近年来，医疗行业逐渐成为网络安全的重灾区。根据CyberMDX发布的2020年医疗行业网络安全调查报告，2019年医疗行业是攻击者的头号目标，勒索软件攻击事件高达759次，泄露超过3500万条病例记录，损失高达40亿美元。

　　2020年，面对《生物安全法》、《网络安全法》、GDPR合规的“围剿”，安全防御能力垫底、攻击热度不断上升的数据泄露“震中”——医疗行业如何“脱困”？

　　近日，安全牛采访了安进生物Amgen的顾伟，就国内外医疗行业网络安全现状、问题与战略进行了深入解读，以下为采访内容实录：

　　顾伟 Great Gu

　　BISO JAPAC，安进生物技术

　　安进生物日本及亚太地区业务信息安全官，负责日本及亚太地区所有业务部门相关联的信息安全、风险管理和合规隐私，并且向全球信息安全官汇报。拥有超过15年的信息安全领域工作经验，在多个世界500强跨国外企中担任过信息安全架构和信息安全管理等工作，尤其在制药行业、信息安全和隐私经验非常丰富。

　　安全牛

　　一、2017年网络安全法实施，2020年生物安全法列入政府工作，请从对国家和社会的重要性层面谈一谈这两个领域的共通点。

　　顾伟：2017年6月1日，中国网络安全法正式颁布。这标志着从国家层面上来讲，第一部网络空间管辖的基本法和第一份国家网络空间安全保障工作指导文件的落地。《网络安全法》规范了网络空间多元主体的责任义务，以法律的形式催生了一个维护国家主权，安全和发展利益的“命运共同体”；从根本上填补了我国综合性网络信息安全基本大法，核心的网络信息安全法和专门法律的三大空白。

　　《网络安全法》共7章79条，包含六大亮点：

　　1.明确了网络安全主权的原则；

　　2.明确了网络产品和服务提供者的安全义务；

　　3.明确了网络运营者的安全义务；

　　4.进一步完善了个人信息保护规则；

　　5.建立了关键信息基础设施安全保护制度；

　　6.确立了关键信息基础设施中数据跨境传输规则。

　　不仅如此，一些配套或相关的法规亦先后出台，包括《网络产品和服务安全审查办法（试行）》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》、《国家网络安全事件应急预案》、《互联网新闻信息服务管理规定》、《互联网新闻信息服务许可管理实施细则》和《互联网信息内容管理行政执法程序规定》等。另外，《电子商务法（草案）》《个人信息和重要数据出境安全评估办法（征求意见稿）》和《关键信息基础设施安全保护条例（征求意见稿）》已公开向社会征询意见。

　　网络安全法是着眼于国家安全，国家网络空间安全，保障的是我们公民的信息安全。而生物安全法是保护人民健康、保障国家安全、维护国家长治久安。因此把生物安全纳入国家安全体系，系统规划国家生物安全风险防控和治理体系建设，全面提高国家生物安全治理能力是现在刻不容缓的任务。而生物安全法也是我们国家层面非常重要的基于生物安全治理能力的法律，因此与国家信息安全分别属于不同领域，但是起到了同样目的。

　　安全牛

　　二、请您谈一谈国内外医疗健康行业的网络安全现状。

　　顾伟：现在我国的医疗健康行业网络安全还是以基础架构和应用平台作为突破口，结合不同属性的企业特性，进行自我约束和自我监管的态势。

　　从日趋严格的个人信息保护规范和健康医疗信息安全指南的监管下，网络安全战略的制定，网络安全架构的设计，网络安全运维管理的流程，技术和人员的成熟，以及应对内外部威胁和法律法规监管的压力都是国内医疗健康行业亟需加大投入的侧重点。

　　医疗行业数据同样在《网络安全法》的数据监管体系中也有特殊要求。例如，《个人信息安全规范》中则将“个人健康生理信息”明确列为“个人（敏感）信息”；《数据出境安全评估指南（征求意见稿）》的附录A“重要数据识别指南”中也将部分医疗行业相关的数据包括在内，例如“A.18人口健康”与“A.21食品药品”等两个类别。而针对《网络安全法》体系下的合规要求，则需要同步参照《网络安全法》《个人信息安全规范》《个人信息出境安全评估办法（征求意见稿）》《数据安全管理办法（征求意见稿）》等规范，并以其为起点梳理具体的合规义务。换言之，在开展医疗数据合规工作的过程中，医疗行业经营者既要关注医疗行业规范的具体要求，也不能忽视《网络安全法》体系下对“个人（敏感）信息”与“重要数据”的合规监管——两大维度缺一不可。

