中国的医药行业正面临新一轮变革,国内的政策环境,产业结构和病患需求都在发生快速变化。突如其来的新冠疫情更是加速了医药产业的数字化进程,为医药产业管理、医药资源配置以及创新药物科研等方面带来前所未有的发展前景与机遇。在急速的数字化过程中引入新技术新业务应用的同时,也引发医药行业数字化风险的加速暴露,尤其在网络安全领域,由于忽视网络安全及数据隐私导致的安全事件及合规问题层出不穷。在新冠疫情期间,已发生多起网络安全事件,如重点疫区返乡人员名单、个人近期旅行记录、密切接触者名单等敏感信息在互联网中被大肆转载流传。因此,医药企业在拥抱数字化转型、开启创新商业模式时,必须及时将网络安全纳入整体风险管理重点。
本文聚焦于医药保健以及生命科学行业面临的网络安全风险与挑战,结合普华永道对于行业的深入洞察以及多年经验累积,剖析网络安全要求与业务应用的关联性,为医药企业梳理数字化转型过程的网络安全风险管理重点。
风险一:安全职能缺失
尽管大多企业已越来越重视网络安全,但普华永道发现,仍有相当数量的医药企业至今仍未设置网络安全职能,这其中不乏跨国医药企业。《网络安全法》是一套复杂且多样的各类法律法规组成的有机体系,涉及安全组织、数据保护、隐私保护、网络安全等级保护、关键基础设施保护等多个领域。如果没有熟悉《网络安全法》体系且具备一定安全技术背景的安全部门配合落实网络安全工作,企业除了在安全技术领域缺乏管控,还会增加潜在的网络安全合规风险,更不用说法规体系内清晰定义了安全管理角色的重要性。
本土企业通常任命IT职能部门人员兼任网络安全责任人员,然而,这些人员往往对行业相关网络安全的要求并不熟悉,开展网络安全工作亦不能达到合规及相关标准的要求。对于总部在海外的跨国企业,如果仅由总部设立的网络安全部门负责全球分支企业的安全管理工作,相关人员则可能缺乏对中国网络安全要求的认知,同时也导致缺少国内安全专职人员配合总部开展安全及合规工作。对国内分公司的影响则是,本地IT职能部门没有适当的身份用以推动网络安全合规落实,又缺乏熟悉安全要求的安全合规官将总部决议有效传达给国内分支机构,导致企业只能在安全事件发生后再采取被动的响应措施,无法建立预先防护的主动地位。
不难看出,在中国设立专职的网络安全管理角色是实现对上协助总部实施合规决议,对外熟悉本地要求以及沟通工作,对内积极规划落实合规目标的最优选择。
风险二:缺乏管理层安全支持
企业的网络安全工作从来都不应完全依赖于某个信息安全官,或一个安全部门。一套完整的安全工作,应由管理层定调、中层管理宣贯、基层人员落实。即管理层对安全、合规工作持续关注,中层安全与合规部门、IT部门以及业务部门之间完成跨部门协作,基于管理层的合规基调对复杂业务场景实现标准强化,并指导基层人员达到合规要求,确保安全合规建设的贯彻落实。通过自上而下的方法,管理层充分意识到网络安全的重要性并持续鼎力支持网络安全工作的推行,才能让网络安全贯彻企业内部。
风险三:第三方安全管理缺失
企业内部的安全工作由上而下共同完成,外部的安全隐患也不容忽略。缺乏第三方的安全管理会导致企业暴露在安全风险中。医药行业的第三方除了系统服务商,还有包括全球各地的供应商、业务相关的服务商、律师事务所、临床研究等等,这些第三方组织都有可能成为医药企业数据泄露或网络安全威胁的源头。近几年来,由于第三方服务商被攻击而导致客户信息丢失的案例屡见不鲜。比如,企业在与第三方服务商合作时仅针对第三方资质以及服务内容的审阅,而IT网络安全,及合规部门未能对第三方网络安全能力进行评估,或未能明确双方的网络安全保护责任。这其中引发的风险或可能的结果有:(1)无法保证第三方在网络安全领域有足够的能力来保障交付,(2)一旦发生安全事件,由于合同未明确双方责任,导致权责划分不清。企业只能自行承担由病患数据、研发数据、甚至知识产权等的损害而影响企业声誉的后果。综上所述,如缺乏第三方网络安全的管理,企业往往需要后续投入大量人力和财力实施补救措施。
