卫生健康行业,如何提高网络安全水平?

  12月5日,第四届卫生健康行业网络安全技能大赛在长沙圆满落幕。大赛基于“数字风洞”产品体系,打造医疗设备、数据安全、供应链安全、内网安全等八大数字医疗业务场景测试评估环境,以漏洞修复“数字健康”为闭环目标的“ZHWU证无”新赛制,助力全国卫生健康行业从业人员检验实战水平、提升风险防范化解能力,推动数字化转型背景下医疗行业网络安全保障体系建设。

  在医疗行业数字化转型的关键时期,数字技术已成为推动传统医疗实现新突破的重要生产力,但新技术的广泛应用也为数字医疗安全建设带来更多挑战。作为关系国计民生的关键信息基础设施行业,医疗领域的信息系统庞大且包含大量高价值敏感数据,成为勒索病毒等网络攻击的重灾区。

  为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,加强医疗卫生机构网络安全管理,防范网络安全事件发生,2022年8月,有关部门印发《医疗卫生机构网络安全管理办法》(以下简称《办法》)。

  《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,体现了统筹安全与发展的总体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向。

  同年11月印发的《“十四五”全民健康信息化规划》(以下简称《规划》)提出,要坚持发展与安全并重,完善网络安全和数据安全制度,围绕网络与数据安全全链条、全要素、全周期加强教育培训和宣贯,加大网络安全投入,切实防范化解风险,提高安全防护能力,不断完善网络安全和数据安全综合防范体系。

  如何提高卫生健康行业网络安全水平?有业内人士认为,相关能力的培养需要到实际战场中去磨练,去提高。作为国家级医疗行业网络安全赛事演练,本届大赛受到社会各界的热切关注与支持,共吸引了来自全国31个省份的121支战队、463人报名参赛。其中,爱尔眼科医院集团凭借医疗云平台、青少年近视防控系统荣获大赛三等奖。

  随着电子病历、互联网医疗、AI医疗影像等应用的普及,医疗数字化浪潮袭来。近年来,医疗系统遭遇网络攻击的事件时有发生,数据泄露也屡见不鲜。自2018年以来,全球已发生500余次公开确认的针对医疗保健组织的勒索软件攻击,造成超920亿美元经济损失。

  “为保障医疗数据的安全,我们与中科院共同开展了零信任技术防护的研究。零信任技术防护是一种基于身份和行为的访问控制技术,它不信任任何内部或外部的用户或设备,需要对每个访问请求进行身份验证和授权。这种技术可以有效地防止内部和外部的攻击,保护医疗数据的安全。”爱尔眼科医院集团相关负责人说。

  未来我国的医疗将更加互联网化,对于卫生机构而言,网络安全已经成为其切入互联网化途径中必不可缺的一环。本次大赛在“ZHWU证无”赛制下,比赛第一轮次就有1083个风险被消除,随着18个轮次的不断刷新,共发现风险数11737个,总计被测试21847次,最终6622个风险成功被消除,占风险总数56%。所有参赛选手对各种风险进行不断检测和修复,以风险消除为目的进行技能水平比拼,以赛事演练为契机提升医疗行业关键信息基础设施的安全防护水平,为数字医疗实际业务实践积累扎实的技术功底和丰富的实战经验。

(责任编辑:AK007)