近年來,，醫(yī)療行業(yè)逐漸成為網(wǎng)絡安全的重災區(qū)。根據(jù)CyberMDX發(fā)布的2020年醫(yī)療行業(yè)網(wǎng)絡安全調查報告,，2019年醫(yī)療行業(yè)是攻擊者的頭號目標,，勒索軟件攻擊事件高達759次,，泄露超過3500萬條病例記錄，損失高達40億美元,。

　　2020年,，面對《生物安全法》、《網(wǎng)絡安全法》,、GDPR合規(guī)的“圍剿”,，安全防御能力墊底、攻擊熱度不斷上升的數(shù)據(jù)泄露“震中”——醫(yī)療行業(yè)如何“脫困”,？

　　近日,，安全牛采訪了安進生物Amgen的顧偉，就國內外醫(yī)療行業(yè)網(wǎng)絡安全現(xiàn)狀,、問題與戰(zhàn)略進行了深入解讀,，以下為采訪內容實錄：

　　顧偉 Great Gu

　　BISO JAPAC，安進生物技術

　　安進生物日本及亞太地區(qū)業(yè)務信息安全官，負責日本及亞太地區(qū)所有業(yè)務部門相關聯(lián)的信息安全,、風險管理和合規(guī)隱私,，并且向全球信息安全官匯報。擁有超過15年的信息安全領域工作經(jīng)驗,，在多個世界500強跨國外企中擔任過信息安全架構和信息安全管理等工作,，尤其在制藥行業(yè)、信息安全和隱私經(jīng)驗非常豐富,。

　　安全牛

　　一,、2017年網(wǎng)絡安全法實施，2020年生物安全法列入政府工作,，請從對國家和社會的重要性層面談一談這兩個領域的共通點,。

　　顧偉：2017年6月1日，中國網(wǎng)絡安全法正式頒布,。這標志著從國家層面上來講,，第一部網(wǎng)絡空間管轄的基本法和第一份國家網(wǎng)絡空間安全保障工作指導文件的落地?！毒W(wǎng)絡安全法》規(guī)范了網(wǎng)絡空間多元主體的責任義務,，以法律的形式催生了一個維護國家主權，安全和發(fā)展利益的“命運共同體”,；從根本上填補了我國綜合性網(wǎng)絡信息安全基本大法，核心的網(wǎng)絡信息安全法和專門法律的三大空白,。

　　《網(wǎng)絡安全法》共7章79條,，包含六大亮點：

　　1.明確了網(wǎng)絡安全主權的原則；

　　2.明確了網(wǎng)絡產(chǎn)品和服務提供者的安全義務,；

　　3.明確了網(wǎng)絡運營者的安全義務,；

　　4.進一步完善了個人信息保護規(guī)則；

　　5.建立了關鍵信息基礎設施安全保護制度,；

　　6.確立了關鍵信息基礎設施中數(shù)據(jù)跨境傳輸規(guī)則,。

　　不僅如此，一些配套或相關的法規(guī)亦先后出臺,，包括《網(wǎng)絡產(chǎn)品和服務安全審查辦法（試行）》,、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》,、《國家網(wǎng)絡安全事件應急預案》,、《互聯(lián)網(wǎng)新聞信息服務管理規(guī)定》、《互聯(lián)網(wǎng)新聞信息服務許可管理實施細則》和《互聯(lián)網(wǎng)信息內容管理行政執(zhí)法程序規(guī)定》等,。另外,，《電子商務法（草案）》《個人信息和重要數(shù)據(jù)出境安全評估辦法（征求意見稿）》和《關鍵信息基礎設施安全保護條例（征求意見稿）》已公開向社會征詢意見。

　　網(wǎng)絡安全法是著眼于國家安全，國家網(wǎng)絡空間安全,，保障的是我們公民的信息安全,。而生物安全法是保護人民健康、保障國家安全,、維護國家長治久安,。因此把生物安全納入國家安全體系，系統(tǒng)規(guī)劃國家生物安全風險防控和治理體系建設,，全面提高國家生物安全治理能力是現(xiàn)在刻不容緩的任務,。而生物安全法也是我們國家層面非常重要的基于生物安全治理能力的法律，因此與國家信息安全分別屬于不同領域,，但是起到了同樣目的,。

