數(shù)據(jù)安全成為AI關(guān)注重點(diǎn)

網(wǎng)信辦安全中心鄒瀟湘在大會(huì)上進(jìn)行了數(shù)據(jù)安全相關(guān)的主題演講，她表示：“在器審中心的指導(dǎo)下，根據(jù)CMDE《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》、FFDA《醫(yī)療設(shè)備網(wǎng)絡(luò)安全管理上市前指導(dǎo)原則》等文件，依托網(wǎng)信辦安全中心技術(shù)支持，我國(guó)已完成三項(xiàng)重要的醫(yī)療器械網(wǎng)絡(luò)安全測(cè)評(píng)工作�！边@些工作包括：

1． 制定20個(gè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)測(cè)試用例；

2． 對(duì)8家國(guó)內(nèi)外主流廠商的15款產(chǎn)品開(kāi)展安全測(cè)評(píng)；

3． 出具15份安全測(cè)評(píng)報(bào)告。

在醫(yī)療器械網(wǎng)絡(luò)安全的測(cè)評(píng)工作中，網(wǎng)信辦安全中心發(fā)現(xiàn)：醫(yī)療器械存在較多安全隱患且無(wú)法得到及時(shí)修復(fù)；廠商在設(shè)計(jì)時(shí)沒(méi)有考慮相應(yīng)的安全性問(wèn)題；而安全性提高需要得到醫(yī)院等醫(yī)療機(jī)構(gòu)的配合。

前期測(cè)評(píng)中的大部分醫(yī)療器械制造商均未考慮健康數(shù)據(jù)傳輸過(guò)程中的保密性問(wèn)題，在測(cè)試中，網(wǎng)信辦安全中心捕獲大量的明文健康數(shù)據(jù)。

捕獲狀況截圖

對(duì)于這一狀況，鄒瀟湘表示：“醫(yī)療機(jī)構(gòu)在對(duì)健康數(shù)據(jù)進(jìn)行歸檔、備份等數(shù)據(jù)傳輸操作時(shí)，尤其是通過(guò)公共互聯(lián)網(wǎng)傳輸敏感數(shù)據(jù)時(shí)，應(yīng)該對(duì)敏感數(shù)據(jù)進(jìn)行加密處理，否則可能造成醫(yī)療健康數(shù)據(jù)信息泄露�！�

智慧醫(yī)療云是另一個(gè)安全問(wèn)題的重災(zāi)區(qū)，這一平臺(tái)在將封閉孤立的醫(yī)療機(jī)構(gòu)推向開(kāi)放互聯(lián)的同時(shí)，也承擔(dān)著更為嚴(yán)峻的安全考驗(yàn)。

統(tǒng)計(jì)顯示，僅在2018年，全球便發(fā)生了十余起10萬(wàn)以上數(shù)據(jù)泄漏事件：俄克拉荷馬州立大學(xué)健康中心遭黑客入侵，近28萬(wàn)名患者醫(yī)療賬單信息泄洞；LfeBridge Health公司遭惡意軟件攻擊，約50萬(wàn)名患者一年多的私人信息泄源；新加坡政府健康數(shù)據(jù)庫(kù)遭黑客攻擊，150萬(wàn)患者數(shù)據(jù)泄漏；UnityPoint Health遭釣魚(yú)攻擊140萬(wàn)患者記錄泄漏；美國(guó)實(shí)古斯塔大學(xué)醫(yī)療中心遭到網(wǎng)絡(luò)釣魚(yú)攻擊， 41.7萬(wàn)份記錄泄露……

諸多事件的發(fā)生足以顯示網(wǎng)絡(luò)安全的重要性，醫(yī)聯(lián)體各醫(yī)院網(wǎng)絡(luò)安全防護(hù)能力有高有底，只要有一個(gè)醫(yī)療機(jī)構(gòu)被突破，整個(gè)體系存在數(shù)據(jù)泄漏的可能。因此，鄒瀟湘將醫(yī)聯(lián)體的網(wǎng)絡(luò)安全比作木桶，“一點(diǎn)突破，滿盤(pán)皆輸”。

目前全國(guó)共有657家智慧醫(yī)療云平臺(tái)，其中北京的云平臺(tái)數(shù)量超過(guò)200家，廣東、浙江約100家，上海近70家，山東近50家，這四個(gè)城市是信息化產(chǎn)業(yè)生根的主要城市。

網(wǎng)信辦安全中心其中對(duì)79家進(jìn)行抽檢，結(jié)果顯示，57家平臺(tái)存在高危漏洞，13家平臺(tái)存在中危漏洞，89％的醫(yī)療機(jī)構(gòu)存在較為嚴(yán)重的安全風(fēng)險(xiǎn)。

