21、医疗行业的网络安全：挑战与应对策略

医疗行业的网络安全：挑战与应对策略

1. 引言

数字健康技术融合了众多医疗设备、无线技术、数据仓库、传感器、可穿戴设备，甚至社交网络，强调实时连接性。这些技术进步为患者护理带来了机遇，但也给医疗服务提供商带来了个人数据、隐私和安全方面的风险。网络安全威胁并非医疗行业独有，但随着数字健康革命的推进，此类威胁日益增多，已成为 2021 年主要的医疗风险之一。网络安全不仅包括外部威胁，还包括内部员工的意外失误。幸运的是，医疗服务提供商和设备制造商可以借鉴其他领先行业的经验。

高效的网络防御手段主要有五个：预测、教育、检测、响应和恢复力。同时要记住，“网络安全远不止是一个 IT 话题”。

2. 健康信息技术（HIT）简介

过去十年，医疗数据量呈爆炸式增长，而具备解读这些数据专业知识的医学专家却十分短缺。包括人工智能（AI）在内的分析流程被认为是解决这一供需矛盾的潜在方案。与此同时，“个性化医疗”成为新焦点，即利用数据为患者提供个性化的护理和治疗。为填补这一市场空白，数字健康领域发展迅猛。尽管这些技术有诸多潜在益处，且在改善患者治疗效果方面已取得一定进展，但医疗服务提供商在采用这些技术时仍面临风险。任何新技术或医疗设备都存在一定风险，医疗设备制造商和医疗服务机构有责任了解潜在风险并采取措施加以缓解。

2.1 电子健康记录（EHR）

电子健康记录如今已成为行政和临床数据的主要来源，包含患者的病史、药物处方、实验室检查和影像检查结果等。最初，EHR 被视为数字健康领域几乎全面积极的一步，其潜在益处显而易见：
- 提供最新的医疗记录，便于访问和编辑。
- 可在多个地点同时查看记录，增强临床医生之间的沟通。
- 通过安全保障和检查减少医疗错误。
- 提高记录的清晰度。

理论上，EHR 还能提高效率，让临床医生有更多时间照顾患者，助力实现业务目标。然而，除了这些潜在益处，EHR 在隐私和安全方面也存在弊端。一个关键的安全隐患是，EHR 需要与多个不同的系统和服务（如放射信息系统、医学实验室结果系统、计费系统）交互，这提供了许多潜在的访问点。多个用户与 EHR 交互是其价值的核心，但也带来了风险。拥有下载或访问互联网权限的用户可能会被利用。限制权限有助于降低这种风险。此外，任何多用户系统都容易受到钓鱼攻击，攻击者通过收集凭证来破坏系统。虽然采用强大的安全控制措施（如加密）是保障安全的明显第一步，但这可能会降低终端用户的可用性。

2.2 复杂因素

“物联网”连接性的不断增强带来了一个有趣的挑战，即如何将旧设备集成到持续信息流的数字健康环境中。许多旧设备和基础设施在设计时并未考虑网络连接功能，这给负责集成旧技术的 IT 部门带来了独特的挑战。此外，5G 无线网络等技术使远程医疗和机器人辅助手术等快速远程功能成为可能，对这些应用程序的完整性要求也达到了前所未有的高度。同时，使用报废软件也会带来更高的风险，爱尔兰卫生服务执行局（HSE）的“Conti”攻击和英国国家卫生服务体系（NHS）的“WannaCry”勒索软件攻击就充分证明了这一点。

2.3 数据

数字健康领域的一个新进展是能够利用医院和医疗系统收集的大量数据进行数据分析和扩展人工智能应用。AI 使计算机能够模拟人类行为，并且依赖于大量数据的可用性，因此与大数据密切相关。机器学习是 AI 的一个子集，计算机可以在无需明确编程的情况下展示学习特征，在处理和分析表格医疗数据方面显示出巨大潜力。最近，深度学习的进展，如卷积神经网络和自然语言处理与循环神经网络的结合，在图像分析和基于语言的任务（如翻译）方面取得了显著进展。然而，这些现代数据科学方法的黑箱性质也带来了潜在问题，如对抗性攻击。

