全国政协委员王大明。(中国经济网记者 梅淑娥 摄)
中国经济网北京3月13日讯(中国经济信息记者 梅淑娥) 全国政协委员王大明今天在接受中国经济网记者采访时,提醒大家千万不要忽视自己的健康信息安全。他在全国两会上也呼吁要加强我国人口健康信息安全建设,保障公民健康信息安全。
王大明说,信息泄露(含破坏)将导致个人隐私泄露、业务瘫痪、经济损失,甚至危及国家安全。近3年信息泄露数量增长惊人,医疗信息泄露数量占全部泄露的20%,其产生的成本也最高。国务院和各行业在信息化建设相关政策中,均强调应提升信息安全保障能力。王大明委员在全国两会上提出提案,建议从管理规章制度建设、强化技术支撑、加强人才培养与储备和加强资金保障等四方面保护我国人口健康信息安全建设。
王大明谈到国家关于信息安全建设方面的情况。他说《国务院关于促进云计算创新发展培育信息产业新业态的意见》(国发〔2015〕5号)指出,“全球云计算处于发展初期,我国面临难得的机遇,但也存在服务能力较薄弱、核心技术差距大、信息资源开放共享不够、信息安全挑战突出等问题”,“强调提升安全保障能力,研究完善云计算和大数据环境下个人和企业信息保护”,“支持云计算安全软硬件技术产品的研发、试点示范和推广应用”。《国家卫生计生委国家中医药管理局关于加快推进人口健康信息化建设的指导意见》提出“全面建成全行业实用、共享、安全的人口健康信息网络体系”。其七项重点任务之一为“强化信息安全防护体系建设”。去年国家卫生计生委主任李斌在国家卫生计生委网络安全和信息化工作领导小组全体会议上要求,加快构建人口全覆盖、生命全过程、中西医并重的人口健康信息服务体系,促进健康医疗大数据应用,并强调要强化信息安全和标准规范管理,强化“红线预警”、“底线管理”和安全防护能力建设。
王大明对国内外医药卫生行业信息安全现状进行了介绍并对问题进行了分析。他说,2012年,美国犹他州78万人理疗数据泄露;2013年美国FBI发出警示:医药卫生行业已经成为黑客的攻击目标;2014年美国CommunityHealth集团公司信息系统遭攻击,导致450万病人信息泄露;2014年,韩国“大韩医生协会”等医疗界网站遭黑客攻击,15.6万条个人信息被泄露。由11个国家或地区的250多家组织参与的“2014年数据泄露成本调查”显示:数据泄露的成本(指由于数据泄露造成的经济等多方面损失)正在上升。个人医疗信息面临着日益增长的泄露威胁。近3年来,医疗数据泄露数量占全部泄露数量的近20%,且医疗数据泄露产生的成本也最高。
王大明罗列了我国医药卫生行业信息安全现状和问题:
1.2015年中国人寿某省系统存在漏洞百万客户信息泄露。泄露信息包括保单信息,微信支付信息,客户姓名、电话、身份证、住址、收入、职业等敏感信息。
2.2015年,重庆、上海、山西、沈阳、贵州、河南等超30个省市卫生和社保系统出现高危漏洞,仅社保类安全漏洞所导致的包括个人身份证、社保参保信息、财务、薪酬、房屋等敏感信息泄漏涉及人员数量达数千万。
3.我国医药卫生行业数据泄露事件逐年上升。2015年,湖南某市约30万学生体测隐私数据泄露;国内某三级甲等医院信息系统漏洞被利用,几十万条市民信息包括姓名、身份证号、联系电话、医保卡号等敏感信息泄露。福州多家三甲医院被黑客窃取了医院的“统方”(医生或部门一定时期内临床用药量信息统计)数据,被形成1325份药品销量报告,然后被高价盗卖。
4.2015年中央网信办组织国家网络安全检查,通过对电信、卫生、社保和14个中央部门进行现场抽查发现:大量个人隐私数据存在泄露风险、漏洞后门问题严重;医疗设备和外包服务的厂商不可控,保留了大量个人数据;同时移动APP的引入,增加了新的安全风险,信息安全风险隐患严重。
王大明对我国医药卫生行业信息安全问题进行了分析。他认为问题出现的原因主要有三个方面:
首先是管理方面。信息安全的政策、标准、管理和要求落实不到位;一些内部员工的日常操作不够规范,难免出现一些误操作,也有恶意泄露数据的行为;还有,单位对第三方维护人员的操作缺乏监控,使数据库数据有被泄露或篡改的风险。
其次是防护体系方面。重要信息系统的防护体系建设不足,防护手段过度依赖硬件。信息安全防护、审计等系统处于被动、单点防御状态,主动识别网络安全威胁、探测操作系统和数据库系统自身漏洞能力不强。信息管理人员对信息安全态势感知意识和处置能力较弱。
另外是人才、建设经费投入严重不足。卫生计生行业信息管理部门没有专业从事信息安全的人员。信息安全建设经费投入也极低。据不完全统计,国内三级甲等医院的信息安全建设经费,仅占信息化整体建设投入的不足3%;而国家网络安全检查工作专家组的共识是,信息安全建设经费应达到信息化整体投入的8-12%。
王大明建议:
1.出台管理规章制度。研究借鉴国外相关信息安全与个人隐私保护的法律法规,建议国家卫生计生委加快制订人口健康信息安全规划,切实加强对涉及国家利益、公共安全、个人隐私、商业秘密等敏感信息的保护;建立安全责任追究制度,规范、约束、管理涉及敏感信息的相关人员;适时建立相关规章和管理办法,必要时可推进出台国务院法规和人大立法。
2.强化技术支撑。加大科研力度,重视安全领域基础理论的突破,研究完善云计算和大数据环境下个人隐私保护和企业信息保护技术,研发安全软硬件技术产品。积极推动技术成果转化,把关键技术掌握在自己手里。根据不同行业,不同业务,适宜应用先进技术,强化技术支撑,确保信息安全。
3.加强人才培养与储备。加大体制内安全人才培养力度,不断加强信息安全教育,提升相关人员安全态势感知意识和能力。推进政府、高等院校、科研院所、医疗机构、企业安全人才共育模式。按照规模固定安全人员,建立人才储备机制。
4.加强资金保障。加大资金投入,将信息安全建设和运维经费列入财政预算,保证投资连续性,确保持续深入开展信息安全防护体系建设。加大信息安全建设投资额度,应达到本系统信息化整体建设投入的8-12%。
代表委员小资料
王大明,全国政协委员。北京医院主任医师,博士,教授、博士生导师,国务院政府特殊津贴获得者。
更多报道请见“中国信心——2016全国两会特别报道”