　　安全牛

　　二、請您談一談國內外醫(yī)療健康行業(yè)的網(wǎng)絡安全現(xiàn)狀,。

　　顧偉：現(xiàn)在我國的醫(yī)療健康行業(yè)網(wǎng)絡安全還是以基礎架構和應用平臺作為突破口,，結合不同屬性的企業(yè)特性，進行自我約束和自我監(jiān)管的態(tài)勢,。

　　從日趨嚴格的個人信息保護規(guī)范和健康醫(yī)療信息安全指南的監(jiān)管下,，網(wǎng)絡安全戰(zhàn)略的制定，網(wǎng)絡安全架構的設計,，網(wǎng)絡安全運維管理的流程,，技術和人員的成熟，以及應對內外部威脅和法律法規(guī)監(jiān)管的壓力都是國內醫(yī)療健康行業(yè)亟需加大投入的側重點,。

　　醫(yī)療行業(yè)數(shù)據(jù)同樣在《網(wǎng)絡安全法》的數(shù)據(jù)監(jiān)管體系中也有特殊要求,。例如，《個人信息安全規(guī)范》中則將“個人健康生理信息”明確列為“個人（敏感）信息”,；《數(shù)據(jù)出境安全評估指南（征求意見稿）》的附錄A“重要數(shù)據(jù)識別指南”中也將部分醫(yī)療行業(yè)相關的數(shù)據(jù)包括在內,，例如“A.18人口健康”與“A.21食品藥品”等兩個類別。而針對《網(wǎng)絡安全法》體系下的合規(guī)要求,，則需要同步參照《網(wǎng)絡安全法》《個人信息安全規(guī)范》《個人信息出境安全評估辦法（征求意見稿）》《數(shù)據(jù)安全管理辦法（征求意見稿）》等規(guī)范,，并以其為起點梳理具體的合規(guī)義務。換言之,，在開展醫(yī)療數(shù)據(jù)合規(guī)工作的過程中,，醫(yī)療行業(yè)經(jīng)營者既要關注醫(yī)療行業(yè)規(guī)范的具體要求，也不能忽視《網(wǎng)絡安全法》體系下對“個人（敏感）信息”與“重要數(shù)據(jù)”的合規(guī)監(jiān)管——兩大維度缺一不可,。

　　國外的醫(yī)療健康行業(yè)網(wǎng)絡安全發(fā)展相對比較成熟,。美國和歐盟都有自己成熟的法律來監(jiān)督醫(yī)療健康行業(yè)的有序發(fā)展。因此,，我國需要從以下幾方面著手,，來打造醫(yī)療健康行業(yè)的信息安全建設：

　　1.政策層面：需要參考國內外的法規(guī)和國際標準,，建立一套行之有效的醫(yī)療健康行業(yè)的安全規(guī)范。并按照這套規(guī)范,，貫徹執(zhí)行,。