2.4 趋势

过去几年，各行业的网络威胁持续增加，数据泄露和遭受网络安全相关问题（如支付赎金）的组织数量呈指数级增长。网络安全涉及使用控制、流程和技术来保护系统和数据免受这些网络威胁。强制性的、有监管支持的网络安全计划正逐渐成为主流，由于医疗数据的敏感性，医疗行业成为特别关注的领域。组织网络安全计划的核心目标可以用信息安全模型“CIA 三元组”来定义，具体如下表所示：
| 术语 | 定义 |
| — | — |
| 保密性 | 数据不会（有意或无意）披露给未经授权的个人 |
| 完整性 | 数据不会被未经授权的个人意外或恶意地更改 |
| 可用性 | 授权个人可以访问和使用数据 |

医疗行业是全球最易受攻击的行业之一，数字健康领域受到了大量引人注目的安全事件影响。2015 年的一项调查显示，超过 1.1 亿患者和 223 家组织中的 81%经历了数据泄露。不同行业对网络安全的关注程度和成熟度不同，医疗行业在保护重要数据方面落后于领先行业。医疗网络安全计划的不成熟可能是由于资源有限、资金支持不足、治理分散和文化行为等原因造成的。此外，对信息技术的持续投资不足也导致了旧 IT 问题的出现。因此，医疗行业的网络安全问题日益受到关注。

2.5 健康信息技术（HIT）

健康信息技术为医疗和网络安全从业者带来了独特的挑战，技术的创建和开发必须符合 CIA 三元组的原则，以保护个人信息的保密性、完整性和可用性，同时还要平衡可用性、互操作性和准确性。此外，一旦 HIT 在组织中投入使用，即使网络安全计划不成熟，该技术也必须足够安全和强大，以抵御网络攻击。

3. 监管合规与标准

随着网络安全威胁的增加，政府和监管机构迫使组织建立强大的网络安全计划，以保护敏感的个人信息。在医疗行业，美国的《健康保险流通与责任法案》（HIPAA）和欧盟的《通用数据保护条例》（GDPR）等主要立法行动推动了网络安全计划的成熟。这些法规侧重于数据保护和隐私，旨在要求收集、存储和处理敏感个人信息的组织承担责任。为满足这些法规要求，组织需要实施相关措施，从而推动网络安全计划的改进。

3.1 HIPAA

HIPAA 有明确的安全规则，涵盖物理和网络领域。它要求医生通过适当的行政、物理和技术保障措施，保护患者以电子形式存储的受保护健康信息（ePHI），以确保这些信息的保密性、完整性和安全性。HIPAA 的安全规则适用于以电子格式传输健康信息的任何医疗服务提供商。因此，符合 HIPAA 要求的范围包括存储和传输健康相关数据的医疗机构，以及传输、接收或记录健康相关信息的 HIT。此外，HIPAA 安全规则还要求对 ePHI 采取物理保障措施，包括维持实现 CIA 三元组的控制措施以及员工合规性。

3.2 GDPR

GDPR 虽并非专门针对网络安全或医疗行业，但要求持有个人信息（包括健康相关数据）的组织以适当方式保护和使用这些信息。关于安全方面，GDPR 的“安全原则”第 5(1)(f) 条强调了个人数据的“完整性和保密性”。它规定个人数据应“以确保适当安全的方式处理，包括防止未经授权或非法处理以及意外丢失、破坏或损坏，采用适当的技术或组织措施”。虽然 GDPR 没有强制规定具体的安全控制措施，但与 HIPAA 类似，安全控制措施必须与风险相适应，并保护个人数据的保密性和完整性。

3.3 合规性

数据保护法规的合规性可以推动组织的网络安全建设。组织实施的控制措施必须符合法规要求，并在保护方面具有合理性。“合理性”的定义仍存在争议，但指导因素应与行业最佳实践和领先的网络安全框架保持一致。尽管法规本身可能不是强大的驱动力，但未能遵守法规以充分保护个人数据所带来的后果，可能会成为推动网络安全建设的动力。

3.4 安全控制

加强安全控制与合规性之间存在有趣的相互作用。遵守法规要求可能看似提供了安全保障，但实际上可能无法提供更高水平的安全，且往往难以跟上技术进步的步伐。安全控制措施会定期更新，在某些情况下，可能比监管机构列出的要求提供更强大的保护。例如，在共享设施中，可能会出现只有一个用户被授予特定权限，导致账户一直处于“登录”状态的情况。因此，采取适当措施在确保患者和企业安全的同时，尽量减少对技术用户性能的影响至关重要，因为这最终会减少用于患者护理的时间。这些问题也影响到数字健康领域的大数据和 AI 应用，因为安全要求可能不足以保护这些系统，或者法规可能未规定使用这些系统来保障组织安全。

