12月9日, 中国软件评测中心发布了《移动互联网医疗安全风控技术白皮书》,该白皮书由中国软件评测中心牵头,北京医云数智健康科技研究院组织协调,北京医慧科技、北京智游网安、北京知道创宇、长春吉大正元等多家单位共同参与编写。
白皮书分析总结了2021年移动互联网应用的政策和管理要求,多维度地对新技术应用到移动互联网医疗领域的风险进行了剖析。
中国软件评测中心指出,近年来,我国“互联网+医疗健康”发展迅速,线上线下融合发展,缓解了看病就医难题,尤其在新冠肺炎疫情防控期间,各地创新线上服务模式,为支撑疫情精准防控、避免聚集交叉感染、促进人员有序流动和复工复产等发挥了重要作用。移动互联网等新技术加快向医疗健康领域落地,线上线下一体化医疗服务转型成趋势,原有的医疗服务生态环境也随之改变,网络安全攻击方式也不断演变,针对移动互联网应用的新型网络攻击方式不断涌现,对原有的网络安全防护体系提出了严峻的挑战,移动互联网医疗应用安全风险防控成为了国家实现“互联网+医疗健康”战略目标的关键问题。
白皮书指出,新技术、服务模式应用到移动互联网医疗领域,改变了原有的医疗服务生态环境,对原有的网络安全防护体系提出了严峻的挑战。近年来频繁发生的安全事件充分说明了医疗卫生移动应用面临诸多新型攻击方式和手段,造成极大的危害。移动互联网医疗领域敏感数据泄露和技术滥用等安全风险趋增,风险成因主要体现在抗攻击能力薄弱、对数据安全重视不够、技术滥用较为普遍、安全意识和管控手段不足等方面。
来自该白皮书参编单位北京智游网安的一位安全专家告诉我们,在后疫情时代,“互联网医院”成为了医疗行业广泛开展的新业务模式,各家医院开始推出互联网医疗服务,将一些非必要现场诊疗的轻症病被转移到了线上。
但这种便捷的服务模式却带来了新的安全问题:“病人在互联网上挂号的时候需要填写许多个人隐私信息,比如性别、年龄、住址,在这个环节中可能出现个人隐私泄露的问题。此外,互联网诊疗服务或许还需要收集包括个人病例档案、既往病史、过敏史等敏感数据,这些数据在传输过程中可能会暴露在互联网中,导致篡改和泄露的风险。再有就是,医院现场挂号的时候一般都要求现场结算,而在互联网医疗服务还涉及到支付安全风险,在互联网医疗应用的交易环节中如果出现安全漏洞,可能会给病人带来难以估计的财产损失。在应用层面,医疗行业或许跟其他行业存在细微的差异,但隐私窃取、数据泄露、仿冒等攻击手段是大体不变的。当以互联网为载体的医疗服务大面积推广开来之后,此前所有互联网上出现过的网络安全风险都会在医疗行业出现。”
她表示,当前国家还没有具体针对医疗行业网络安全建设给出明确的技术要求和管控手段,医疗行业内部虽然有加强安全建设的意识,但是还缺乏具体参考。为行业内部安全建设提供现实依据和参考,是行业内部发布这份白皮书的目的所在。
白皮书针对当前国家相关的政策要求、十四五当中医疗行业的发展目标以及当前公安部、网信办等主管部门发布的相关要求进行了详细的梳理。在互联网医疗诊疗服务并不是非常全面放开的情况下,把目前看到的一些安全风险与金融行业、互联网行业的移动安全风险做了比较和归纳总结。参编单位中除了像智游网安这样的安全厂商外,更多的是像万达信息、医慧科技以及医院单位,广泛的征集了互联网医院的实际案例,对互联网医院的软件开发厂商的应用场景和业务流程进行了深度的剖析。
“实际上白皮书的发布是希望起到抛砖引玉的效果,让互联网医院的软件开发厂商和互联网医院的医疗主体在安全问题上引起足够的重视,大家群策群力才能共同搭建起移动互联网医疗的安全生态,让在这个生态下的每一方都对安全得到足够的认识”,该名专家说。
安全419看到,针对移动互联网医疗中日益凸显的新技术应用安全风险,白皮书也提供了多个建议。
第一是加强安全风控顶层设计,促进“互联网+医疗健康”持续发展,以完善标准规范为核心,发挥相关协会作用,进行生态建设,逐步形成移动互联网医疗应用安全风险防控(以下简称“风控”)技术体系和管理标准体系,推进安全规范实施落地,以持续安全监测为手段促进行业整体安全水平提升。
第二是构建安全风险防控体系,为行业安全提供基础保障,从管理体系和技术体系两个方面来构建监管方、建设方、运维方、运营方、技术支撑方、使用方等各方共同参与和联动的平台。
第三是持续优化安全技术标准,满足国家和行业监管要求,团体标准作为市场发展和技术创新的重要手段,企业作为参与主体,可以更好地兼顾到国家要求和企业需求,更有效的推动标准推广实施,对国家标准和行业标准起到很好的补充作用。
第四是构建新技术防范滥用机制,确保安全可控。随着云计算、大数据、人工智能等新兴技术在医疗健康领域的持续深化和融合,新技术的应用风险也愈发错综复杂,技术滥用现象日益凸显。为了确保新技术能合理应用到医疗卫生健康行业,需要为这些技术的使用提出相应的安全要求和监管要求,为移动互联网医疗服务提供基础安全保障。