近年來，醫療行業逐漸成為網絡安全的重災區。根據CyberMDX發布的2020年醫療行業網絡安全調查報告，2019年醫療行業是攻擊者的頭號目標，勒索軟件攻擊事件高達759次，泄露超過3500萬條病例記錄，損失高達40億美元。

　　2020年，面對《生物安全法》、《網絡安全法》、GDPR合規的“圍剿”，安全防御能力墊底、攻擊熱度不斷上升的數據泄露“震中”——醫療行業如何“脫困”？

　　近日，安全牛采訪了安進生物Amgen的顧偉，就國內外醫療行業網絡安全現狀、問題與戰略進行了深入解讀，以下為采訪內容實錄：

　　顧偉 Great Gu

　　BISO JAPAC，安進生物技術

　　安進生物日本及亞太地區業務信息安全官，負責日本及亞太地區所有業務部門相關聯的信息安全、風險管理和合規隱私，并且向全球信息安全官匯報。擁有超過15年的信息安全領域工作經驗，在多個世界500強跨國外企中擔任過信息安全架構和信息安全管理等工作，尤其在制藥行業、信息安全和隱私經驗非常豐富。

　　安全牛

　　一、2017年網絡安全法實施，2020年生物安全法列入政府工作，請從對國家和社會的重要性層面談一談這兩個領域的共通點。

　　顧偉：2017年6月1日，中國網絡安全法正式頒布。這標志著從國家層面上來講，第一部網絡空間管轄的基本法和第一份國家網絡空間安全保障工作指導文件的落地。《網絡安全法》規范了網絡空間多元主體的責任義務，以法律的形式催生了一個維護國家主權，安全和發展利益的“命運共同體”；從根本上填補了我國綜合性網絡信息安全基本大法，核心的網絡信息安全法和專門法律的三大空白。

　　《網絡安全法》共7章79條，包含六大亮點：

　　1.明確了網絡安全主權的原則；

　　2.明確了網絡產品和服務提供者的安全義務；

　　3.明確了網絡運營者的安全義務；

　　4.進一步完善了個人信息保護規則；

　　5.建立了關鍵信息基礎設施安全保護制度；

　　6.確立了關鍵信息基礎設施中數據跨境傳輸規則。

　　不僅如此，一些配套或相關的法規亦先后出臺，包括《網絡產品和服務安全審查辦法（試行）》、《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》、《國家網絡安全事件應急預案》、《互聯網新聞信息服務管理規定》、《互聯網新聞信息服務許可管理實施細則》和《互聯網信息內容管理行政執法程序規定》等。另外，《電子商務法（草案）》《個人信息和重要數據出境安全評估辦法（征求意見稿）》和《關鍵信息基礎設施安全保護條例（征求意見稿）》已公開向社會征詢意見。

　　網絡安全法是著眼于國家安全，國家網絡空間安全，保障的是我們公民的信息安全。而生物安全法是保護人民健康、保障國家安全、維護國家長治久安。因此把生物安全納入國家安全體系，系統規劃國家生物安全風險防控和治理體系建設，全面提高國家生物安全治理能力是現在刻不容緩的任務。而生物安全法也是我們國家層面非常重要的基于生物安全治理能力的法律，因此與國家信息安全分別屬于不同領域，但是起到了同樣目的。

　　安全牛

　　二、請您談一談國內外醫療健康行業的網絡安全現狀。

　　顧偉：現在我國的醫療健康行業網絡安全還是以基礎架構和應用平臺作為突破口，結合不同屬性的企業特性，進行自我約束和自我監管的態勢。

　　從日趨嚴格的個人信息保護規范和健康醫療信息安全指南的監管下，網絡安全戰略的制定，網絡安全架構的設計，網絡安全運維管理的流程，技術和人員的成熟，以及應對內外部威脅和法律法規監管的壓力都是國內醫療健康行業亟需加大投入的側重點。

