12月5日�,第四屆衛(wèi)生健康行業(yè)網絡安全技能大賽在長沙圓滿落幕。大賽基于“數字風洞”產品體系����,打造醫(yī)療設備、數據安全���、供應鏈安全�、內網安全等八大數字醫(yī)療業(yè)務場景測試評估環(huán)境,以漏洞修復“數字健康”為閉環(huán)目標的“ZHWU證無”新賽制��,助力全國衛(wèi)生健康行業(yè)從業(yè)人員檢驗實戰(zhàn)水平���、提升風險防范化解能力�,推動數字化轉型背景下醫(yī)療行業(yè)網絡安全保障體系建設�。
在醫(yī)療行業(yè)數字化轉型的關鍵時期,數字技術已成為推動傳統醫(yī)療實現新突破的重要生產力����,但新技術的廣泛應用也為數字醫(yī)療安全建設帶來更多挑戰(zhàn)。作為關系國計民生的關鍵信息基礎設施行業(yè)�����,醫(yī)療領域的信息系統龐大且包含大量高價值敏感數據�,成為勒索病毒等網絡攻擊的重災區(qū)���。
為加強醫(yī)療衛(wèi)生機構網絡安全管理��,進一步促進“互聯網+醫(yī)療健康”發(fā)展�����,充分發(fā)揮健康醫(yī)療大數據作為國家重要基礎性戰(zhàn)略資源的作用���,加強醫(yī)療衛(wèi)生機構網絡安全管理���,防范網絡安全事件發(fā)生,2022年8月��,有關部門印發(fā)《醫(yī)療衛(wèi)生機構網絡安全管理辦法》(以下簡稱《辦法》)����。
《辦法》明確了各醫(yī)療衛(wèi)生機構網絡及數據安全管理基本原則、管理分工���、執(zhí)行標準����、監(jiān)督及處罰要求�,體現了統籌安全與發(fā)展的總體平衡,與此前出臺的一系列政策法規(guī)一脈相承�,為醫(yī)療衛(wèi)生機構指明了網絡安全管理的總方向。
同年11月印發(fā)的《“十四五”全民健康信息化規(guī)劃》(以下簡稱《規(guī)劃》)提出���,要堅持發(fā)展與安全并重����,完善網絡安全和數據安全制度,圍繞網絡與數據安全全鏈條���、全要素����、全周期加強教育培訓和宣貫���,加大網絡安全投入��,切實防范化解風險�,提高安全防護能力����,不斷完善網絡安全和數據安全綜合防范體系。
如何提高衛(wèi)生健康行業(yè)網絡安全水平?有業(yè)內人士認為�����,相關能力的培養(yǎng)需要到實際戰(zhàn)場中去磨練�����,去提高�。作為國家級醫(yī)療行業(yè)網絡安全賽事演練,本屆大賽受到社會各界的熱切關注與支持�����,共吸引了來自全國31個省份的121支戰(zhàn)隊����、463人報名參賽。其中�����,愛爾眼科醫(yī)院集團憑借醫(yī)療云平臺����、青少年近視防控系統榮獲大賽三等獎。
隨著電子病歷�����、互聯網醫(yī)療、AI醫(yī)療影像等應用的普及�����,醫(yī)療數字化浪潮襲來�����。近年來���,醫(yī)療系統遭遇網絡攻擊的事件時有發(fā)生����,數據泄露也屢見不鮮�����。自2018年以來��,全球已發(fā)生500余次公開確認的針對醫(yī)療保健組織的勒索軟件攻擊��,造成超920億美元經濟損失����。
“為保障醫(yī)療數據的安全,我們與中科院共同開展了零信任技術防護的研究。零信任技術防護是一種基于身份和行為的訪問控制技術�����,它不信任任何內部或外部的用戶或設備�,需要對每個訪問請求進行身份驗證和授權��。這種技術可以有效地防止內部和外部的攻擊�,保護醫(yī)療數據的安全。”愛爾眼科醫(yī)院集團相關負責人說����。
未來我國的醫(yī)療將更加互聯網化,對于衛(wèi)生機構而言�����,網絡安全已經成為其切入互聯網化途徑中必不可缺的一環(huán)���。本次大賽在“ZHWU證無”賽制下���,比賽第一輪次就有1083個風險被消除,隨著18個輪次的不斷刷新��,共發(fā)現風險數11737個,總計被測試21847次�,最終6622個風險成功被消除,占風險總數56%���。所有參賽選手對各種風險進行不斷檢測和修復��,以風險消除為目的進行技能水平比拼���,以賽事演練為契機提升醫(yī)療行業(yè)關鍵信息基礎設施的安全防護水平,為數字醫(yī)療實際業(yè)務實踐積累扎實的技術功底和豐富的實戰(zhàn)經驗����。