3.5 去标识化

去标识化是维护患者隐私的关键步骤，特别是在共享患者数据时。然而，这个过程并不像看起来那么简单。以医学影像为例，许多去标识化软件服务可以去除患者的姓名和出生日期，但这远非完全匿名化。大多数文件包含元数据，这些元数据不易删除，且往往包含可用于重新识别患者的其他信息。此外，医学影像本身也常常包含可识别信息，如可以重建患者面部图像的数据。这凸显了医疗特定用例中遇到的一些额外复杂性。

3.6 数据传输

为便于分析，数据通常需要传输到其他地点。这种传输可以是物理传输，也可以通过网络连接进行。医疗机构可能没有足够的计算能力来进行分析，因此需要将数据传输到大学、行业合作伙伴或其他具有足够计算资源的组织。这一步骤增加了攻击面。无论数据是本地存储还是远程存储，存储数据的安全性和隐私性都是重要考虑因素，包括硬件和软件应用程序、访问控制以及管理这些过程的系统的完整性。

3.7 设备

不同医疗设备和信息系统之间自由交换信息的重要性已得到广泛认可。Health Level 7（HL7）为不同供应商和技术之间的集成提供了框架。HL7 版本 3 基于 XML，在传输文本数据时不进行加密，它假设加密将在较低级别进行，且未提供协议级别的加密。由于通信依赖于建立短期客户端连接，HL7 可能容易受到“中间人”攻击。使用一致、简化的协议实现设备之间的通信，一直是医疗行业网络安全的一个基本挑战。特定协议或格式下技术之间的一致通信有可能提高速度和一致性。

3.8 数据标注

数据标注是数字健康领域大数据和 AI 面临的有趣挑战之一。恶意攻击者可能获取用于训练 AI 算法或构成大型数据集基础完整性的数据标签，从而严重影响任何模型的输出。更复杂的是，基于错误数据训练的模型的性能问题，可能要在模型应用于外部数据时才会显现出来。这种情况可能会对患者造成伤害。

4. 信息安全与数据隐私

信息安全和数据隐私问题贯穿于 HIT 的创建、实施和运营过程。这些问题不仅影响创建和使用 HIT 的组织，还涉及医疗设备本身可能缺乏网络安全和数据隐私控制，或者医疗设备虽有足够的控制措施，但在网络安全控制薄弱的机构中集成和运行，无法提供充分保护的情况。

4.1 软件开发

多年来，存在多种软件开发方法，如敏捷、瀑布和 Scrum。这些方法的共同点是都包括规划、分析、开发、实施和发布阶段，且各阶段之间有不同程度的迭代。传统上，网络安全被认为只在项目完成后才需要考虑，通常需要进行漏洞扫描和渗透测试来确定已完成项目中是否存在漏洞，并可能需要进行“修补”以填补安全漏洞。对于以盈利为导向的组织来说，识别和修复安全问题的成本会随着产品/设备进行根本性更改而增加。

随着软件开发实践的成熟和对网络安全问题的关注度提高，人们对 DevOps 和 DevSecOps 过程中基于软件的解决方案的开发越来越感兴趣。这些过程将网络安全的思考提前到开发过程中（即“左移”）。将网络安全左移可以从一开始就将安全融入产品，并在开发过程中更早地识别网络安全相关问题。这一过程允许各阶段之间进行迭代，以便及时解决网络安全问题。当前趋势表明，这种方法可以生产出更安全的设备和系统。此外，在项目后期发现的安全问题，采用这种方法可以更快、更低成本地修复。

4.2 第三方

由于医疗机构依赖第三方开发和创建新技术，该行业也无法避免供应链安全事件的增加。

4.2 第三方（续）

供应链攻击已成为医疗行业网络安全的重大隐患。当医疗机构与第三方合作时，第三方的安全漏洞可能会间接影响到医疗机构的数据安全。例如，第三方软件供应商的系统被入侵，可能导致其提供给医疗机构的软件存在安全隐患，从而使医疗机构的数据面临泄露风险。

为了降低第三方带来的安全风险，医疗机构需要采取一系列措施。首先，在选择第三方合作伙伴时，要进行严格的安全评估。评估内容包括第三方的安全策略、安全措施、安全历史记录等。只有通过严格评估的合作伙伴，才能够被纳入合作范围。

其次，与第三方签订详细的安全协议也是必不可少的。协议中应明确双方在数据安全、隐私保护等方面的责任和义务。例如，规定第三方必须采取何种安全措施来保护医疗机构的数据，以及在发生数据泄露事件时应承担的责任。