　　醫療行業數據同樣在《網絡安全法》的數據監管體系中也有特殊要求。例如，《個人信息安全規范》中則將“個人健康生理信息”明確列為“個人（敏感）信息”；《數據出境安全評估指南（征求意見稿）》的附錄A“重要數據識別指南”中也將部分醫療行業相關的數據包括在內，例如“A.18人口健康”與“A.21食品藥品”等兩個類別。而針對《網絡安全法》體系下的合規要求，則需要同步參照《網絡安全法》《個人信息安全規范》《個人信息出境安全評估辦法（征求意見稿）》《數據安全管理辦法（征求意見稿）》等規范，并以其為起點梳理具體的合規義務。換言之，在開展醫療數據合規工作的過程中，醫療行業經營者既要關注醫療行業規范的具體要求，也不能忽視《網絡安全法》體系下對“個人（敏感）信息”與“重要數據”的合規監管——兩大維度缺一不可。

　　國外的醫療健康行業網絡安全發展相對比較成熟。美國和歐盟都有自己成熟的法律來監督醫療健康行業的有序發展。因此，我國需要從以下幾方面著手，來打造醫療健康行業的信息安全建設：

　　1.政策層面：需要參考國內外的法規和國際標準，建立一套行之有效的醫療健康行業的安全規范。并按照這套規范，貫徹執行。

　　2.技術層面：廣泛對于物聯網、大數據和人工智能等技術的應用加以安全評估和控制，并推薦相應的安全技術控制點。

　　3.管理和人員方面：需要建立強健的信息安全管理團隊，并選拔和培養更多多元化的信息安全技術人才。

　　安全牛

　　三、國內外醫療健康行業對于敏感信息的保護有哪些最佳實踐和法規、標準？

　　顧偉：我國對于醫療數據有很多不同的監管規則。分析如下：

　　而國外的話，因為他們的行業成熟度更高，相關的法律法規也更加完善和系統。我就拿美國和歐盟來舉例。1996年《健康保險流通與責任法案》（HIPAA） 這項法案頒布，此法案的目的在于使美國工人在跳槽或失業后更容易繼續享受健康保險。該法案還力圖推動電子健康記錄的采用，以便通過加強信息共享來提高美國醫療保健系統的效率和質量。在推動采用電子病歷的同時，HIPAA還加入了相關規定來保障受保護健康信息 （PHI） 的安全性和隱私性。PHI包含一系列非常廣泛的可識別個人身份的健康數據和健康相關數據，包括保險和賬單信息、診斷數據、臨床護理數據、影像等實驗室結果以及測試結果。HIPAA的條例適用于所涉實體，其中包括直接接觸病人并處理病人數據的醫院、醫療服務提供商、由雇主贊助的健康計劃、研究機構和保險公司。HIPAA還將保護PHI這一要求的適用范圍擴大到了商業伙伴。隨著2009年經濟與臨床健康信息技術法案 （HITECH） 的頒布，HIPPA條例得到了進一步的擴充。HIPAA和HITECH共同建立起了一套聯邦標準，意在保障PHI的安全性和隱私性。這些條款包含在稱為“簡化管理”的規則中。HIPAA和HITECH強制推行使用和披露PHI的相關要求、保護PHI的適當安全措施、個人權利和管理責任。

　　歐盟《通用數據保護條例（GDPR）》，被認為是大數據監管新時代的標志。它將影響幾乎所有行業，但是特別在衛生健康領域，患者數據的管理方式隨著歐盟GDPR的頒布而改變。一方面，新法規使患者有更多權利控制其個人數據的收集及使用；另一方面，對相關數據的不合規行為可導致重罰，最高罰款達2000萬歐元或營業額的4％。GDPR實施后，醫療衛生領域將面臨如下變化：

　　一是個人資料更安全。醫療機構必須更了解其收集患者信息的方式和存儲位置。不僅電子數據會受到影響，對紙質記錄也會有所影響。根據GDPR要求，若發生數據泄露，必須在72小時內報告。

　　二是患者檔案更詳細。通過從醫生手術到專業醫療機構等不同點收集的數據，個人的數據足跡通常是高度分散的。GDPR的核心組成部分之一是確保有更多關于收集的任何數據的目的和位置的可用信息。這意味著醫療保健機構將更全面、更詳細地進行記錄。但是，根據GDPR規定，患者可決定自己的數據是否被保留，這可能也會在某種程度上成為改善診斷的障礙。

　　三是患者掌控程度更高。醫療保健是高度敏感和私密的領域之一，但是，檢查結果通常會被廣泛分享以進行診斷。患者對如何收集這些信息、誰有權訪問以及如何存儲這些信息幾乎沒有深入的了解。GDPR將使患者有更多機會了解這些信息，并牢牢掌握自己的數據。

