肆虐三年的新冠疫情,影响着全球经济发展、社会正常运行,也成为网络攻击、勒索软件攻击快速增长的温床,“滋生”了一系列网络、数据安全问题,受到各界关注。
最近,上线运行三年的 “粤康码”发布公告、官宣部分服务下线,再次引起不少网友“健康码信息该如何妥善处理,保护个人敏感信息安全”的讨论。
之前,“通信行程卡”宣告正式退场,其后几大运营商先后表示将同步删除用户行程相关数据,随着疫情逐渐松绑,健康码、行程码正在陆续退出民众的生活。
那么这是否意味着全国涉疫数据将彻底消失,无需采取任何防护措施了?
并非如此!
以医疗卫生机构为例,新冠疫情感染被调整为“乙类乙管”,但仍属于传染病之一,此前所有的涉疫相关诊疗记录都与其它基础病一致,属于患者的隐私信息,仍需永久存在。
确保涉疫数据(重要数据)的安全可控,网信办对此发文要求——全国各地医疗机构与卫健委需要统一对存储在临床业务系统中的涉疫数据进行安全防控,严控涉疫数据外泄、滥用与误用。
不久前,网信办下发文件,要求各省针对涉疫数据进行安全防护,其中多省网警已逐步落实监管要求,将涉疫数据(重要数据)视为医疗行业重点防护场景之一。目前,部分地区,已对辖区内的医疗卫生机构开展网络与数据安全检查工作,明确将针对不做涉疫数据的单位采取处罚措施。
那么,医疗卫生机构应该如何守好“涉疫”数据安全?
涉疫数据包括哪些?
涉疫数据除包括新冠疫情期间涉及的公民出行数据外,还包含核酸数据、抗体数据、用药数据、影像数据、抗原数据等诊疗数据,而这些涉疫诊疗数据几乎涉及病毒感染前、中、后的所有阶段,能够清晰反映患者的健康状态、是否有对应的并发症、用药情况等重要敏感信息,属于病患信息,这部分诊疗数据无法被删除。
涉疫诊疗数据分布在哪些业务系统中?
从新冠感染患者挂号到收治入院,从检查到用药,从护理管理到出院随访...患者在诊疗过程中形成的数据存储和流转于HIS、LIS、EMR、移动护理等为主的系统中,对于已遵循互联互通、电子病历测评的医院而言,这些数据还会实时同步至数据中心。
涉疫诊疗数据安全防控存在哪些难点?
疫情防控三年来,医疗健康系统生产且存储的大量与疫情相关诊疗数据,普遍分布在多个临床业务系统,与日常诊疗数据混合存储很难区分,如何对涉疫诊疗数据进行有效识别与安全管控,成为难点所在。
加强涉疫诊疗数据安全防护之道
针对涉疫数据与日常诊疗数据混合存储难识别、难管控的问题,美创科技推出新冠疫情诊疗数据安全防护方案,医疗卫生机构可通过暗数据发现和数据分类分级系统,快速从繁杂的系统中找出涉疫数据,进行分类分级,以便于后续更好的管理数据、使用数据、保护数据。
目前,美创自研的暗数据发现和数据分类分级系统已推出重要数据版,满足《个人信息保护法》、《数据安全法》、《关键信息基础设施安全保护条例》等法律法规中的分类分级要求,开箱即用、快速落地,同时支持与数据安全全类产品快速联动,实现细粒度安全管控。
比如,在数据分类分级的基础上,可通过在涉疫临床业务数据库前部署数据库防火墙,抵御非法SQL注入及数据库漏洞攻击,防止医疗机构网络边界被攻击后进一步被渗透;结合数据分类分级结果,与数据库防水坝联动解决内部管理员与第三方维护人员对涉疫数据滥用与误用;与数据脱敏系统的联动解决涉疫数据在流动共享过程中的安全防护问题。
此外,美创科技建议各级卫健委、疾控中心、医院采取如下应对策略,进一步提升涉疫数据安全防护能力,如:完善涉疫数据安全管理制度,加强涉疫系统或平台的安全防护,加强涉疫数据使用处理全流程管理,定期开展常态化安全风险评估与动态监测,及时排查、上报、处置发现的各类安全风险问题。