6685份就诊信息外泄,医疗数据安全该如何保障因为出现多名新冠肺炎确诊病例而备受关注的青岛胶州中心医院,前段时间又因为一份疫情名单外泄而再起波澜。这份名单中包含了胶州市6685人的姓名、电话、身份证号码、个人详细居住地址及就诊类型等信息,被广泛流传于胶州人的朋友圈和微信群中。 6685份名单的流传引起了很多人的担忧,很多人的隐私因此而被外泄,名单中人员的个人生活也受到了严重影响,有人还因此被谣传感染了新冠肺炎,目前相关涉案人员已经被行政拘留。 医疗数据如何被外泄 上述名单泄露事件已被警方查明是由内部相关工作人员通过微信群转发泄漏出来的。近年来医疗机构信息被内部人员泄露愈发频繁,尤其是随着移动医疗、AI医疗影像、电子病历等数字化应用的普及,数字化诊疗信息更容易通过内部网络应用渠道而发生外泄。 内部威胁成为医疗数据安全重要隐患 Verizon通过调研在2018年发布的相关权威医疗数据安全报告就提出中,所有数据泄露中有28%来自内部,Verizon的报告还显示医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业,内部威胁占比60%,外部威胁占43%。 内部管控疏忽容易造成数据外泄 相比传统信息系统,现在能接触到医院内部数据的不仅是医院内部人员,还包括外部的研究人员与合作研发人员,信息系统中还包括了各类网络应用以及移动设备的应用,风险加剧。若没有完善的数据安全保护机制,就会面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据风险隐患。 医疗数据安全备受重视 随着移动互联网、物联网以及云计算的发展,医院信息化进入到一个全新阶段,互联网诊疗、智慧医院、电子病历等新兴业务系统纷纷上线,医院信息化系统将不再是运行于封闭的网络空间,由此带来了一系列新的数据安全方面的威胁和风险;另一方面,随着国家密集颁行《网络安全法》、《数据安全法》、《个人信息保护法》等系列法律、法规,在日趋严格的监管政策驱动下,数据安全也成为医院信息安全建设的重中之重。 针对医疗健康数据本身的特殊性以及保障医疗健康数据安全的紧迫性,已于2021年7月1日,正式执行启动GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》,指南给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。 如何保护医疗数据安全 全息数据安全风险感知平台对网络中的所有文件数据移动情况进行持续不断的监测和画像,发现并重构出文件数据全息图,实时呈现以文件数据为核心,关联用户、设备、应用等核心维度的态势信息,基于机器学习和大数据分析,发现敏感文件外泄和违规操作,设备的各种异常行为并报警,提供事前预警、事中报警、事后溯源。 以下为某三甲医院的实际案例: 【客户诉求】 1、 用户的发现能力 从网络流量中提取用户账户,包括:电子邮件账户,HIS系统,用户内部OA、绩效等各种业务系统的登录名。 2、数据发现、分级分类能力 能够发现网络中流动的数据,并根据数据内容进行分类和分级(敏感程度)。 3、数据监控和追溯能力 支持数据实时监控和追溯,即,哪些用户,使用什么设备,以何种方式(通过什么应用)访问了什么数据,并追踪数据流动(内网、外网、互联网等)等;发现医院内部的数据外传等行为。 4、系统违规监控 能够长期、持续地对医院信息系统的用户、设备行为,应用行为,以及数据行为进行监控、审计、追溯;发现内网外联行为。 【解决方案】 1、“用户,设备,应用,数据”资产发现,并实时监控、关联和画像 • 能够有效发现医院的内部用户账号,把网络访问行为和数据访问行为与用户关联; • 把用户内部账号(医院OA/HIS账号)与互联网账号关联,从而监控医生护士使用互联网的违规行为(例如:从内网外发数据、外联访问等),发现多起内网访问互联网的行为。 2、数据发现、分类分级和数据流动监控 • 能够监控数据(敏感数据)内部流动行为,如:内部人员访问OA/HIS数据行为,内部人员之间的数据发送行为; • 能够监控数据外发行为,发现了多起内网数据外发到互联网的行为。 3、 违规监控 • 发现内网访问互联网的违规行为 • 发现非法设备接入内网行为 4、 追溯和审计 • 对任何违规行为都能进行追溯和审计,例如:从违规发送的数据追溯到用户;从违规外联行为追溯的用户和设备。 【部署情况】 • HF采集器采集2路镜像流量,分别是:互联网出口流量,办公区到数据中心的流量(南北向); • HV分析平台与HF路由可达即可,运维人员可以在终端PC上,通过Web浏览器访问HV,查看数据分析结果。 【客户收益】 全息系统运行稳定,经验证可完成使用目标,能够对监测医院系统数据泄漏提供有力技术支持工具,对敏感数据的监控、审计、合规检查提供了高效支持。 声明:此篇为全息网御原创文章,转载请标明出处链接:https://www.holonetsecurity.com.cn/sys-nd/8.html
下一篇数据安全事件溯源主体漫谈
文章分类:
技术分享
|