　　2.技術層面：廣泛對于物聯(lián)網(wǎng)、大數(shù)據(jù)和人工智能等技術的應用加以安全評估和控制,，并推薦相應的安全技術控制點,。

　　3.管理和人員方面：需要建立強健的信息安全管理團隊，并選拔和培養(yǎng)更多多元化的信息安全技術人才,。

　　安全牛

　　三,、國內外醫(yī)療健康行業(yè)對于敏感信息的保護有哪些最佳實踐和法規(guī)、標準,？

　　顧偉：我國對于醫(yī)療數(shù)據(jù)有很多不同的監(jiān)管規(guī)則,。分析如下：

　　而國外的話，因為他們的行業(yè)成熟度更高,，相關的法律法規(guī)也更加完善和系統(tǒng),。我就拿美國和歐盟來舉例。1996年《健康保險流通與責任法案》（HIPAA） 這項法案頒布,，此法案的目的在于使美國工人在跳槽或失業(yè)后更容易繼續(xù)享受健康保險,。該法案還力圖推動電子健康記錄的采用，以便通過加強信息共享來提高美國醫(yī)療保健系統(tǒng)的效率和質量,。在推動采用電子病歷的同時,，HIPAA還加入了相關規(guī)定來保障受保護健康信息 （PHI） 的安全性和隱私性。PHI包含一系列非常廣泛的可識別個人身份的健康數(shù)據(jù)和健康相關數(shù)據(jù),，包括保險和賬單信息,、診斷數(shù)據(jù)、臨床護理數(shù)據(jù),、影像等實驗室結果以及測試結果。HIPAA的條例適用于所涉實體,，其中包括直接接觸病人并處理病人數(shù)據(jù)的醫(yī)院,、醫(yī)療服務提供商、由雇主贊助的健康計劃,、研究機構和保險公司,。HIPAA還將保護PHI這一要求的適用范圍擴大到了商業(yè)伙伴。隨著2009年經(jīng)濟與臨床健康信息技術法案 （HITECH） 的頒布,，HIPPA條例得到了進一步的擴充,。HIPAA和HITECH共同建立起了一套聯(lián)邦標準，意在保障PHI的安全性和隱私性,。這些條款包含在稱為“簡化管理”的規(guī)則中,。HIPAA和HITECH強制推行使用和披露PHI的相關要求、保護PHI的適當安全措施、個人權利和管理責任,。

　　歐盟《通用數(shù)據(jù)保護條例（GDPR）》,，被認為是大數(shù)據(jù)監(jiān)管新時代的標志。它將影響幾乎所有行業(yè),，但是特別在衛(wèi)生健康領域,，患者數(shù)據(jù)的管理方式隨著歐盟GDPR的頒布而改變。一方面,，新法規(guī)使患者有更多權利控制其個人數(shù)據(jù)的收集及使用,；另一方面，對相關數(shù)據(jù)的不合規(guī)行為可導致重罰,，最高罰款達2000萬歐元或營業(yè)額的4％,。GDPR實施后，醫(yī)療衛(wèi)生領域將面臨如下變化：

　　一是個人資料更安全,。醫(yī)療機構必須更了解其收集患者信息的方式和存儲位置,。不僅電子數(shù)據(jù)會受到影響，對紙質記錄也會有所影響,。根據(jù)GDPR要求,，若發(fā)生數(shù)據(jù)泄露，必須在72小時內報告,。

　　二是患者檔案更詳細,。通過從醫(yī)生手術到專業(yè)醫(yī)療機構等不同點收集的數(shù)據(jù)，個人的數(shù)據(jù)足跡通常是高度分散的,。GDPR的核心組成部分之一是確保有更多關于收集的任何數(shù)據(jù)的目的和位置的可用信息,。這意味著醫(yī)療保健機構將更全面、更詳細地進行記錄,。但是,，根據(jù)GDPR規(guī)定，患者可決定自己的數(shù)據(jù)是否被保留,，這可能也會在某種程度上成為改善診斷的障礙,。

　　三是患者掌控程度更高。醫(yī)療保健是高度敏感和私密的領域之一,，但是,，檢查結果通常會被廣泛分享以進行診斷?；颊邔θ绾问占@些信息,、誰有權訪問以及如何存儲這些信息幾乎沒有深入的了解。GDPR將使患者有更多機會了解這些信息,，并牢牢掌握自己的數(shù)據(jù),。

　　四是數(shù)據(jù)源更新,。來自社交網(wǎng)絡的技術越來越多地用于為病人提供醫(yī)療保健和支持。醫(yī)療保健專業(yè)人員經(jīng)常使用WhatsApp等即時通信工具向對方發(fā)送患者數(shù)據(jù),。當這些信息通過網(wǎng)絡傳播時,，這可能意味著敏感數(shù)據(jù)在歐盟以外被持有，違反GDPR法規(guī),。為此,，歐洲的一家移動通信公司Hospify開發(fā)了類似WhatsApp的消息傳遞服務，使醫(yī)療團隊能夠通過基于歐盟的網(wǎng)絡安全發(fā)送患者數(shù)據(jù),。Hospify加密并傳送來自電話到電話的文本信息,，并在72小時內從服務器中刪除該信息，這一方面保證了數(shù)據(jù)更新,，同時大大減少了安全漏洞,。

　　五是預防更有力。歐盟衛(wèi)生和食品安全委員在布魯塞爾舉行的“大數(shù)據(jù)：更好的醫(yī)療保健互聯(lián)解決方案”會議上,，提及旨在促進罕見病等低流行疾病跨境醫(yī)療的歐洲參考網(wǎng)絡（ERNs）時指出,，ERNs的成功取決于大數(shù)據(jù)，將根據(jù)不同的罕見病編制分散的健康數(shù)據(jù)集,，生成新的臨床,、遺傳、行為和環(huán)境數(shù)據(jù),，并加以利用,。當然隨著2020年年初的COVID-19大爆發(fā)，數(shù)據(jù)收集和分享可以幫助預防和監(jiān)控疫情的蔓延,。但是如何控制過度收集數(shù)據(jù),，順應HIPAA和GDPR合規(guī)，也是考慮了從設計著手保護隱私的要求,。

