數(shù)據(jù)安全成為AI關(guān)注重點

網(wǎng)信辦安全中心鄒瀟湘在大會上進行了數(shù)據(jù)安全相關(guān)的主題演講，她表示：“在器審中心的指導下，根據(jù)CMDE《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導原則》、FFDA《醫(yī)療設(shè)備網(wǎng)絡(luò)安全管理上市前指導原則》等文件，依托網(wǎng)信辦安全中心技術(shù)支持，我國已完成三項重要的醫(yī)療器械網(wǎng)絡(luò)安全測評工作�！边@些工作包括：

1． 制定20個網(wǎng)絡(luò)安全標準測試用例；

2． 對8家國內(nèi)外主流廠商的15款產(chǎn)品開展安全測評；

3． 出具15份安全測評報告。

在醫(yī)療器械網(wǎng)絡(luò)安全的測評工作中，網(wǎng)信辦安全中心發(fā)現(xiàn)：醫(yī)療器械存在較多安全隱患且無法得到及時修復；廠商在設(shè)計時沒有考慮相應(yīng)的安全性問題；而安全性提高需要得到醫(yī)院等醫(yī)療機構(gòu)的配合。

前期測評中的大部分醫(yī)療器械制造商均未考慮健康數(shù)據(jù)傳輸過程中的保密性問題，在測試中，網(wǎng)信辦安全中心捕獲大量的明文健康數(shù)據(jù)。

捕獲狀況截圖

對于這一狀況，鄒瀟湘表示：“醫(yī)療機構(gòu)在對健康數(shù)據(jù)進行歸檔、備份等數(shù)據(jù)傳輸操作時，尤其是通過公共互聯(lián)網(wǎng)傳輸敏感數(shù)據(jù)時，應(yīng)該對敏感數(shù)據(jù)進行加密處理，否則可能造成醫(yī)療健康數(shù)據(jù)信息泄露�！�

智慧醫(yī)療云是另一個安全問題的重災(zāi)區(qū)，這一平臺在將封閉孤立的醫(yī)療機構(gòu)推向開放互聯(lián)的同時，也承擔著更為嚴峻的安全考驗。

統(tǒng)計顯示，僅在2018年，全球便發(fā)生了十余起10萬以上數(shù)據(jù)泄漏事件：俄克拉荷馬州立大學健康中心遭黑客入侵，近28萬名患者醫(yī)療賬單信息泄洞；LfeBridge Health公司遭惡意軟件攻擊，約50萬名患者一年多的私人信息泄源；新加坡政府健康數(shù)據(jù)庫遭黑客攻擊，150萬患者數(shù)據(jù)泄漏；UnityPoint Health遭釣魚攻擊140萬患者記錄泄漏；美國實古斯塔大學醫(yī)療中心遭到網(wǎng)絡(luò)釣魚攻擊， 41.7萬份記錄泄露……

諸多事件的發(fā)生足以顯示網(wǎng)絡(luò)安全的重要性，醫(yī)聯(lián)體各醫(yī)院網(wǎng)絡(luò)安全防護能力有高有底，只要有一個醫(yī)療機構(gòu)被突破，整個體系存在數(shù)據(jù)泄漏的可能。因此，鄒瀟湘將醫(yī)聯(lián)體的網(wǎng)絡(luò)安全比作木桶，“一點突破，滿盤皆輸”。

目前全國共有657家智慧醫(yī)療云平臺，其中北京的云平臺數(shù)量超過200家，廣東、浙江約100家，上海近70家，山東近50家，這四個城市是信息化產(chǎn)業(yè)生根的主要城市。

網(wǎng)信辦安全中心其中對79家進行抽檢，結(jié)果顯示，57家平臺存在高危漏洞，13家平臺存在中危漏洞，89％的醫(yī)療機構(gòu)存在較為嚴重的安全風險。

黑客利用這些漏洞可以滲透攻擊PACS、HIS、病例管理等系統(tǒng)，嚴重影響平臺的正常運行；刪改患者會診信息，耽誤患者治療；遠程控制患者治療的試劑劑量，嚴重可造成患者死亡；竊取患者治療信息、基因等數(shù)據(jù)，泄露公民隱私。

因此，對于網(wǎng)絡(luò)安全中的諸多問題，鄒瀟湘提出了以下建議。

一、關(guān)于標準規(guī)范和檢測認證

1、研究面向人工智能醫(yī)療器械的網(wǎng)絡(luò)安全相關(guān)標準和可操作的測評規(guī)他及萬法，研究相關(guān)標準規(guī)范，構(gòu)建網(wǎng)絡(luò)安全測試技術(shù)體系。

2． 對于醫(yī)療領(lǐng)域采用的重要系統(tǒng)與關(guān)鍵設(shè)備，應(yīng)該實施例行的入網(wǎng)安全檢測與認證，必要時進行全面的網(wǎng)絡(luò)安全審看，以全面掌握其安全性狀況。

3、通過安全檢測與認證，建立統(tǒng)一的醫(yī)療行業(yè)網(wǎng)絡(luò)安全成脅情報庫和國家獺潤信息共享平臺CNVD。

二、關(guān)于安全檢查和風險評估

1、上線前的風險評估：對于有聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）需求的醫(yī)療器械，須具備必要的網(wǎng)絡(luò)安全風險防控能力。建議由行業(yè)主管部門統(tǒng)一組織或授權(quán)，針對安全防護措施對其進行上線前的風險評估。

2、運行中的安全檢查：對已聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）的醫(yī)療器械，建議由行業(yè)主管部門統(tǒng)一組織或授權(quán)，對其開展不定期的遠程遇檢或現(xiàn)場檢查，以全面掌握國家醫(yī)療器械的整體安全性狀況。

評估要素

三、關(guān)于態(tài)勢感知和預警

1、加強網(wǎng)絡(luò)安全主動發(fā)現(xiàn)能力建設(shè)：通過在網(wǎng)絡(luò)空間開展聯(lián)網(wǎng)設(shè)備、組件及系統(tǒng)的探測發(fā)現(xiàn)，有助于我們提前發(fā)現(xiàn)幕露在互聯(lián)網(wǎng)上的醫(yī)療器械及其組件。

2、加強網(wǎng)絡(luò)安全監(jiān)測預警能力建設(shè)：通過在互聯(lián)網(wǎng)關(guān)鍵節(jié)點對醫(yī)療通信流量的監(jiān)測分析，有助于及時發(fā)現(xiàn)醫(yī)療器械網(wǎng)絡(luò)空間當前狀態(tài)，并對下一步的發(fā)展態(tài)勢快速預測。

“‘有些重發(fā)展輕安全、重建設(shè)輕防護；有的認為關(guān)起門來搞更安全，不愿立足開放環(huán)境搞安全；有的認為網(wǎng)絡(luò)安全是中央的事、專業(yè)部門的事，同自己無關(guān)’這些看法都是不正確的�！编u瀟湘總結(jié)到。

“要落實醫(yī)療器械網(wǎng)絡(luò)防護責任，行業(yè)、企業(yè)作為運營者承擔主體防護責任，主管部門履行好監(jiān)管責任。針對‘云、管、端’暴露的問題，從醫(yī)療器械及其配套軟件、智慧云平臺系統(tǒng)安全和應(yīng)用安全的角度出發(fā)設(shè)計，建立醫(yī)療器械安全防護技術(shù)體系，全面提升健康數(shù)據(jù)保護能力和安全威脅防御能力�！