
医疗数据安全持久战:我在医院的信息安全吗?
- 作者:向雪 信娜 辛颖
- 来源:财经大健康
- 发布时间:2021-10-04 14:57
医疗数据安全持久战:我在医院的信息安全吗?
【概要描述】数据安全是第一位的,哪怕医院整体的信息化落后一点。
- 作者:向雪 信娜 辛颖
- 来源:财经大健康
- 发布时间:2021-10-04 14:57
医疗数据安全持久战:卖数据、病毒勒索
医疗信息是数据贩卖的「重灾区」。
2020年,医疗影像AI公司汇医慧影被黑客入侵,有消息提到,该公司的新冠病毒检测技术数据,正在被黑客以四个比特币(时价约合人民币21.8万元)的价格在线出售。

在一位医疗信息化行业从业者看来,医疗数据有很多涉及到个人隐私的信息,姓名、联系方式、临床资料、社保号码等,「对于黑客来讲,这些信息都可以卖个好价格」。
「超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖,黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖。」这是2017年《法制日报》的一条旧闻。
一份来自NIH的研究发现,黑客攻击是医疗保健数据泄露背后最普遍的攻击形式,其次是未经授权的内部披露。
更有黑客直接勒索。2018年,国内一家省级儿童医院的多台服务器感染「勒索病毒」,以致系统瘫痪,患者无法顺利就医,彼时正值儿童流感高发季,医院大厅人满为患。黑客借此勒索,要求院方必须在六小时内,为每台中招机器支付一个比特币赎金,时价约合人民币66000余元。
这并不是孤例,腾讯智慧安全发布的《医疗行业勒索病毒专题报告》数据显示,在全国三甲医院中,有247家医院检出了勒索病毒。
一项来自Verizon的报告提到,仅2018年,一共报告的数据泄露数量为2216起,来自65个国家。其中,医疗数据泄露出现了536次,为所有行业中招最多的。
除了泄漏量大,医疗数据泄露也面临着高成本。根据IBM的一份报告,2019年数据泄露的平均成本为392万美元,而医疗数据的泄露成本通常为645万美元。
美国HIPAA杂志的一项统计提到,一次数据泄露将导致819万美元的损失。美国医疗数据泄露的平均成本为1500万美元。从2014年到2019年,数据泄露的平均成本增加了12%,而同期数据泄露的平均成本增加了3.4%。
医疗数据安全已被视为一场持久战。
「防火墙」正在一步步加强。从2017年《网络安全法》、2020年《民法典》到《个人信息保护法》,再到最近《数据安全法》。
再担心数据安全,患者和医生还是愿意「足不出户看病购药的互联网医疗、辅助医生诊断的AI」等产品出现。
完成这些,需要海量的医疗数据。清华大学统计学研究中心主任刘军曾分析,有些规律单一的数据看不出来,但将几类数据融合到一起,就可能得出有意思的新发现。因此,把海量数据整合联通起来,这是开发医疗健康大数据的重要一环。
然而,医院的数据围墙,以安全的名义,建的密不透风,形成一个个数据孤岛。

在即时通讯便捷的当下,一位医疗AI研发人员在训练AI的时候,与合作医院传输图像,需要用光盘去拷数据。「主要是考虑到安全问题,一旦出事,医院会担很大的责任。」
他告诉《财经·大健康》,也有用U盘拷数据的,但很多医院的设备,U盘都插不进去。
有的企业更干脆,直接把机器搬到医院,与医院系统对接获取数据。一趟下来得支付运输、安装部署、医院IT端口等一堆费用。而且,撤离时,还必须把机器中的数据都清洗掉。
据上述医疗AI研发人员观察,如今医疗信息安全趋于严格,院方越来越重视,像他们医疗影像AI公司,合作研发时需要提供一个安全的、能够确保数据信息不会泄露的解决方案,「有签协议的,还有一些大型医院坚持数据不出院,研发只能在院内,特别是北京的三甲医院,涉及官员等重点人群数据较多」。
作为医疗AI研发人员,他期待数据互联互通的那一天,毕竟数据量越大,整个模型的效果越好,这就如同高考答题,数据和标签就如同题目和答案,见的数据越多,AI知道答案越多,分数越高。
直到新冠疫情之下,医院诊疗和患者出行都受到制约,不少医院放松了一些数据共享的心。
如互联网医院,满足了患者在疫情期间足不出户的就医购药需求。至2020年底,全国有互联网医院1100多家,是2018年数量的近10倍。

不过,医院对于数据安全的要求并没有变,甚至更为严格。
北京一家三甲医院,正在进行智慧医院建设。在医疗设备的数据安全方面的作法是,将医技网络独立运行,接入到这个网络的医疗设备要经过审核,只有符合要求的终端设备才能连入。外部网络无法直接访问这些医疗设备。
这个智慧医院的「大脑」,将是一个数据云平台。「什么样的数据能够连入云平台,连入平台后如何监管?」这家医院的一位管理人员指出,保证数据安全是第一位的。
针对互联网诊疗行为的监管细则仍在讨论中。「传统意义上的监管可能靠制度,靠贴在墙上的字,靠人管人。但是真正的未来现代化的管理手段一定是要靠数据来说话,监管通过信息化手段实现的,靠证据链的数据。」一位医疗信息化监管人士分析。
广州呼吸健康研究院副院长郑劲平曾告诉《财经·大健康》,医疗数据在实际使用之前,首先必须脱敏,也就是把与患者个人隐私相关的信息全部去掉,这样,医疗数据的分析只针对疾病本身,而不涉及个人隐私。与其他机构合作前,也必须签署协议,明确隐私的边界。
在线卖药需要证明处方的真实性,在线复诊,也面临证明患者既往就诊信息的真实性。而这些信息,全部集中在各个独立的线下医院数据库中。
国家卫健委近年来一直在强化「智慧医院」体系的搭建,并为了推动医院「智慧化」,搭建了一个智慧医院服务分级的整体的评估体系,电子病历就是这个评估体系中最重要的一环,也方便医院内部信息集成整合以及统一管理。
在2018年发布的最新版电子病历分级评价标准中,共分为了0—8共九个考核等级。
如达到二级的病例,相当于只能进行部门内的信息交换;四级,患者就医全流程在全院内安全共享,同时还含有药品的配伍以及相互作用的自动审核,以及合理用药监测的功能,为医疗决策提供支持;五级以上,就能实现院内外数据的打通。
目前,绝大多数三级公立医院能达到三级以上水平。有公立医院甚至已到病历七级水平,可以实现院外共享,这意味着患者就医的时候,他在前几家医院就诊的检验检查结果,自动弹出,在一定区域内或者医联体内可以互认。
在一位业内人士看来,数据统一共享和授权开放,授权谁拥有这个数据,谁可以调用数据,打通数据通路也就水到渠成。
责任编辑:亦欣
免责声明:本网注重分享,并不意味着赞同本文观点或证实内容的真实性,请仅做参考。著作权归原作者所有,在此向原作者表示感谢。除非无法确认,本网都会注明作者及来源。如有版权异义请及时告知。