风险四:《网络安全法》及相关法律法规合规风险
自《中华人民共和国网络安全法》于2017年6月1日正式实施以来,医药企业纷纷从《网络安全法》为出发点,对企业信息系统开展一系列的安全评估工作。
《网络安全法》第二十一条阐明:“国家实行等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安保义务,保障网络免受干扰、破坏或未经授权的访问,防止网络数据泄露或者被窃取、篡改……”。
《网络安全法》第三十一条阐明:“关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护”。
网络安全等级保护是《网络安全法》明确要求的义务与责任,其核心的系列标准已经于2019年12月1日开始实施。网络运营者开展《网络安全法》合规性审查以及等级保护备案工作,已成了企业满足行业监管要求的核心工作之一。同时,通过建立网络安全等级保护技术和管理体系,也可以帮助企业完善整体网络安全体系,明确安全责任,提升安全意识,提升安全事件感知和响应能力,强化用户数据安全保护措施,提高整体安全防御能力。值得强调的是,所有在中国境内建设、运营、维护和使用网络,以及网络安全的监督管理均适用《网络安全法》,这囊括了在中国境内使用信息系统的医药企业。因此,尚未开展《网络安全法》合规及等级保护工作的医药企业,需要尽早开始逐步开展合规及等级保护等工作。
风险五:医药数据保护
除落实上述网络安全等级保护等合规工作外,在《网络安全法》及其相关法律法规的背景下,医药企业因其特有的医药、病患等数据的性质,还应注重数据安全与隐私保护的合规。企业运营中产生了大量且复杂的数据,给合规工作增添了不小难度。
因此,普华永道强烈建议还未开展相关数据保护的医药企业,在实施数据与隐私保护工作前首先考虑进行数据资产的梳理并科学合理地进行数据分级分类,以此判断与之对应的网络安全合规要求。如果企业已经开展数据分类工作,不仅需考虑从医药行业的监管角度出发,还需要关注人口健康信息、病历、医药器械相关健康数据与设备数据等。这也符合《网络安全法》及相关法律法规中规定的数据监管体系一致,更加明确《网络安全法》体系下需要符合的要求。普华永道从《网络安全法》的角度梳理了以下几个代表性数据类型:
不难看出,《网络安全法》合规体系下的医药行业,因为拥有大量个人数据及个人敏感数据而格外受到关注。医药企业开展数据安全保护工作时,既要关注行业本身的规范与要求,也需结合《网络安全法》相关的监管要求。
风险六:数字化转型带来的新安全风险
结合医药数据的分类与医药行业的普遍情况,普华永道将网络安全要求与一些行业特有业务场景进行了关联与总结,切合实际地为企业顺利开展网络安全工作提供方向。
互联网医药(如:在线健康咨询、开药、药品配送等)
近几年来,我国正积极推动“互联网+医药”的发展,包括互联网医院、网上预约诊疗、远程医药、健康资讯、院间转诊、医药电商、临床研究等。2020年初爆发的新冠肺炎疫情,更是清晰印证了互联网医药的便捷与重要性。我国的政府相关主管部门已在进一步推动医药等相关企业加快构建互联网医药新体系,而其中的风险重点之一在于个人信息的合规。2017年颁布的《GBT 35273-2017信息安全技术 个人信息安全规范*》中对个人信息的收集及使用提出了具体要求。根据普华永道的调研,目前众多医药机构内部网络架构由于系统老旧等原因存在极大的安全威胁,而且未能得到很好的解决。这些风险都会在医药企业互联网化的过程中暴露出来,进而影响互联网医药的业务运营及网络安全。*新标准《GBT 35273-2020 信息安全技术 个人信息安全规范》已发布,将在2020年10月1日生效。