　　国外的医疗健康行业网络安全发展相对比较成熟。美国和欧盟都有自己成熟的法律来监督医疗健康行业的有序发展。因此，我国需要从以下几方面着手，来打造医疗健康行业的信息安全建设：

　　1.政策层面：需要参考国内外的法规和国际标准，建立一套行之有效的医疗健康行业的安全规范。并按照这套规范，贯彻执行。

　　2.技术层面：广泛对于物联网、大数据和人工智能等技术的应用加以安全评估和控制，并推荐相应的安全技术控制点。

　　3.管理和人员方面：需要建立强健的信息安全管理团队，并选拔和培养更多多元化的信息安全技术人才。

　　安全牛

　　三、国内外医疗健康行业对于敏感信息的保护有哪些最佳实践和法规、标准？

　　顾伟：我国对于医疗数据有很多不同的监管规则。分析如下：

　　而国外的话，因为他们的行业成熟度更高，相关的法律法规也更加完善和系统。我就拿美国和欧盟来举例。1996年《健康保险流通与责任法案》（HIPAA） 这项法案颁布，此法案的目的在于使美国工人在跳槽或失业后更容易继续享受健康保险。该法案还力图推动电子健康记录的采用，以便通过加强信息共享来提高美国医疗保健系统的效率和质量。在推动采用电子病历的同时，HIPAA还加入了相关规定来保障受保护健康信息 （PHI） 的安全性和隐私性。PHI包含一系列非常广泛的可识别个人身份的健康数据和健康相关数据，包括保险和账单信息、诊断数据、临床护理数据、影像等实验室结果以及测试结果。HIPAA的条例适用于所涉实体，其中包括直接接触病人并处理病人数据的医院、医疗服务提供商、由雇主赞助的健康计划、研究机构和保险公司。HIPAA还将保护PHI这一要求的适用范围扩大到了商业伙伴。随着2009年经济与临床健康信息技术法案 （HITECH） 的颁布，HIPPA条例得到了进一步的扩充。HIPAA和HITECH共同建立起了一套联邦标准，意在保障PHI的安全性和隐私性。这些条款包含在称为“简化管理”的规则中。HIPAA和HITECH强制推行使用和披露PHI的相关要求、保护PHI的适当安全措施、个人权利和管理责任。

　　欧盟《通用数据保护条例（GDPR）》，被认为是大数据监管新时代的标志。它将影响几乎所有行业，但是特别在卫生健康领域，患者数据的管理方式随着欧盟GDPR的颁布而改变。一方面，新法规使患者有更多权利控制其个人数据的收集及使用；另一方面，对相关数据的不合规行为可导致重罚，最高罚款达2000万欧元或营业额的4％。GDPR实施后，医疗卫生领域将面临如下变化：

　　一是个人资料更安全。医疗机构必须更了解其收集患者信息的方式和存储位置。不仅电子数据会受到影响，对纸质记录也会有所影响。根据GDPR要求，若发生数据泄露，必须在72小时内报告。

　　二是患者档案更详细。通过从医生手术到专业医疗机构等不同点收集的数据，个人的数据足迹通常是高度分散的。GDPR的核心组成部分之一是确保有更多关于收集的任何数据的目的和位置的可用信息。这意味着医疗保健机构将更全面、更详细地进行记录。但是，根据GDPR规定，患者可决定自己的数据是否被保留，这可能也会在某种程度上成为改善诊断的障碍。

　　三是患者掌控程度更高。医疗保健是高度敏感和私密的领域之一，但是，检查结果通常会被广泛分享以进行诊断。患者对如何收集这些信息、谁有权访问以及如何存储这些信息几乎没有深入的了解。GDPR将使患者有更多机会了解这些信息，并牢牢掌握自己的数据。