　　安全牛

　　四,、國內外醫(yī)療健康行業(yè)最關注的網(wǎng)絡安全問題有哪些？

　　顧偉：先從國內醫(yī)療健康行業(yè)說起：

　　第一,， 沒有設立信息安全的專門管理機構,，沒有行政和技術上的有效安全管理；

　　第二,，對信息安全工作的認識不到位，對重要信息系統(tǒng)安全保護缺乏應有的重視,，重要信息系統(tǒng)未落實關鍵安全保護技術措施,；

　　第三，沒有實行強制性的安全監(jiān)督,、審查,、驗收機制,，特別是沒有第三方介入的監(jiān)督、審查,、驗收機制,，人員和資金投入不足；

　　第四,，沒有重視和執(zhí)行對用戶的安全知識,、法規(guī)、標準的宣傳,、培訓,、考核，沒有規(guī)定和缺少應有的崗位設置,；

　　第五,，“頭痛醫(yī)頭，腳痛醫(yī)腳”,，很難實現(xiàn)整體的安全管控,。這些都是目前國內醫(yī)療健康行業(yè)亟待解決的問題，也是他們最重視的問題,。

　　國外的話,，經(jīng)過數(shù)十年安全行業(yè)的蓬勃發(fā)展，醫(yī)療健康行業(yè)的網(wǎng)絡安全成熟度到了某個比較平穩(wěn)的階段,。舉例,，美國醫(yī)療健康行業(yè)現(xiàn)在最主要關注的網(wǎng)絡安全問題在于新興技術的應用，例如人工智能,、物聯(lián)網(wǎng),、機器學習等。因為新興技術帶來行業(yè)革新的同時,，也催生了新的安全威脅和固有漏洞,。美國的分散立法模式從嚴格意義上來講是在政府立法引導下的行業(yè)自律，即采用由下而上的方式進行開展,，其優(yōu)勢在于：一方面,，信息技術仍在快速發(fā)展之中，采取分散立法的方式可以避免國家過早立法而限制技術應用的現(xiàn)象,，也能更好的配合技術發(fā)展的趨勢,；另一方面，健康醫(yī)療服務過程中不同環(huán)節(jié)對信息的收集和處理也存在區(qū)別,，行業(yè)自律分散立法可增強個人健康醫(yī)療信息保護的針對性,。但是，美國的這種模式也存在較為明顯的弊端,。例如投訴與爭端解決機制相對不完善,、缺乏強制執(zhí)行力等問題也表現(xiàn)的比較明顯,。尤其是針對個人信息主體權利的保護仍需進一步完善。

　　安全牛

　　五,、請您再談談安進Amgen的網(wǎng)絡安全戰(zhàn)略,。

　　顧偉：安進Amgen是全球生物制藥的領軍企業(yè)，長期排在獨立生物制藥第一的寶座,。針對于網(wǎng)絡安全戰(zhàn)略的設定,，信息安全團隊的愿景是讓安進受到信任、保護和獲得安全,。信息安全團隊的使命是保護安進創(chuàng)新和服務患者的能力,。為了實現(xiàn)愿景和使命，信息安全團隊將實現(xiàn)以下目標：

　　1.夯實安進的信息安全基礎,；

　　2.將信息安全和信息管理植入安進的文化,；

　　3.合理布局網(wǎng)絡安全能力，以適應不斷變化的威脅格局,；

　　4.建立高可靠組織,；

　　5.利用具有吸引力和可消費性的服務和技術創(chuàng)造價值。

　　而我所處的亞太區(qū)是最快速發(fā)展和多變的一個地區(qū),，信息安全架構需要動態(tài)的調節(jié)來適用業(yè)務的變化,。發(fā)揮本地化優(yōu)勢，借力全球資源,，監(jiān)控外部環(huán)境,，推動內生安全，原生安全賦能是未來醫(yī)療健康行業(yè)信息安全的方向,，也是安進追求的目標,。