医疗行业数据安全的主要风险和应对分析（一）

医疗行业数据安全的主要风险和应对分析

依据 Verizon 数据泄露报告中对客观现状、数据分布和数据流动等方面综合分析，医疗行业数据安全的主要风险包括如下几个方面：

一、人的安全风险和对策

1

人的安全风险是医疗数据安全的最大风险

从 Verizon 报告可以看出医疗行业数据安全的特殊性：医疗行业是所有行业中唯一一个内部威胁大于外部威胁的行业，内部威胁占比60%，外部威胁占43%。总体来看，各行业平均攻击类型是：70%为外部威胁，30%为内部威胁。下图就数据泄露的几个主要行业做了对比，包括：医疗、金融、政府、信息服务、制造业、零售、酒店餐饮。

由于缺乏医疗行业的独立数据，我们以全行业数据来看威胁的构成。从全行业来看，在外部人员导致的泄漏事件中，62%都来自有组织的犯罪团伙；在内部威胁中，25.9%都跟企业系统管理员有关，终端用户占22.3%，医生或护士占11.5%，开发人员占5%。从这里可以看到很亮的数据：医生或者护士占11.5%。医生和护士只有在医疗行业才存在，也就是说，医生或护士造成的内部数据泄露事件在全行业中占据了11.5%的比例。

2

人具有复杂的情绪变化特征

在数字化的今天，当我们谈及数据，都会对其充满期待和憧憬。数据是永不生锈的资产，是新经济时代的原油，是黄金和财富，是一切生产的生产资料。当其成为重要资产、巨额财富的时候，现实生活中一切关于资产安全、财富安全的管理措施都可以成为数据安全领域的参照。数据安全的本质是人的安全，只要人人都遵守规则和约束去访问数据，数据自然就安全了，但这只能是乌托邦色彩的梦想。我们每家机构和企业都制定了一系列的安全生产规章制度，这些规章制度无论针对人或者财物，最终都会作用在人身上。如果没有适当的技术实施手段，仅依赖于教育和培训，很难使流程和制度落地，数据安全最终也就会落空。

人既有复杂情绪变化的非理性，又有利益得失计算的理性。这种理性和非理性的交错让人的安全充满着巨大挑战。