　　四是数据源更新。来自社交网络的技术越来越多地用于为病人提供医疗保健和支持。医疗保健专业人员经常使用WhatsApp等即时通信工具向对方发送患者数据。当这些信息通过网络传播时，这可能意味着敏感数据在欧盟以外被持有，违反GDPR法规。为此，欧洲的一家移动通信公司Hospify开发了类似WhatsApp的消息传递服务，使医疗团队能够通过基于欧盟的网络安全发送患者数据。Hospify加密并传送来自电话到电话的文本信息，并在72小时内从服务器中删除该信息，这一方面保证了数据更新，同时大大减少了安全漏洞。

　　五是预防更有力。欧盟卫生和食品安全委员在布鲁塞尔举行的“大数据：更好的医疗保健互联解决方案”会议上，提及旨在促进罕见病等低流行疾病跨境医疗的欧洲参考网络（ERNs）时指出，ERNs的成功取决于大数据，将根据不同的罕见病编制分散的健康数据集，生成新的临床、遗传、行为和环境数据，并加以利用。当然随着2020年年初的COVID-19大爆发，数据收集和分享可以帮助预防和监控疫情的蔓延。但是如何控制过度收集数据，顺应HIPAA和GDPR合规，也是考虑了从设计着手保护隐私的要求。

　　安全牛

　　四、国内外医疗健康行业最关注的网络安全问题有哪些？

　　顾伟：先从国内医疗健康行业说起：

　　第一， 没有设立信息安全的专门管理机构，没有行政和技术上的有效安全管理；

　　第二，对信息安全工作的认识不到位，对重要信息系统安全保护缺乏应有的重视，重要信息系统未落实关键安全保护技术措施；

　　第三，没有实行强制性的安全监督、审查、验收机制，特别是没有第三方介入的监督、审查、验收机制，人员和资金投入不足；

　　第四，没有重视和执行对用户的安全知识、法规、标准的宣传、培训、考核，没有规定和缺少应有的岗位设置；

　　第五，“头痛医头，脚痛医脚”，很难实现整体的安全管控。这些都是目前国内医疗健康行业亟待解决的问题，也是他们最重视的问题。

　　国外的话，经过数十年安全行业的蓬勃发展，医疗健康行业的网络安全成熟度到了某个比较平稳的阶段。举例，美国医疗健康行业现在最主要关注的网络安全问题在于新兴技术的应用，例如人工智能、物联网、机器学习等。因为新兴技术带来行业革新的同时，也催生了新的安全威胁和固有漏洞。美国的分散立法模式从严格意义上来讲是在政府立法引导下的行业自律，即采用由下而上的方式进行开展，其优势在于：一方面，信息技术仍在快速发展之中，采取分散立法的方式可以避免国家过早立法而限制技术应用的现象，也能更好的配合技术发展的趋势；另一方面，健康医疗服务过程中不同环节对信息的收集和处理也存在区别，行业自律分散立法可增强个人健康医疗信息保护的针对性。但是，美国的这种模式也存在较为明显的弊端。例如投诉与争端解决机制相对不完善、缺乏强制执行力等问题也表现的比较明显。尤其是针对个人信息主体权利的保护仍需进一步完善。

　　安全牛

　　五、请您再谈谈安进Amgen的网络安全战略。

　　顾伟：安进Amgen是全球生物制药的领军企业，长期排在独立生物制药第一的宝座。针对于网络安全战略的设定，信息安全团队的愿景是让安进受到信任、保护和获得安全。信息安全团队的使命是保护安进创新和服务患者的能力。为了实现愿景和使命，信息安全团队将实现以下目标：

　　1.夯实安进的信息安全基础；

　　2.将信息安全和信息管理植入安进的文化；

　　3.合理布局网络安全能力，以适应不断变化的威胁格局；

　　4.建立高可靠组织；

　　5.利用具有吸引力和可消费性的服务和技术创造价值。

　　而我所处的亚太区是最快速发展和多变的一个地区，信息安全架构需要动态的调节来适用业务的变化。发挥本地化优势，借力全球资源，监控外部环境，推动内生安全，原生安全赋能是未来医疗健康行业信息安全的方向，也是安进追求的目标。