医药物联网(IoT)
除了互联网医药,医药物联网也是企业数字化转型的重要挑战。目前医药物联网可能涉及到如药品追踪、体征监测、移动护理等多个应用场景。用于人体健康护理的可穿戴传感器设备是比较典型的医药物联网设备。这些医疗物联网设备生成的数据包含了个人信息及敏感信息,例如病患人员的血压、血型、药物史、过敏史等。这其中的数据采集、传输、处理、应用都需要做到分级分类、加密、监控、持续管理等多项安全管理工作。
同时,医药物联网的安全不仅仅是数据泄露,2019年3月,美国国土安全部警告称,某医疗科技公司生产的心脏除颤器存在严重缺陷,植入患者体内后,黑客可利用无线电通讯完全控制这些设备,在不知情的情况下夺去病人的生命。这些风险都对维护医药物联网的安全提出了更高的要求。
医药企业工业控制系统安全
药品生产对于医药企业来说一直是信息保护的重中之重,一般医药企业从药品的生产原材料、物流、人员、设备、生产过程、质量控制等一系列药品生产流程都十分谨慎。医药器械也在近年来飞速发展。生产管理系统(MES)系统在传统制造业之外,给药品生产质量与生命周期管理提供有效管控,同时降低合规成本。
从网络安全角度出发,医药企业还应该关注工厂整体安全架构如安全运维(远程运维工具及通讯安全、设备可用性)、安全防御、安全响应、安全监测等。《网络安全法》体系下的工业控制系统安全检查已成为各地主管机构每年网络安全执法的重点领域。工信部印发的《工业控制系统信息安全防护指南》、《工业控制系统安全管理标准》、《智慧工厂安全控制要求标准》等法规标准,都是制药企业在工厂生产管理时需要考虑的合规要求。
医药移动业务安全(App、企业微信、微信公众号等)
当前的数字化时代,医药企业也在不断发展移动业务,例如面向员工、医生、医药代表、病患的移动App。普华永道建议,在设计和研发App阶段应参考App违法违规收集使用个人信息专项治理工作组( “APP专项治理工作组”)发表的相关指南或规范,如《App违法违规收集使用个人信息自评估指南》、《信息安全技术 移动互联网应用程序(App)收集个人信息基本规范(草案)》等。
另外,众多医药企业利用企业微信、微信公众号以及小程序等作为内部和外部的沟通渠道。这些平台往往由第三方开发或运维,前文提及的第三方安全管理在此刻就显得尤为重要。其次,许多医药企业微信公众号在发布信息内容外,还会有交互功能,如文献查阅功能、预约研讨会或为病患用户提供服务功能等。
医药企业微信公众号等对外渠道多由业务部门如市场部门负责,一般以用户体验及营销等目的为主。出于业务部门的需求,可能会存在过量或不合理收集个人信息乃至个人敏感信息的情形。普华永道的调研发现,部分医药企业微信公众号等平台未能根据《个人信息安全规范》等要求进行个人信息最小化收集、使用及披露等。甚至,一些企业可能时至今日还在使用数年前的隐私声明等。在此情形下,一旦发生安全事件,可能会导致企业遭受处罚及声誉风险。
医药行业网络安全管理的主要领域
综上所述,医药企业在网络安全管理领域仍面临各种各样的挑战和风险。普华永道总结了医药企业在网络安全管理领域需要关注的七个主要领域,即管理层支持、安全职能、安全合规、物联网安全、数据保护、第三方安全管理、工控安全。我们建议医药企业可以从几方面开始,建立和完善企业网络安全管理能力。
当下,加速推动医药行业数字化转型已经成为大势所趋,医药企业都在关注快速变化的政策和市场,与时间赛跑,建立创新商业模式。然而,除了重视传统医药的研发与进步,企业需要清楚定位并理解数字化建设的目标,在转型的道路上稳扎稳打,谨慎做出每一项决定,避免因一时疏忽或不重视而导致在严监管的医药领域中成为监管年度重大安全案例中的“某医药企业”。
