在数字化时代,数据安全不容忽视,已经成为各行各业的重要议题,尤其是医药行业,数据的敏感性和重要性不言而喻。
01
事件回顾
近期,日本赛诺菲数据泄露事件再次敲响了医药行业信息安全的警钟。
当地时间8月28日,赛诺菲(日本)宣布,外部有人未经授权访问其部分数据库,存储的个人信息可能已被泄露。
被非法访问的信息包括日本医疗专业人员和公司员工的信息,包括733,820名医疗专业人员的姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址、职务和姓名。
工作类型、医疗部门以及 1,390 名员工的姓名等信息均被泄露。
事件起因是一名海外外包顾问违反规定将数据库ID保存在自己的个人电脑上,导致该电脑感染恶意软件。
被非法访问的个人信息不包括信用卡或银行账户信息,且已确认不存在泄露或未经授权使用等二次损害。
赛诺菲已经设立专门的呼叫中心答复医疗专业人员的询问。
个人信息泄露事件让涉事人员对个人信息的安全性感到担忧。作为医疗专业人员,个人信息(包括姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址、职务等)一旦泄露,可能会被不法分子用于诈骗、身份盗窃或其他恶意目的。
相关人士也对赛诺菲(日本)披露信息的及时性产生了质疑,赛诺菲(日本)8月28日披露此次个人信息泄露事件,但未经授权的访问早在 7 月 10 日至 14 日期间就已经发生。
部分人员称,“作为大型药企也能发生这种安全漏洞,让医疗人员对药企信任产生担忧。”
02
医药行业信息安全现状
2024年6月发布的Verizon《2024年数据泄露调查报告》显示:
医疗健康行业1378起安全事件中,1220起已确认数据泄露,数据泄露发生频率高达88.5%,在各行业中高居榜首。
医疗健康行业也是所有行业中唯一一个内部威胁远大于外部威胁的行业,报告显示,过去一年有70%的威胁来自内部,这相较于前年的66%略有增长。
内部人员的安全意识不足、违规操作、技术防护措施的缺失,都是导致数据泄露的重要原因。
此外,随着云计算和大数据技术的应用,医药行业的数据流动更加频繁,数据安全风险也随之增加。
03
国内信息安全建设情况反思
据《2024年1月生物医药产业运行报告》,截至2024年1月底,全国共成立生物医药企业112368家。
其中有多少企业会关注企业信息安全呢?
CIAPH发布的《2023-2024年度医药健康行业数字化调研报告》对国内药企2023年的整体信息安全投入进行了调研统计:
百万以内投入:超过六成的调研企业,占比63%,选择在50万元以内的投入水平,显示了中小型企业对信息安全的关注和投资。其中,34.44%的企业投入在50万元以内,而28.48%的企业投入在50万元至100万元区间。
超百万投入:近二成的企业,占19.87%,投入在100万元至300万元的范围,而10.6%的企业投资额在300万元至500万元之间。这-投入水平主要由大型医药企业和涉足海外业务的企业主导。
千万级投入:在重量级的投入领域,有5.3%的企业投资在500万元至1000 万元之间,而高达1.32%的企业选择投入超过1000万元。这类企业主要包括批发零售巨头、跨国 MNC 企业以及 CRO/CDMO 等代表性企业。
04
赛诺菲事件的启示
医药行业的信息安全建设是一个长期而复杂的过程,需要企业、监管机构、技术供应商以及医疗专业人员的共同努力。
通过加强内部管理、提升技术防护、完善数据访问控制、制定应急响应计划以及加强监管和合规性,构建一个更加安全、可靠的医药行业信息环境,保护患者的隐私和医疗数据的安全。
随着技术的不断发展,信息安全已经演变出更广泛的概念,包括合规管理、与业务的融合,甚至涉及人工智能的治理和规范,以及企业内部行为的规范化。
结合Verizon报告意见,医药公司的信息安全专业人员应反思并在多方面采取有效措施以保障公司数据的安全。在合理投入成本的基础上,应当从以下几个方面进行合理的资源分配,加强自身的信息安全建设。
1.加强内部人员管理:强化员工的信息安全意识培训,特别是对于外包人员和临时工,确保他们了解并遵守企业的数据保护政策。
2.提升技术防护措施:投资先进的安全技术,如加密、多因素认证、端点保护和数据丢失防护等,以提高数据的安全性。
3.完善数据访问控制:实施严格的数据访问控制,确保只有授权人员才能访问敏感数据,并记录所有数据访问活动。
