随着国内数字化医疗建设加速,病患的数据通常会流经多个系统、跨越多个单位和安全领域,在医院的网站、挂号系统、医生使用的电子病历系统、医疗设备、医院数据管理系统、政府卫生单位的信息交换系统甚至是POS系统中‘旅行’,这些环节中的任何一个防护弱点被黑客利用,都可能导致难以预计的后果。
如今,医疗行业IT团队所面临的威胁环境也发生了变化。首先,病患资料的黑市需求量增大,价格不菲,自然吸引了黑客的目光。另外,在地下黑市,黑客所需要的东西一应俱全,价格低廉的攻击程序(DDoS等)可以轻松购买到。他们看准了医疗卫生行业相对薄弱的安全防护体系,在数据横跨的多个系统中寻找攻击点,这可能包括用户新筹建的移动医疗系统、云计算平台,医疗设备、物联网技术供应商等,这些都超出了传统数据防泄露技术的范畴。
在“身份窃取资源中心”( Identity Theft Resource Center)抓取到的2014年数据泄露事件中,有42.5%的事件发生在医疗、保健产业,这个数字比任何行业都要多。在国内,医疗机构近两年发生的数据泄密事件也比比皆是,很多漏洞集中在一些省市的疾控中心和卫生系统,导致数千万用户的医疗数据面临泄露的风险。这些数据包括用户的家庭住址、患病情况以及社保卡等敏感信息,不仅侵害到了用户隐私,甚至可能被黑客当做网络犯罪的工具,导致患者遭受严重的经济损失。
近年来,虽然医疗卫生行业的网络安全防护水平有了较大提升,但依然不足以化解日益精进的安全威胁。作为中国医药卫生信息化首选品牌、优秀数据安全厂商,昂楷科技注意到医疗机构已成为网络犯罪的“重灾区”,是时候重新审视安全防护体系的有效性,利用最新的数据库审计系统保护核心数据安全势在必行。为此,Henry建议IT团队采用以下五个步骤化解危机:
第一,从根源解决用户信息保密。
从数据库级别进行防控,从根源上彻底控制客户数据信息的泄露,将个人身份证、社保参保信息、财务、薪酬、房屋等关键数据,使用文档加密技术,进行加密存储,防止个人隐私信息集中泄露、统计行为批量进行;
第二,进行数据访问行为审计监控,重点加强数据库审计技术。
对数据库的访问行为进行监控和审计,对正在发生的数据库窃密行为能够实时预警、及时制止;还可提供有效的电子证据;
第三,加强运维审计管理。
对内部数据库、服务器、网络设备、安全设备等的管理维护进行安全、有效、直观的操作审计,对策略配置、系统维护、内部访问等进行详细的记录,提供细粒度的审计,并支持操作过程的全程回放,能够从事前、事中、事后的多角度、全方位进行安全防护。
第四,变相互制约为权责分明,完善IT内控机制。
建立独立于数据库系统的安全权限体系,进行权限精细控制,从内控的角度来看,系统的使用权、管理权与监督权必须三权分立。审计系统实现独立审计,帮助监督人员获得有效的技术手段,从而完善企业IT内控机制,无关人员不能看到个人具体信息。
第五、满足法规要求。
医疗法规框架很复杂,从网络安全的角度来看,有多种框架和标准必须遵守,包括HIPAA,HITECH及PCI DSS。国内用户不仅可以参考以上法规条文,更可以借助《信息安全等级保护制度》,作为促进安全管理能力提升的抓手。
