數字化醫療建設中的網路安全隱患

如今，醫療行業 IT團隊所面臨的威脅環境也發生了變化。首先，病患資料的黑市需求量增大，價格不菲，自然吸引了駭客的目光。另外，在地下黑市，駭客所需要的東西一應俱全，價格低廉的攻擊程式 （ 等） 可以輕鬆購買到。他們看準了醫療衛生行業相對薄弱的安全防護體系，在資料橫跨的多個系統中尋找攻擊點，這可能包括使用者新籌建的移動醫療系統、雲端計算平臺，醫療裝置、物聯網技術供應商等，這些都超出了傳統資料防洩露技術的範疇。

在 “身份竊取資源中心”( Identity Theft Resource Center)抓取到的2014年資料洩露事件中，有42.5%的事件發生在醫療、保健產業，這個數字比任何行業都要多。在國內，醫療機構近兩年發生的資料洩密事件也比比皆是，很多漏洞集中在一些省市的疾控中心和衛生系統，導致數千萬使用者的醫療資料面臨洩露的風險。這些資料包括使用者的家庭住址、患病情況以及社保卡等敏感資訊，不僅侵害到了使用者隱私，甚至可能被駭客當做網路犯罪的工具，導致患者遭受嚴重的經濟損失。

近年來，雖然醫療衛生行業的網路安全防護水平有了較大提升，但依然不足以化解日益精進的安全威脅。   醫療機構已成為網路犯罪的 “重災區”，是時候重新審視安全防護體系的有效性，利用最新的資料庫審計系統保護核心資料安全勢在必行。   建議 IT團隊採用以下五個步驟化解危機：

第一， 從根源解決使用者資訊保密。

從資料庫級別進行防控，從根源上徹底控制客戶資料資訊的洩露，將個人身份證、社保參保資訊、財務、薪酬、房屋等關鍵資料，使用文件加密技術，進行加密儲存，防止個人隱私資訊集中洩露、統計行為批次進行 ;

第二， 進行資料訪問行為審計監控，重點加強資料庫審計技術。

對資料庫的訪問行為進行監控和審計，對正在發生的資料庫竊密行為能夠實時預警、及時制止 ;還可提供有效的電子證據;

第三， 加強運維審計管理。

對內部資料庫、伺服器、 裝置等的管理維護進行安全、有效、直觀的操作審計，對策略配置、系統維護、內部訪問等進行詳細的記錄，提供細粒度的審計，並支援操作過程的全程回放，能夠從事前、事中、事後的多角度、全方位進行安全防護。

第四， 變相互制約為權責分明，完善 IT內控機制。

建立獨立於資料庫系統的安全許可權體系，進行許可權精細控制， 從內控的角度來看，系統的使用權、管理權與監督權必須三權分立。審計系統實現獨立審計，幫助監督人員獲得有效的技術手段，從而完善企業 IT內控機制，無關人員不能看到個人具體資訊。

第五、滿足法規要求。

醫療法規框架很複雜，從 網路安全的 角度來看，有多種框架和標準必須遵守，包括 HIPAA，HITECH及PCI DSS。國內使用者不僅可以參考以上法規條文，更可以藉助《資訊保安等級保護制度》，作為促進安全管理能力提升的抓手。