4.制定应急响应计划:制定和测试数据泄露和其他安全事件的应急响应计划,以确保在发生事件时能够迅速有效地应对。
5.加强监管和合规性:监管机构应提高对医药企业合规性的要求,确保企业遵守数据保护的最佳实践和标准。
05
给药企管理者的建议
建立完整的数据安全治理框架
警钟已经敲响,医药行业信息安全何去何从?这不仅是一个技术问题,更是一个社会责任问题。
作为企业管理者,应当正视企业信息安全,共同守护医药行业的信息安全,为公众健康保驾护航。原西安杨森信息技术总监蒙伟在CIAPH第三届生物药企数字创新峰会中建议:必须要结合业务,学会和业务对话,了解企业环境中存在哪些风险,创造价值并与执行层沟通。
此外,还包括:
预算支持的挑战:信息安全是一个难以获得预算支持的项目,因为其实际效果难以直观展示。因此,成功实施信息安全需要获取管理层的资金支持和执行支持。
了解法规需求:需要充分了解法律法规的最新要求,整个信息安全项目要与合规部门、法律部门,甚至是业务部门共同协作,以制定新的标准。
工具选择的智慧:在选择工具时要做到“选对的,而不是选贵的”。必须通过多轮评估确定在当前企业环境中最适合落地的技术。
员工理解与参与度:员工的理解和参与度至关重要。信息安全既不能使员工过度猜忌,同时也不能暴露所有底牌,最佳状态是保持若即若离的平衡。
积极参与行业交流:积极参与行业内外的交流,包括外部会议和内部学习分享,是提升认知的有效手段。面对困难时,积极寻求沟通和帮助是必不可少的。
参考资料:
1、https://www.sanofi.co.jp/ja
2、Verizon《2024年数据泄露调查报告》
3、《2024年1月生物医药产业运行报告》
4、CIAPH发布的《2023-2024年度医药健康行业数字化调研报告》
END
内容沟通:郑瑶(13810174402)
医药代理商产品交流群 扫描下方二维码加入 | 银发经济市场机遇交流群 扫描下方二维码加入 |
左下角「关注账号」,右下角「在看」,防止失联
在数字化时代,数据安全不容忽视,已经成为各行各业的重要议题,尤其是医药行业,数据的敏感性和重要性不言而喻。
01
事件回顾
近期,日本赛诺菲数据泄露事件再次敲响了医药行业信息安全的警钟。
当地时间8月28日,赛诺菲(日本)宣布,外部有人未经授权访问其部分数据库,存储的个人信息可能已被泄露。
被非法访问的信息包括日本医疗专业人员和公司员工的信息,包括733,820名医疗专业人员的姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址、职务和姓名。
工作类型、医疗部门以及 1,390 名员工的姓名等信息均被泄露。
事件起因是一名海外外包顾问违反规定将数据库ID保存在自己的个人电脑上,导致该电脑感染恶意软件。
被非法访问的个人信息不包括信用卡或银行账户信息,且已确认不存在泄露或未经授权使用等二次损害。
赛诺菲已经设立专门的呼叫中心答复医疗专业人员的询问。
个人信息泄露事件让涉事人员对个人信息的安全性感到担忧。作为医疗专业人员,个人信息(包括姓名、性别、出生日期、电子邮件地址、医疗机构名称和地址、职务等)一旦泄露,可能会被不法分子用于诈骗、身份盗窃或其他恶意目的。
相关人士也对赛诺菲(日本)披露信息的及时性产生了质疑,赛诺菲(日本)8月28日披露此次个人信息泄露事件,但未经授权的访问早在 7 月 10 日至 14 日期间就已经发生。
部分人员称,“作为大型药企也能发生这种安全漏洞,让医疗人员对药企信任产生担忧。”
02
医药行业信息安全现状
2024年6月发布的Verizon《2024年数据泄露调查报告》显示:
医疗健康行业1378起安全事件中,1220起已确认数据泄露,数据泄露发生频率高达88.5%,在各行业中高居榜首。
医疗健康行业也是所有行业中唯一一个内部威胁远大于外部威胁的行业,报告显示,过去一年有70%的威胁来自内部,这相较于前年的66%略有增长。
内部人员的安全意识不足、违规操作、技术防护措施的缺失,都是导致数据泄露的重要原因。
此外,随着云计算和大数据技术的应用,医药行业的数据流动更加频繁,数据安全风险也随之增加。
03
国内信息安全建设情况反思
据《2024年1月生物医药产业运行报告》,截至2024年1月底,全国共成立生物医药企业112368家。
其中有多少企业会关注企业信息安全呢?