　　四是數據源更新。來自社交網絡的技術越來越多地用于為病人提供醫療保健和支持。醫療保健專業人員經常使用WhatsApp等即時通信工具向對方發送患者數據。當這些信息通過網絡傳播時，這可能意味著敏感數據在歐盟以外被持有，違反GDPR法規。為此，歐洲的一家移動通信公司Hospify開發了類似WhatsApp的消息傳遞服務，使醫療團隊能夠通過基于歐盟的網絡安全發送患者數據。Hospify加密并傳送來自電話到電話的文本信息，并在72小時內從服務器中刪除該信息，這一方面保證了數據更新，同時大大減少了安全漏洞。

　　五是預防更有力。歐盟衛生和食品安全委員在布魯塞爾舉行的“大數據：更好的醫療保健互聯解決方案”會議上，提及旨在促進罕見病等低流行疾病跨境醫療的歐洲參考網絡（ERNs）時指出，ERNs的成功取決于大數據，將根據不同的罕見病編制分散的健康數據集，生成新的臨床、遺傳、行為和環境數據，并加以利用。當然隨著2020年年初的COVID-19大爆發，數據收集和分享可以幫助預防和監控疫情的蔓延。但是如何控制過度收集數據，順應HIPAA和GDPR合規，也是考慮了從設計著手保護隱私的要求。

　　安全牛

　　四、國內外醫療健康行業最關注的網絡安全問題有哪些？

　　顧偉：先從國內醫療健康行業說起：

　　第一， 沒有設立信息安全的專門管理機構，沒有行政和技術上的有效安全管理；

　　第二，對信息安全工作的認識不到位，對重要信息系統安全保護缺乏應有的重視，重要信息系統未落實關鍵安全保護技術措施；

　　第三，沒有實行強制性的安全監督、審查、驗收機制，特別是沒有第三方介入的監督、審查、驗收機制，人員和資金投入不足；

　　第四，沒有重視和執行對用戶的安全知識、法規、標準的宣傳、培訓、考核，沒有規定和缺少應有的崗位設置；

　　第五，“頭痛醫頭，腳痛醫腳”，很難實現整體的安全管控。這些都是目前國內醫療健康行業亟待解決的問題，也是他們最重視的問題。

　　國外的話，經過數十年安全行業的蓬勃發展，醫療健康行業的網絡安全成熟度到了某個比較平穩的階段。舉例，美國醫療健康行業現在最主要關注的網絡安全問題在于新興技術的應用，例如人工智能、物聯網、機器學習等。因為新興技術帶來行業革新的同時，也催生了新的安全威脅和固有漏洞。美國的分散立法模式從嚴格意義上來講是在政府立法引導下的行業自律，即采用由下而上的方式進行開展，其優勢在于：一方面，信息技術仍在快速發展之中，采取分散立法的方式可以避免國家過早立法而限制技術應用的現象，也能更好的配合技術發展的趨勢；另一方面，健康醫療服務過程中不同環節對信息的收集和處理也存在區別，行業自律分散立法可增強個人健康醫療信息保護的針對性。但是，美國的這種模式也存在較為明顯的弊端。例如投訴與爭端解決機制相對不完善、缺乏強制執行力等問題也表現的比較明顯。尤其是針對個人信息主體權利的保護仍需進一步完善。

　　安全牛

　　五、請您再談談安進Amgen的網絡安全戰略。

　　顧偉：安進Amgen是全球生物制藥的領軍企業，長期排在獨立生物制藥第一的寶座。針對于網絡安全戰略的設定，信息安全團隊的愿景是讓安進受到信任、保護和獲得安全。信息安全團隊的使命是保護安進創新和服務患者的能力。為了實現愿景和使命，信息安全團隊將實現以下目標：

　　1.夯實安進的信息安全基礎；

　　2.將信息安全和信息管理植入安進的文化；

　　3.合理布局網絡安全能力，以適應不斷變化的威脅格局；

　　4.建立高可靠組織；

　　5.利用具有吸引力和可消費性的服務和技術創造價值。

　　而我所處的亞太區是最快速發展和多變的一個地區，信息安全架構需要動態的調節來適用業務的變化。發揮本地化優勢，借力全球資源，監控外部環境，推動內生安全，原生安全賦能是未來醫療健康行業信息安全的方向，也是安進追求的目標。