中國的醫藥行業正面臨新一輪變革,國內的政策環境,產業結構和病患需求都在發生快速變化。突如其來的新冠疫情更是加速了醫藥產業的數字化進程,為醫藥產業管理、醫藥資源配置以及創新藥物科研等方面帶來前所未有的發展前景與機遇。在急速的數字化過程中引入新技術新業務應用的同時,也引發醫藥行業數字化風險的加速暴露,尤其在網絡安全領域,由於忽視網絡安全及數據隱私導致的安全事件及合規問題層出不窮。在新冠疫情期間,已發生多起網絡安全事件,如重點疫區返鄉人員名單、個人近期旅行記錄、密切接觸者名單等敏感信息在互聯網中被大肆轉載流傳。因此,醫藥企業在擁抱數字化轉型、開啟創新商業模式時,必須及時將網絡安全納入整體風險管理重點。
本文聚焦於醫藥保健以及生命科學行業面臨的網絡安全風險與挑戰,結合普華永道對於行業的深入洞察以及多年經驗累積,剖析網絡安全要求與業務應用的關聯性,為醫藥企業梳理數字化轉型過程的網絡安全風險管理重點。
風險一:安全職能缺失
儘管大多企業已越來越重視網絡安全,但普華永道發現,仍有相當數量的醫藥企業至今仍未設置網絡安全職能,這其中不乏跨國醫藥企業。《網絡安全法》是一套複雜且多樣的各類法律法規組成的有機體系,涉及安全組織、數據保護、隱私保護、網絡安全等級保護、關鍵基礎設施保護等多個領域。如果沒有熟悉《網絡安全法》體系且具備一定安全技術背景的安全部門配合落實網絡安全工作,企業除了在安全技術領域缺乏管控,還會增加潛在的網絡安全合規風險,更不用說法規體系內清晰定義了安全管理角色的重要性。
本土企業通常任命IT職能部門人員兼任網絡安全責任人員,然而,這些人員往往對行業相關網絡安全的要求並不熟悉,開展網絡安全工作亦不能達到合規及相關標準的要求。對於總部在海外的跨國企業,如果僅由總部設立的網絡安全部門負責全球分支企業的安全管理工作,相關人員則可能缺乏對中國網絡安全要求的認知,同時也導致缺少國內安全專職人員配合總部開展安全及合規工作。對國內分公司的影響則是,本地IT職能部門沒有適當的身份用以推動網絡安全合規落實,又缺乏熟悉安全要求的安全合規官將總部決議有效傳達給國內分支機構,導致企業只能在安全事件發生後再採取被動的響應措施,無法建立預先防護的主動地位。
不難看出,在中國設立專職的網絡安全管理角色是實現對上協助總部實施合規決議,對外熟悉本地要求以及溝通工作,對內積極規劃落實合規目標的最優選擇。
風險二:缺乏管理層安全支持
企業的網絡安全工作從來都不應完全依賴於某個信息安全官,或一個安全部門。一套完整的安全工作,應由管理層定調、中層管理宣貫、基層人員落實。即管理層對安全、合規工作持續關注,中層安全與合規部門、IT部門以及業務部門之間完成跨部門協作,基於管理層的合規基調對複雜業務場景實現標準強化,並指導基層人員達到合規要求,確保安全合規建設的貫徹落實。通過自上而下的方法,管理層充分意識到網絡安全的重要性並持續鼎力支持網絡安全工作的推行,才能讓網絡安全貫徹企業內部。
風險三:第三方安全管理缺失
企業內部的安全工作由上而下共同完成,外部的安全隱患也不容忽略。缺乏第三方的安全管理會導致企業暴露在安全風險中。醫藥行業的第三方除了系統服務商,還有包括全球各地的供應商、業務相關的服務商、律師事務所、臨床研究等等,這些第三方組織都有可能成為醫藥企業數據洩露或網絡安全威脅的源頭。近幾年來,由於第三方服務商被攻擊而導致客戶信息丟失的案例屢見不鮮。比如,企業在與第三方服務商合作時僅針對第三方資質以及服務內容的審閱,而IT網絡安全,及合規部門未能對第三方網絡安全能力進行評估,或未能明確雙方的網絡安全保護責任。這其中引發的風險或可能的結果有:(1)無法保證第三方在網絡安全領域有足夠的能力來保障交付,(2)一旦發生安全事件,由於合同未明確雙方責任,導致權責劃分不清。企業只能自行承擔由病患數據、研發數據、甚至知識產權等的損害而影響企業聲譽的後果。綜上所述,如缺乏第三方網絡安全的管理,企業往往需要後續投入大量人力和財力實施補救措施。
