新思科技:医疗信息化的利与弊

作者:新思科技首席顾问Dan Lyon

患者信息泄露、医疗数据被篡改、遭受勒索等等网络攻击并不少见。甚至一些维持生命的医疗机器,如心脏起搏器,也有面临恶意攻击的可能性。医疗信息泄露轻则会侵犯到个人隐私,重则会危及患者生命。这是发展医疗大数据背景下不得不面对的挑战。

信息安全和医疗的交集很微妙。信息安全纳入医疗为患者和医护专业人员带来诸多裨益;同时,这也给医护及安全专家带来此前从未考虑过的问题。积极的一面是凭借多种互联设备,患者可以省去人工办理各种手续的麻烦,直接受益于自动化。此外,他们也可以更方便地管理个人信息,并通过网络查询到历史数据。手机等消费者技术的整合意味着患者和护理人员都可以根据需要访问数据,并参考这些信息以便做出明智的决定。这些优势都能够帮助患者提升就医体验。

然而,随着人们对网络的依赖程度越来越强,各种互联设备(包括手机)也越来越多,安全隐患也日益凸显。此前有文章提到了起搏器和除颤器的安全风险问题,媒体对此争相报道。即使安全隐患是不存在的,但类似的事件仍然会让患者产生担忧。最糟糕的情况是他们甚至会因此放弃有利的治疗方案,以避免潜在的安全隐患。

如何设计出安全性与实用性并驾齐驱的系统将会是另一项严峻的挑战。关于设备的实用性,有部分取决于使用它们的患者人群是谁。比如年长的患者与年轻患者有着截然不同的科技使用基础。一些对年轻患者适用的设备对年长的患者也许就不具有实用性了。

密码是结合安全性与实用性的一个重要手段。密码保护基础上的系统能进行技术安全控制,提供必要的安全保障,但只有在某些条件下才能实现。用户选择的密码直接影响安全性。这也是为什么许多网页要求用户设置的密码需要一定长度、含有数字、字母和特殊字符。

出于安全性的考虑,完全随机的超长密码可以提供最高强度的保护。但从实用性的角度,过长且完全随机的密码很难被记住,因此这种密码并不推荐。在传统的计算机系统里,有一些叫做密码管家的技术可以帮助解决这一问题。他们可以储存并找回随机设置的超长密码,这样用户就不必费心记住密码了。有些安全专家考虑使用密码管家,这样人们可安全地使用任何基于密码的系统。但是问题也随即产生,许多医疗设备通常不允许用户安装密码管家之类的外部软件。这一规定会导致用户使用简单的密码。这些密码很容易被猜出来,从而对整个系统内的安全控制都产生了威胁。在这类问题中,找到实用性与安全性的平衡点十分关键。合理的安全控制措施取决于患者人群、使用场合和使用环境。

这一问题在互联设备中更加突出。2017年8月30日,美国食品药品监督管理局发表了一篇安全通告,指出凡是使用六种特定的起搏器和CRT-P(心脏再同步治疗起搏器)装置中任何一种的患者应考虑更新软件以便修复安全漏洞。美国食品药品监督管理局发布安全补丁的举措显示了医疗互联设备所面临的困难。这其中包括人身安全与信息安全之间的矛盾,患者和医生评估安全风险的能力以及漫长的医疗设备产品发布周期。

该安全补丁已经发布,用以修复为支持紧急护理而设计的硬编码解锁代码。这显示了植入设备在人身安全和信息安全方面现存的矛盾。医疗设备常常需要具备急诊救治功能,因此患者们可以在有需要的时刻得到可能挽救生命的治疗。然而,这一功能也有安全隐患,它可能被不法分子利用,进而造成严重后果。在产品研发过程中找到平衡点,化解这个矛盾必不可少。这也解释了为什么需要一个全面、系统的项目来确保安全性。这一点软件安全构建成熟度模型(BSIMM)也指出过。

总的来说,医疗产品可以为患者提供便利,但同时也带来了一定的风险。最广为人知的风险即是处方药的副作用。举个例子,止咳药在缓解咳嗽的同时也会导致少数人群出现嗜睡的生理反应;外科手术也相似。医生会和患者解释手术的裨益,也会说明潜在的风险,比如术后感染。这些风险有时非常可怕,不过它们发生的概率极小。在这些例子中,医生和患者之间有关手术利弊的讨论是以科学研究为依据,风险会根据真实病例归类,用百分比表示出来。大多数人可以理解“千分之一的人会产生嗜睡反应”的概念,在知情的情况下做出决定。

但是,这类数据并不存在于安全漏洞中。因此,患者与其医生之间的利弊讨论不是基于经验证据。医疗行业需要一套能分析安全性利弊的替代方案。

应对安全性问题

医学设备行业发布补丁通常周期都很长。尽管美国食品药品监督管理局已经说明那些严格针对安全漏洞的发布不再需要遵循同样的质量体系规定流程,但是制造商仍有责任确保他们的系统更新安全有效。换句话说,安装的软件补丁仍需要严格的分析、研发、认证和验证,以确保其按预期运行并且不会引入新的风险。补丁可能会产生不利的影响(比例高达30%),近期发生的Spectre 及 Meltdown处理器安全漏洞就是很好的例子。制造商需要实行必要的测试以确保所有修补都能正常运行。

医疗设备安全主要涉及识别和减少风险。制造商需要在整个研发生命周期融入信息安全风险管理,这个流程的重要性和人身安全风险管理是一样的。这意味着他们需要开展结构风险分析、威胁模型分析、自动代码审查以及安全测试等活动。

这是一个广泛涉及医疗护理和信息安全问题,就像修补单个设备一样。这里有一份骇人的数据:三分之一的医疗应用程序毫无隐私条款;三分之一会与第三方共享信息;另外三分之一则完全没有采取加密方式来保护用户信息。有鉴于此,许多人建议医疗护理行业应该对个人隐私管理进行变革。

如果你在下载一款医疗应用程序,那么你极有可能在毫不知情的情况下泄露了个人信息。虽然医疗应用程序在上市前必须进行加密,但它们大部分都不满足这一条件。消费者应该明白,要获得这些移动医疗应用程序的好处,他们将失去对其私人健康数据的控制权。

此外,想象一下,你无意中通过移动应用程序提交的数据,却用于将你的生物信息与潜在的医学疾病联系起来。这信息是否应该传达给你?应该如何呈现?甚至你想知道自己是否在追求一些可能不会发生的事情吗? 总而言之,安全性可以推动新型医疗模式的发展,为患者带来巨大利益,但同时也是许多困扰的根源。为了让患者充分受益,信息安全性必须成为医疗机构的首要关注点。