋能,在核心业务领域的信息化基本也被国外牵着鼻子走。电子计算机断层扫描(CT)、核磁共振设备等大型医疗器械,几乎难以实现自主化。无论是从工业设备的制造领域还是工业控制的管理上,医疗卫生行业都存在着十分严重的数据安全风险。在特殊设备的信息化集成能力方面,几乎是伴随着国外的脚步亦步亦趋。除信息展示是可控的,其他的数据收集与利用领域都面临着话语权的缺失。近期也有案例表明,国外敌对势力对我国医疗工控设备的入侵可谓是予取予求。在医疗领域中,针对医疗工控设备的采购,信息部门起不到作用,难以设立技术标准。每台大型医疗设备都价值不菲,维护都需要开端口进行远程维护,使用方往往连取消远程模块都难以抉择,这是导致数据外泄的重大风险。同样面临严峻问题的还有数据出境,无论是医疗机构中重要科室的科研课题研究,还是老百姓对于某些医疗行业尚未涵盖到的诊疗诉求,都将带来数据跨境交流传输的现实情况。而针对特定医疗数据的分类分级后,能否满足出境要求,也将带来执行层面上的困境。
评论