風險四:《網絡安全法》及相關法律法規合規風險
自《中華人民共和國網絡安全法》於2017年6月1日正式實施以來,醫藥企業紛紛從《網絡安全法》為出發點,對企業信息系統開展一系列的安全評估工作。
《網絡安全法》第二十一條闡明:“國家實行等級保護制度。網絡運營者應當按照網絡安全等級保護制度的要求,履行下列安保義務,保障網絡免受干擾、破壞或未經授權的訪問,防止網絡數據洩露或者被竊取、篡改……”。
《網絡安全法》第三十一條闡明:“關鍵信息基礎設施,在網絡安全等級保護制度的基礎上,實行重點保護”。
網絡安全等級保護是《網絡安全法》明確要求的義務與責任,其核心的系列標準已經於2019年12月1日開始實施。網絡運營者開展《網絡安全法》合規性審查以及等級保護備案工作,已成了企業滿足行業監管要求的核心工作之一。同時,通過建立網絡安全等級保護技術和管理體系,也可以幫助企業完善整體網絡安全體系,明確安全責任,提升安全意識,提升安全事件感知和響應能力,強化用戶數據安全保護措施,提高整體安全防禦能力。值得強調的是,所有在中國境內建設、運營、維護和使用網絡,以及網絡安全的監督管理均適用《網絡安全法》,這囊括了在中國境內使用信息系統的醫藥企業。因此,尚未開展《網絡安全法》合規及等級保護工作的醫藥企業,需要儘早開始逐步開展合規及等級保護等工作。
風險五:醫藥數據保護
除落實上述網絡安全等級保護等合規工作外,在《網絡安全法》及其相關法律法規的背景下,醫藥企業因其特有的醫藥、病患等數據的性質,還應注重數據安全與隱私保護的合規。企業運營中產生了大量且複雜的數據,給合規工作增添了不小難度。
因此,普華永道強烈建議還未開展相關數據保護的醫藥企業,在實施數據與隱私保護工作前首先考慮進行數據資產的梳理併科學合理地進行數據分級分類,以此判斷與之對應的網絡安全合規要求。如果企業已經開展數據分類工作,不僅需考慮從醫藥行業的監管角度出發,還需要關注人口健康信息、病歷、醫藥器械相關健康數據與設備數據等。這也符合《網絡安全法》及相關法律法規中規定的數據監管體系一致,更加明確《網絡安全法》體系下需要符合的要求。普華永道從《網絡安全法》的角度梳理了以下幾個代表性數據類型:
不難看出,《網絡安全法》合規體系下的醫藥行業,因為擁有大量個人數據及個人敏感數據而格外受到關注。醫藥企業開展數據安全保護工作時,既要關注行業本身的規範與要求,也需結合《網絡安全法》相關的監管要求。
風險六:數字化轉型帶來的新安全風險
結合醫藥數據的分類與醫藥行業的普遍情況,普華永道將網絡安全要求與一些行業特有業務場景進行了關聯與總結,切合實際地為企業順利開展網絡安全工作提供方向。
互聯網醫藥(如:在線健康諮詢、開藥、藥品配送等)
近幾年來,我國正積極推動“互聯網+醫藥”的發展,包括互聯網醫院、網上預約診療、遠程醫藥、健康資訊、院間轉診、醫藥電商、臨床研究等。2020年初爆發的新冠肺炎疫情,更是清晰印證了互聯網醫藥的便捷與重要性。我國的政府相關主管部門已在進一步推動醫藥等相關企業加快構建互聯網醫藥新體系,而其中的風險重點之一在於個人信息的合規。2017年頒佈的《GBT 35273-2017信息安全技術 個人信息安全規範*》中對個人信息的收集及使用提出了具體要求。根據普華永道的調研,目前眾多醫藥機構內部網絡架構由於系統老舊等原因存在極大的安全威脅,而且未能得到很好的解決。這些風險都會在醫藥企業互聯網化的過程中暴露出來,進而影響互聯網醫藥的業務運營及網絡安全。*新標準《GBT 35273-2020 信息安全技術 個人信息安全規範》已發佈,將在2020年10月1日生效。
