當前位置:
首頁 > 最新 > 接連發生的醫院網路安全事件更應讓誰警醒

接連發生的醫院網路安全事件更應讓誰警醒

最新 03-01

導讀

日益嚴峻的醫院網路安全形勢,更應引起所有醫院一把手和各級行政主管部門的警醒!

2月24日,春節後開工的第一周,就有一家湖南省的醫院信息系統在勒索病毒的攻擊下「中招」了。

接連發生的醫院網路安全事件,無疑讓醫院信息科主管們本已高度緊張的神經,進一步緊繃。正如一位醫院信息科主任感慨:沒有想到2018會在這樣的氛圍中開始。

但維護醫院網路安全,絕非僅僅是信息部門的事,日益嚴峻的醫院網路安全形勢,更應引起所有醫院一把手和各級行政主管部門的警醒。有關方面絕不可抱有任何僥倖心理,而應以此為契機,舉一反三,推動醫院網路安全建設實現全面改觀和質的飛躍。

第一,各級醫院一把手必須高度重視網路安全建設。

作為多年的醫療信息化媒體觀察者,平心而論,在網路安全建設的問題上,中國醫院普遍需要「補課」。

原因很簡單,中國醫院對於信息化建設,普遍投入不足。最近10年來,雖然醫院信息化建設意識普遍覺醒,但新增資金主要用於硬體更新和業務信息系統等「雪中送炭」的投入上,對於被視作「錦上添花」的網路安全,以及相關專業人才的培養方面,普遍還不夠重視。

況且,舊有的醫院信息系統普遍採用的物理隔離方式已經逐漸被打破。近年來醫院互聯網化建設急劇升溫,與信息便民相關的互聯網應用日益深入,醫療大數據更是被賦予「待開發的金礦」一說,醫院信息系統的安全風險自然與日俱增。

因此,遭受外部攻擊的這一天早晚會到來,只是看醫院是否提前有所防範。

在此特別需要提醒各級院長的是,如果醫院發生網路安全事件,一把手應該首當其衝,負有相應的責任。根據2017年6月1日起施行的《中華人民共和國網路安全法》(簡稱:《網路安全法》)第二十一條,國家實行網路安全等級保護制度。網路運營者應當按照網路安全等級保護制度的要求,履行下列安全保護義務,保障網路免受干擾、破壞或者未經授權的訪問,防止網路數據泄露或者被竊取、篡改:(一)制定內部安全管理制度和操作規程,確定網路安全負責人,落實網路安全保護責任;(二)採取防範計算機病毒和網路攻擊、網路侵入等危害網路安全行為的技術措施;(三)採取監測、記錄網路運行狀態、網路安全事件的技術措施,並按照規定留存相關的網路日誌不少於六個月;(四)採取數據分類、重要數據備份和加密等措施;(五)法律、行政法規規定的其他義務。

同時,醫院信息系統作為《網路安全法》定義的「關鍵信息基礎設施」,除本法第二十一條的規定外,關鍵信息基礎設施的運營者還應當履行下列安全保護義務:(一)設置專門安全管理機構和安全管理負責人,並對該負責人和關鍵崗位的人員進行安全背景審查;(二)定期對從業人員進行網路安全教育、技術培訓和技能考核;(三)對重要系統和資料庫進行容災備份;(四)制定網路安全事件應急預案,並定期進行演練;(五)法律、行政法規規定的其他義務。

第二,更應該引起各級衛生計生行政主管部門的高度警覺。

網路安全,各級政府部門守土有責。

《網路安全法》第五十四條明確, 網路安全事件發生的風險增大時,省級以上人民政府有關部門應當按照規定的許可權和程序,並根據網路安全風險的特點和可能造成的危害,採取下列措施:(一)要求有關部門、機構和人員及時收集、報告有關信息,加強對網路安全風險的監測;(二)組織有關部門、機構和專業人員,對網路安全風險信息進行分析評估,預測事件發生的可能性、影響範圍和危害程度;(三)向社會發布網路安全風險預警,發布避免、減輕危害的措施。

各級衛生行政主管部門對於確保醫院網路安全的職責,自不必說。在相關政策的宣貫方面,網路安全雖然作為衛生信息化的重要基礎一直被提及,但是仔細梳理近年來出台的醫療衛生信息化建設相關政策,真正突出醫院網路安全的專項研究力度明顯不夠,全行業仍未形成對網路安全的高度警惕氛圍。僅此兩點,值得主管部門深刻反思。

為此,呼籲主管部門應該重點在政策引導、制定、貫徹和督導方面,迅速行動,並建立網路安全建設督導的常態化機制。包括及時宣貫網路安全相關法律法規,集中專業力量,針對全行業加強網路安全技術培訓和產品的安全測試;有針對性地開醫院網路安全現狀的摸底調查,建立應對之策;加強與國家網路安全部門的協同防範機制,建立行業範圍的預警和應急響應機制等。總之,從行業主管層面全面提升醫院網路安全建設工作,不僅迫在眉睫,而且應該常抓不懈。

第三,推進針對醫療衛生領域的數據保護立法進程。

作為更為長期的考慮,相信完備的法律將有力地推進醫院網路安全建設。

《網路安全法》第四十二條規定:網路運營者不得泄露、篡改、毀損其收集的個人信息;未經被收集者同意,不得向他人提供個人信息。但是,經過處理無法識別特定個人且不能復原的除外。網路運營者應當採取技術措施和其他必要措施,確保其收集的個人信息安全,防止信息泄露、毀損、丟失。在發生或者可能發生個人信息泄露、毀損、丟失的情況時,應當立即採取補救措施,按照規定及時告知用戶並向有關主管部門報告。

其實,醫療衛生信息化的推進,在數據的保護和利用方面,早已遇到了法律的瓶頸。比如,醫院的數據到底歸誰所有?已非三言兩語所能說清道明。無論如何,在醫院信息系統日益走向開放的當下,在不可逆的時代潮流下,有針對性地加強相關領域的立法,勢在必行。

讓我們衷心祈願2018,中國醫院信息化建設在這場空前的網路安全的危機中,全面強化網路安全意識,築牢網路安全的堤壩!

HIT專家網∣最新鮮的醫療信息化資訊,不一樣的專家視角


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 HIT專家網news 的精彩文章:

我的可穿戴健康之路

TAG:HIT專家網news |