黑客利用這些漏洞可以滲透攻擊PACS、HIS、病例管理等系統(tǒng)，嚴(yán)重影響平臺(tái)的正常運(yùn)行；刪改患者會(huì)診信息，耽誤患者治療；遠(yuǎn)程控制患者治療的試劑劑量，嚴(yán)重可造成患者死亡；竊取患者治療信息、基因等數(shù)據(jù)，泄露公民隱私。

因此，對(duì)于網(wǎng)絡(luò)安全中的諸多問(wèn)題，鄒瀟湘提出了以下建議。

一、關(guān)于標(biāo)準(zhǔn)規(guī)范和檢測(cè)認(rèn)證

1、研究面向人工智能醫(yī)療器械的網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)和可操作的測(cè)評(píng)規(guī)他及萬(wàn)法，研究相關(guān)標(biāo)準(zhǔn)規(guī)范，構(gòu)建網(wǎng)絡(luò)安全測(cè)試技術(shù)體系。

2． 對(duì)于醫(yī)療領(lǐng)域采用的重要系統(tǒng)與關(guān)鍵設(shè)備，應(yīng)該實(shí)施例行的入網(wǎng)安全檢測(cè)與認(rèn)證，必要時(shí)進(jìn)行全面的網(wǎng)絡(luò)安全審看，以全面掌握其安全性狀況。

3、通過(guò)安全檢測(cè)與認(rèn)證，建立統(tǒng)一的醫(yī)療行業(yè)網(wǎng)絡(luò)安全成脅情報(bào)庫(kù)和國(guó)家獺潤(rùn)信息共享平臺(tái)CNVD。

二、關(guān)于安全檢查和風(fēng)險(xiǎn)評(píng)估

1、上線前的風(fēng)險(xiǎn)評(píng)估：對(duì)于有聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）需求的醫(yī)療器械，須具備必要的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)防控能力。建議由行業(yè)主管部門(mén)統(tǒng)一組織或授權(quán)，針對(duì)安全防護(hù)措施對(duì)其進(jìn)行上線前的風(fēng)險(xiǎn)評(píng)估。

2、運(yùn)行中的安全檢查：對(duì)已聯(lián)網(wǎng)（外）或入網(wǎng)（內(nèi)）的醫(yī)療器械，建議由行業(yè)主管部門(mén)統(tǒng)一組織或授權(quán)，對(duì)其開(kāi)展不定期的遠(yuǎn)程遇檢或現(xiàn)場(chǎng)檢查，以全面掌握國(guó)家醫(yī)療器械的整體安全性狀況。

評(píng)估要素

三、關(guān)于態(tài)勢(shì)感知和預(yù)警

1、加強(qiáng)網(wǎng)絡(luò)安全主動(dòng)發(fā)現(xiàn)能力建設(shè)：通過(guò)在網(wǎng)絡(luò)空間開(kāi)展聯(lián)網(wǎng)設(shè)備、組件及系統(tǒng)的探測(cè)發(fā)現(xiàn)，有助于我們提前發(fā)現(xiàn)幕露在互聯(lián)網(wǎng)上的醫(yī)療器械及其組件。

2、加強(qiáng)網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警能力建設(shè)：通過(guò)在互聯(lián)網(wǎng)關(guān)鍵節(jié)點(diǎn)對(duì)醫(yī)療通信流量的監(jiān)測(cè)分析，有助于及時(shí)發(fā)現(xiàn)醫(yī)療器械網(wǎng)絡(luò)空間當(dāng)前狀態(tài)，并對(duì)下一步的發(fā)展態(tài)勢(shì)快速預(yù)測(cè)。

“‘有些重發(fā)展輕安全、重建設(shè)輕防護(hù)；有的認(rèn)為關(guān)起門(mén)來(lái)搞更安全，不愿立足開(kāi)放環(huán)境搞安全；有的認(rèn)為網(wǎng)絡(luò)安全是中央的事、專業(yè)部門(mén)的事，同自己無(wú)關(guān)’這些看法都是不正確的�！编u瀟湘總結(jié)到。

“要落實(shí)醫(yī)療器械網(wǎng)絡(luò)防護(hù)責(zé)任，行業(yè)、企業(yè)作為運(yùn)營(yíng)者承擔(dān)主體防護(hù)責(zé)任，主管部門(mén)履行好監(jiān)管責(zé)任。針對(duì)‘云、管、端’暴露的問(wèn)題，從醫(yī)療器械及其配套軟件、智慧云平臺(tái)系統(tǒng)安全和應(yīng)用安全的角度出發(fā)設(shè)計(jì)，建立醫(yī)療器械安全防護(hù)技術(shù)體系，全面提升健康數(shù)據(jù)保護(hù)能力和安全威脅防御能力�！