此外，医疗机构还需要对第三方进行持续的监督和审计。定期检查第三方的安全状况，确保其始终遵守安全协议和行业最佳实践。如果发现第三方存在安全问题，应及时要求其整改，必要时终止合作。

5. 应对策略总结

为了有效应对医疗行业的网络安全挑战，我们可以从多个方面采取措施。以下是一些关键的应对策略总结：
1. 人员培训 ：加强对医疗人员和 IT 人员的网络安全培训至关重要。培训内容应包括网络安全意识、常见攻击手段、安全操作规程等。通过培训，提高人员的安全意识和应对能力，减少人为因素导致的安全漏洞。
2. 技术防护 ：采用先进的技术手段来保护医疗系统和数据的安全。例如，使用防火墙、入侵检测系统、加密技术等。防火墙可以阻止外部网络的非法访问，入侵检测系统可以及时发现并预警潜在的攻击行为，加密技术可以保护数据在传输和存储过程中的安全性。
3. 制度建设 ：建立健全的网络安全管理制度。明确各部门和人员在网络安全方面的职责和权限，规范操作流程。例如，制定数据访问控制制度、安全审计制度等。通过制度建设，确保网络安全工作有章可循。
4. 应急响应 ：制定完善的应急响应计划。当发生网络安全事件时，能够迅速启动应急响应机制，采取有效的措施来控制事件的发展，减少损失。应急响应计划应包括事件报告流程、应急处理团队的组成和职责、恢复策略等。

6. 未来展望

随着数字健康技术的不断发展，医疗行业的网络安全挑战也将不断变化。未来，我们需要关注以下几个方面的发展趋势：
1. 新技术带来的安全挑战 ：如人工智能、区块链等新技术在医疗领域的应用，将带来新的安全挑战。例如，人工智能模型可能受到对抗性攻击，区块链的智能合约可能存在漏洞。我们需要深入研究这些新技术的安全特性，制定相应的安全策略。
2. 法规和标准的不断完善 ：政府和监管机构将不断完善网络安全法规和标准，对医疗行业的网络安全要求也将越来越高。医疗机构需要及时了解并遵守这些法规和标准，确保自身的合规性。
3. 行业合作与信息共享 ：医疗行业各机构之间需要加强合作，共享网络安全信息。通过建立行业安全联盟、信息共享平台等方式，及时通报安全事件和威胁情报，共同应对网络安全挑战。

7. 总结

医疗行业的网络安全是一个复杂而重要的问题。数字健康技术的发展为医疗服务带来了诸多便利，但也带来了一系列的安全挑战。从电子健康记录的隐私风险到旧设备集成的困难，从数据标注的复杂性到第三方供应链的安全隐患，每一个环节都需要我们高度重视。

通过加强人员培训、采用先进技术、建立健全制度和完善应急响应机制等措施，我们可以有效地应对这些挑战。同时，关注未来的发展趋势，不断完善网络安全策略，将有助于保障医疗行业的信息安全和患者的隐私。

相关表格和流程图

医疗行业网络安全应对策略表格

应对策略	具体措施
人员培训	开展网络安全意识培训、常见攻击手段培训、安全操作规程培训等
技术防护	使用防火墙、入侵检测系统、加密技术等
制度建设	制定数据访问控制制度、安全审计制度等
应急响应	制定应急响应计划，明确事件报告流程、应急处理团队职责、恢复策略等

医疗行业网络安全事件应急响应流程图

graph LR
    classDef startend fill:#F5EBFF,stroke:#BE8FED,stroke-width:2px;
    classDef process fill:#E5F6FF,stroke:#73A6FF,stroke-width:2px;
    classDef decision fill:#FFF6CC,stroke:#FFBC52,stroke-width:2px;

    A([发现网络安全事件]):::startend --> B{事件评估}:::decision
    B -->|轻微事件| C(内部处理):::process
    B -->|严重事件| D(启动应急响应计划):::process
    D --> E(成立应急处理团队):::process
    E --> F(收集事件信息):::process
    F --> G(分析事件原因):::process
    G --> H{是否控制住事件}:::decision
    H -->|是| I(恢复系统和数据):::process
    H -->|否| J(寻求外部支援):::process
    I --> K(总结经验教训):::process
    K --> L(更新应急响应计划):::process
    J --> M(与外部专家合作处理):::process
    M --> I

通过以上表格和流程图，我们可以更清晰地了解医疗行业网络安全的应对策略和应急响应流程，有助于我们更好地应对网络安全挑战。