數據安全成為AI關注重點

網信辦安全中心鄒瀟湘在大會上進行了數據安全相關的主題演講，她表示：“在器審中心的指導下，根據CMDE《醫(yī)療器械網絡安全注冊技術審查指導原則》、FFDA《醫(yī)療設備網絡安全管理上市前指導原則》等文件，依托網信辦安全中心技術支持，我國已完成三項重要的醫(yī)療器械網絡安全測評工作�！边@些工作包括：

1． 制定20個網絡安全標準測試用例；

2． 對8家國內外主流廠商的15款產品開展安全測評；

3． 出具15份安全測評報告。

在醫(yī)療器械網絡安全的測評工作中，網信辦安全中心發(fā)現：醫(yī)療器械存在較多安全隱患且無法得到及時修復；廠商在設計時沒有考慮相應的安全性問題；而安全性提高需要得到醫(yī)院等醫(yī)療機構的配合。

前期測評中的大部分醫(yī)療器械制造商均未考慮健康數據傳輸過程中的保密性問題，在測試中，網信辦安全中心捕獲大量的明文健康數據。

捕獲狀況截圖

對于這一狀況，鄒瀟湘表示：“醫(yī)療機構在對健康數據進行歸檔、備份等數據傳輸操作時，尤其是通過公共互聯網傳輸敏感數據時，應該對敏感數據進行加密處理，否則可能造成醫(yī)療健康數據信息泄露�！�

智慧醫(yī)療云是另一個安全問題的重災區(qū)，這一平臺在將封閉孤立的醫(yī)療機構推向開放互聯的同時，也承擔著更為嚴峻的安全考驗。

統計顯示，僅在2018年，全球便發(fā)生了十余起10萬以上數據泄漏事件：俄克拉荷馬州立大學健康中心遭黑客入侵，近28萬名患者醫(yī)療賬單信息泄洞；LfeBridge Health公司遭惡意軟件攻擊，約50萬名患者一年多的私人信息泄源；新加坡政府健康數據庫遭黑客攻擊，150萬患者數據泄漏；UnityPoint Health遭釣魚攻擊140萬患者記錄泄漏；美國實古斯塔大學醫(yī)療中心遭到網絡釣魚攻擊， 41.7萬份記錄泄露……

諸多事件的發(fā)生足以顯示網絡安全的重要性，醫(yī)聯體各醫(yī)院網絡安全防護能力有高有底，只要有一個醫(yī)療機構被突破，整個體系存在數據泄漏的可能。因此，鄒瀟湘將醫(yī)聯體的網絡安全比作木桶，“一點突破，滿盤皆輸”。

目前全國共有657家智慧醫(yī)療云平臺，其中北京的云平臺數量超過200家，廣東、浙江約100家，上海近70家，山東近50家，這四個城市是信息化產業(yè)生根的主要城市。

網信辦安全中心其中對79家進行抽檢，結果顯示，57家平臺存在高危漏洞，13家平臺存在中危漏洞，89％的醫(yī)療機構存在較為嚴重的安全風險。

黑客利用這些漏洞可以滲透攻擊PACS、HIS、病例管理等系統，嚴重影響平臺的正常運行；刪改患者會診信息，耽誤患者治療；遠程控制患者治療的試劑劑量，嚴重可造成患者死亡；竊取患者治療信息、基因等數據，泄露公民隱私。

因此，對于網絡安全中的諸多問題，鄒瀟湘提出了以下建議。

一、關于標準規(guī)范和檢測認證

1、研究面向人工智能醫(yī)療器械的網絡安全相關標準和可操作的測評規(guī)他及萬法，研究相關標準規(guī)范，構建網絡安全測試技術體系。

2． 對于醫(yī)療領域采用的重要系統與關鍵設備，應該實施例行的入網安全檢測與認證，必要時進行全面的網絡安全審看，以全面掌握其安全性狀況。

3、通過安全檢測與認證，建立統一的醫(yī)療行業(yè)網絡安全成脅情報庫和國家獺潤信息共享平臺CNVD。

二、關于安全檢查和風險評估

1、上線前的風險評估：對于有聯網（外）或入網（內）需求的醫(yī)療器械，須具備必要的網絡安全風險防控能力。建議由行業(yè)主管部門統一組織或授權，針對安全防護措施對其進行上線前的風險評估。

2、運行中的安全檢查：對已聯網（外）或入網（內）的醫(yī)療器械，建議由行業(yè)主管部門統一組織或授權，對其開展不定期的遠程遇檢或現場檢查，以全面掌握國家醫(yī)療器械的整體安全性狀況。

評估要素

三、關于態(tài)勢感知和預警

1、加強網絡安全主動發(fā)現能力建設：通過在網絡空間開展聯網設備、組件及系統的探測發(fā)現，有助于我們提前發(fā)現幕露在互聯網上的醫(yī)療器械及其組件。

2、加強網絡安全監(jiān)測預警能力建設：通過在互聯網關鍵節(jié)點對醫(yī)療通信流量的監(jiān)測分析，有助于及時發(fā)現醫(yī)療器械網絡空間當前狀態(tài)，并對下一步的發(fā)展態(tài)勢快速預測。

“‘有些重發(fā)展輕安全、重建設輕防護；有的認為關起門來搞更安全，不愿立足開放環(huán)境搞安全；有的認為網絡安全是中央的事、專業(yè)部門的事，同自己無關’這些看法都是不正確的�！编u瀟湘總結到。

“要落實醫(yī)療器械網絡防護責任，行業(yè)、企業(yè)作為運營者承擔主體防護責任，主管部門履行好監(jiān)管責任。針對‘云、管、端’暴露的問題，從醫(yī)療器械及其配套軟件、智慧云平臺系統安全和應用安全的角度出發(fā)設計，建立醫(yī)療器械安全防護技術體系，全面提升健康數據保護能力和安全威脅防御能力�！