醫藥企業數字化轉型加劇安全風險，“三個關鍵舉措”築牢資料安全基石

今天，越來越多的醫藥企業正在探索和尋求數字化手段，賦能“研、產、供、銷”各流程，實現生產效率提升。但在數字化過程中， 資料安全相較以往也更加嚴峻，資料洩露頻發，形勢堪憂。 《2021資料洩露成本報告》中，藥企資料洩露平均成本為504萬美元，醫藥行業已是全球受網路犯罪威脅最大的行業之一。

• 某國內知名藥企遭內部人員出賣核心藥物生產工藝技術，損失超246萬元；

• 某國外製藥公司誤將藥品、銷售等資料儲存在可公開訪問的伺服器上，1.7+TB機密資料遭洩露；

• 某國內醫藥生產車間遭“感染型病毒Sality”入侵，區域網電腦大規模中毒，檔案被加密；

• 某國內某藥業集團股份有限公司BCS（生物藥劑學分類系統）在裝有防毒軟體的基礎上再次遭受勒索攻擊……

研發資料、機密智慧財產權 (IP)、藥品研發的專有資訊以及患者臨床試驗資料是醫藥企業極為重要的資產，訪問此類關鍵和敏感資訊使製藥行業成為網路犯罪分子極具吸引力的目標， 研發資料資產更是關乎著醫藥企業的生存及核心競爭力， 在國內，一款新藥從研發到上市，平均研發時間12年-15年，資金投入15億-20億元人民幣，這一過程，核心關鍵資料要是外洩，將造成鉅額經濟損失。

近年來，國家藥品監督管理局、國家衛生和健康委員會、國家醫療保障局等監管部門也不斷頒佈新政，從醫療/醫藥/醫保、資料合規及網路安全等領域對大健康行業內的企業機構及其相關負責人進行全面規範。

如何為醫藥資料提供更加強大的防護能力，築牢資料安全能力底座，第三屆中國數字醫藥創新峰會上，美創科技解決方案專家高先亮進行資料安全實踐分享，認為以資料為中心的安全防護體系的構建，不是純粹的技術或產品的投入部署，應立足於組織戰略、合規需求、風險可控和資料開發利用，是管理、技術、運營高效融合的綜合體。

醫藥企業資料安全主要風險分析

• 資料儲存安全風險： 以勒索病毒為首的攻擊事件屢屢發生，使得資料儲存安全的風險隱患愈加嚴重。

• 執行環境安全風險： 執行環境安全是藥企得以穩定執行的核心構成部分，但人和裝置諸多不確定因素導致執行環境面臨嚴重威脅。

  
  

• 執行邏輯安全風險： 業務執行邏輯的安全性主要包含兩大類:業務邏輯漏洞和業務邏輯缺陷，在安全風險中擁有明顯的佔比。

• 供應鏈、重要資料等安全風險： 供應鏈及其貨資、貨值、藥品研發資料等資產作為藥企的核心資產面臨較大威脅挑戰。

  
  

• 資料流動安全風險： 數字化轉型速度提升，使得跨系統、跨組織的資料流動速度，資料開放介面迅速增加，資料推送範圍擴大，資料安全風險暴露面增多。

化解資料安全風險的關鍵舉措

制度為準則，建立完備資料安全管理體系

管理制度與機制的建立與最佳化是資料安全工作的重中之重。醫藥企業在開展資料安全建設中，應 以安全合規為底線，基於國家、行業資料安全相關法律法規與標準要求，構建涵蓋組織、制度、人員在內的完備的資料安全制度和管理體系 ，對資料收集、儲存、處理、應用等關鍵環節的操作規範、管理部門職責分工、應急管理與安全檢查機制、責任追究等進行全方位規定，夯實制度基礎。

資料安全建設中，不同部門間的協作配合度弱，溝通阻力大，是推動資料安全治理工作的障礙。對此，藥企應組建貼合實際的安全組織架構， 形成有公司領導班子參與，並廣泛覆蓋各部門的安全組織架構 ，覆蓋決策層、管理層、執行層、參與層、監督層，建立責任清晰、分工合作、平衡互動的協同機制，推動資料安全保障工作持續、穩定、有序開展。