醫藥物聯網(IoT)
除了互聯網醫藥,醫藥物聯網也是企業數字化轉型的重要挑戰。目前醫藥物聯網可能涉及到如藥品追蹤、體徵監測、移動護理等多個應用場景。用於人體健康護理的可穿戴傳感器設備是比較典型的醫藥物聯網設備。這些醫療物聯網設備生成的數據包含了個人信息及敏感信息,例如病患人員的血壓、血型、藥物史、過敏史等。這其中的數據採集、傳輸、處理、應用都需要做到分級分類、加密、監控、持續管理等多項安全管理工作。
同時,醫藥物聯網的安全不僅僅是數據洩露,2019年3月,美國國土安全部警告稱,某醫療科技公司生產的心臟除顫器存在嚴重缺陷,植入患者體內後,黑客可利用無線電通訊完全控制這些設備,在不知情的情況下奪去病人的生命。這些風險都對維護醫藥物聯網的安全提出了更高的要求。
醫藥企業工業控制系統安全
藥品生產對於醫藥企業來說一直是信息保護的重中之重,一般醫藥企業從藥品的生產原材料、物流、人員、設備、生產過程、質量控制等一系列藥品生產流程都十分謹慎。醫藥器械也在近年來飛速發展。生產管理系統(MES)系統在傳統制造業之外,給藥品生產質量與生命週期管理提供有效管控,同時降低合規成本。
從網絡安全角度出發,醫藥企業還應該關注工廠整體安全架構如安全運維(遠程運維工具及通訊安全、設備可用性)、安全防禦、安全響應、安全監測等。《網絡安全法》體系下的工業控制系統安全檢查已成為各地主管機構每年網絡安全執法的重點領域。工信部印發的《工業控制系統信息安全防護指南》、《工業控制系統安全管理標準》、《智慧工廠安全控制要求標準》等法規標準,都是製藥企業在工廠生產管理時需要考慮的合規要求。
醫藥移動業務安全(App、企業微信、微信公眾號等)
當前的數字化時代,醫藥企業也在不斷髮展移動業務,例如面向員工、醫生、醫藥代表、病患的移動App。普華永道建議,在設計和研發App階段應參考App違法違規收集使用個人信息專項治理工作組( “APP專項治理工作組”)發表的相關指南或規範,如《App違法違規收集使用個人信息自評估指南》、《信息安全技術 移動互聯網應用程序(App)收集個人信息基本規範(草案)》等。
另外,眾多醫藥企業利用企業微信、微信公眾號以及小程序等作為內部和外部的溝通渠道。這些平臺往往由第三方開發或運維,前文提及的第三方安全管理在此刻就顯得尤為重要。其次,許多醫藥企業微信公眾號在發佈信息內容外,還會有交互功能,如文獻查閱功能、預約研討會或為病患用戶提供服務功能等。
醫藥企業微信公眾號等對外渠道多由業務部門如市場部門負責,一般以用戶體驗及營銷等目的為主。出於業務部門的需求,可能會存在過量或不合理收集個人信息乃至個人敏感信息的情形。普華永道的調研發現,部分醫藥企業微信公眾號等平臺未能根據《個人信息安全規範》等要求進行個人信息最小化收集、使用及披露等。甚至,一些企業可能時至今日還在使用數年前的隱私聲明等。在此情形下,一旦發生安全事件,可能會導致企業遭受處罰及聲譽風險。
醫藥行業網絡安全管理的主要領域
綜上所述,醫藥企業在網絡安全管理領域仍面臨各種各樣的挑戰和風險。普華永道總結了醫藥企業在網絡安全管理領域需要關注的七個主要領域,即管理層支持、安全職能、安全合規、物聯網安全、數據保護、第三方安全管理、工控安全。我們建議醫藥企業可以從幾方面開始,建立和完善企業網絡安全管理能力。
當下,加速推動醫藥行業數字化轉型已經成為大勢所趨,醫藥企業都在關注快速變化的政策和市場,與時間賽跑,建立創新商業模式。然而,除了重視傳統醫藥的研發與進步,企業需要清楚定位並理解數字化建設的目標,在轉型的道路上穩紮穩打,謹慎做出每一項決定,避免因一時疏忽或不重視而導致在嚴監管的醫藥領域中成為監管年度重大安全案例中的“某醫藥企業”。
