医院数字化转型加速, 使得医疗信息安全防护市场迅速膨胀, 不断扩张。其中, 患者隐私数据, 还有电子病历, 以及影像资料、科研数据等, 这些都属于核心资产。当这些核心资产出现泄露情况时, 不仅会面临巨额罚款,而且更有可能直接导致医患信任崩塌医疗信息安全防护市场, 使其面临危机。我长时间跟踪这个领域, 不得不承认这样一个实实在在的情况那就是: 很多很多医院在采购防护产品的时候, 根本就不清楚自身的核心痛点究竟在什么地方。
为什么医院数据泄露防不胜防
医院的信息系统, 相较于普通企业的而言, 要复杂许多得多, HIS、LIS、PACS、EMR等几十个系统, 是同时进行运行的, 数据在医生工作站、护士站、检验科、药房之间, 进行高频的流转, 传统的边界防护, 像防火墙、入侵检测之类的, 仅仅只能挡住外部的攻击, 然而内部人员的误操作、账号共享、第三方运维人员违规拷贝数据,才是真正的“暗流”。
我曾见到一家三甲医院医疗信息安全防护市场, 有一名实习生, 他用U盘拷走了上千份门诊记录, 随后卖给医美机构。事情发生以后才被发现了, 这家医院连最基础的USB口管控都不曾做过。医疗数据具有高价值属性, 它注定永远在黑产市场里面明码标价。更麻烦的是, 医院的IT预算有限, 好多院长认为, “不出事就视作安全”, 等真正出了事才开始拿去招标采购。www.xysjyywxh.com上面有许多真实的医院数据泄露案例复盘, 这比教科书上的理论更加触目惊心。
选型时到底该看技术还是看管理
有不少医院, 在招标文件当中, 堆砌了一堆技术参数, 诸如加密算法、防篡改、审计日志等等。然而, 当真正落地那一刻才行发觉, 即便技术再强大, 也根本管不住人。我曾多次反复强调过这样一个观点: 在防护市场里所售卖的并非是软件, 而是流程再造。就好比医生于门诊开药之际, 系统会自动弹出窗口进行提示, 内容为“当前操作涉及敏感字段”, 像这种交互式的防护, 相较于事后追责而言, 可要有用得多。
还有一个环节是被低估的分类分区, 这是按照等保三级的要求, 医疗数据是必须要按照密级去划分的, 核心数据库区、普通业务区、接入区是要进行物理隔离或者是逻辑隔离的, 很多医院因为历史方面的原因, HIS服务器和 PACS服务器放置在同一个网段, 这就相当于把金银细软放置在一个没有上锁的房间里, 在选型的时候, 不要仅仅只看宣传页上的“AI智能分析”, 先去询问对方: 能不能帮我把内网拓扑整理清晰, 把数据流绘制出来?
安全防护绝非一次性交易, 从进行漏扫再到开展渗透测试, 乃至员工意识培训, 均需持续不断地投入。市场里既有如深信服、奇安信这般的综合型厂商, 又存在专注于医疗赛道的创业公司。关键之处并非购买价格最贵的, 而是选购最契合你医院现有的业务系统的。一个未曾做过 HIS 接口适配的厂商, 即便来了也只是徒添麻烦。