風險現狀為依據，進行安全基礎能力提升

   

1、保障基礎設施及關鍵資訊系統執行環境下的資料儲存安全。

一方面勒索軟體攻擊歷來風險大、影響大，且傳統的安全防護手段很難有效應對，是醫藥行業一直面臨的主要安全威脅。醫藥企業應積極部署專業有效的防勒索軟體，採取基於零信任理念的諾亞防勒索系統，實施監控各類程式對資料檔案的讀寫操作， 快速識別、阻斷非法程式的入侵行為，實現已知、未知勒索病毒主動防禦。

另一方面，重要的供應鏈及其貨資、貨值，藥品研發資料等是藥企的核心資產，部分可能屬於國家層面的重要資料，透過資料庫透明加密系統對該部分資料進行加密儲存，在保障業務透明訪問的前提下， 保持資料處於密文儲存狀態，只限可信應用、可信使用者、可信終端解密密文， 收斂儲存域中敏感資料暴露面，減少資料洩漏的可能。

2、確保人、裝置在環境中的可控性安全，構建多重安全防線。

加強人的可控性： 醫藥企業內部終端種類增多、接入環境複雜、使用者角色多樣，無論是內部還是外部駐場人員，都有可能造成如刪庫跑路、內部資料竊取等不亞於駭客攻擊、危害性更大的事件，醫藥企業可透過資料庫防水壩對系統中不同角色、不同身份的人員進行風險評價， 基於風險程度來給人合理的訪問權利以及適當審計方式，確保適當的人有適當的許可權，實現人的安全可控。

加強裝置的可控性 ：當前醫藥企業對IT應用系統的依賴越來越重，除了透過網路安全構建第一道安全防線抵禦外部攻擊外，醫藥企業同時應 透過容災、備份建設來構建底線防禦，確保業務連續性和資料完整性。

3、防止業務的風控問題和業務邏輯等問題，保障執行邏輯安全可靠。

醫藥企業業務執行邏輯面臨三種型別的風險主要包括 ： 業務上線但風控模組未上線，導致業務資料被盜；某業務已透過風控，但由於指令修改導致異常；越權操作等風險。

在資料庫伺服器前端部署資料庫防火牆，對流經的資料庫訪問和響應資料進行解析，透過資料庫漏洞攻擊防護（虛擬補丁）、SQL隱碼攻擊防護、危險操作攔截、業務脫敏、返回行數控制等功能，透過模擬學習和智慧分析模式，可有效 抵禦並消除由於應用程式業務邏輯漏洞或者缺陷所導致的資料(庫)安全問題， 阻斷各類業務側風險。

4、 加強資料流動場景下的安全保障和風險監測能力，實現資料可控可見。

數字化程式下，醫藥資料在客戶、部門、員工、合作廠商之間進行大量高頻複雜的流動使用普遍存在。醫藥企業應可 透過資料分類分級的實施，建立敏感資料的底賬 ；透過梳理資料應用和資料處理活動，掌握敏感資料暴露面的底賬，減少藥企資料對外流動的環節，藥企各分子公司或各獨立系統資料統一流動到集團系統，實現資料的統一管理；在資料流動之前可 透過資料脫敏、加密、資料水印溯源進行源端控制 ； 透過制度性的審計檢查推動資料接收方合規使用資料 。

資料安全平臺為中心，統一管理態勢可視

提高資料安全管理能力，建立資料安全運營機制， 透過資料安全運營平臺對多種資料安全能力的集中監測、管理和排程， 實時識別敏感資料流動狀態和內外部訪問異常行為，分析敏感網路與資料流動風險，感知最新安全威脅，預測可能的網路攻擊或異常操作行為，聯動網路與資料安全裝置進行聯動處置，防範發生重大網路與資料安全事件，實現資料安全狀態的持續保障。

---

美創科技基於多年在資料安全領域的專業能力，已形成資料安全治理諮詢規劃、資料安全產品技術、資料安全綜合運營在內的完整的產品方案及服務，幫助藥企築牢資料安全基座，護航數字化轉型發展！