CIAPH发布的《2023-2024年度医药健康行业数字化调研报告》对国内药企2023年的整体信息安全投入进行了调研统计:
百万以内投入:超过六成的调研企业,占比63%,选择在50万元以内的投入水平,显示了中小型企业对信息安全的关注和投资。其中,34.44%的企业投入在50万元以内,而28.48%的企业投入在50万元至100万元区间。
超百万投入:近二成的企业,占19.87%,投入在100万元至300万元的范围,而10.6%的企业投资额在300万元至500万元之间。这-投入水平主要由大型医药企业和涉足海外业务的企业主导。
千万级投入:在重量级的投入领域,有5.3%的企业投资在500万元至1000 万元之间,而高达1.32%的企业选择投入超过1000万元。这类企业主要包括批发零售巨头、跨国 MNC 企业以及 CRO/CDMO 等代表性企业。
04
赛诺菲事件的启示
医药行业的信息安全建设是一个长期而复杂的过程,需要企业、监管机构、技术供应商以及医疗专业人员的共同努力。
通过加强内部管理、提升技术防护、完善数据访问控制、制定应急响应计划以及加强监管和合规性,构建一个更加安全、可靠的医药行业信息环境,保护患者的隐私和医疗数据的安全。
随着技术的不断发展,信息安全已经演变出更广泛的概念,包括合规管理、与业务的融合,甚至涉及人工智能的治理和规范,以及企业内部行为的规范化。
结合Verizon报告意见,医药公司的信息安全专业人员应反思并在多方面采取有效措施以保障公司数据的安全。在合理投入成本的基础上,应当从以下几个方面进行合理的资源分配,加强自身的信息安全建设。
1.加强内部人员管理:强化员工的信息安全意识培训,特别是对于外包人员和临时工,确保他们了解并遵守企业的数据保护政策。
2.提升技术防护措施:投资先进的安全技术,如加密、多因素认证、端点保护和数据丢失防护等,以提高数据的安全性。
3.完善数据访问控制:实施严格的数据访问控制,确保只有授权人员才能访问敏感数据,并记录所有数据访问活动。
4.制定应急响应计划:制定和测试数据泄露和其他安全事件的应急响应计划,以确保在发生事件时能够迅速有效地应对。
5.加强监管和合规性:监管机构应提高对医药企业合规性的要求,确保企业遵守数据保护的最佳实践和标准。
05
给药企管理者的建议
建立完整的数据安全治理框架
警钟已经敲响,医药行业信息安全何去何从?这不仅是一个技术问题,更是一个社会责任问题。
作为企业管理者,应当正视企业信息安全,共同守护医药行业的信息安全,为公众健康保驾护航。原西安杨森信息技术总监蒙伟在CIAPH第三届生物药企数字创新峰会中建议:必须要结合业务,学会和业务对话,了解企业环境中存在哪些风险,创造价值并与执行层沟通。
此外,还包括:
预算支持的挑战:信息安全是一个难以获得预算支持的项目,因为其实际效果难以直观展示。因此,成功实施信息安全需要获取管理层的资金支持和执行支持。
了解法规需求:需要充分了解法律法规的最新要求,整个信息安全项目要与合规部门、法律部门,甚至是业务部门共同协作,以制定新的标准。
工具选择的智慧:在选择工具时要做到“选对的,而不是选贵的”。必须通过多轮评估确定在当前企业环境中最适合落地的技术。
员工理解与参与度:员工的理解和参与度至关重要。信息安全既不能使员工过度猜忌,同时也不能暴露所有底牌,最佳状态是保持若即若离的平衡。
积极参与行业交流:积极参与行业内外的交流,包括外部会议和内部学习分享,是提升认知的有效手段。面对困难时,积极寻求沟通和帮助是必不可少的。
参考资料:
1、https://www.sanofi.co.jp/ja
2、Verizon《2024年数据泄露调查报告》
3、《2024年1月生物医药产业运行报告》
4、CIAPH发布的《2023-2024年度医药健康行业数字化调研报告》
END
内容沟通:郑瑶(13810174402)
医药代理商产品交流群 扫描下方二维码加入 | 银发经济市场机遇交流群 扫描下方二维码加入 |
左下角「关注账号」,右下角「在看」,防止失联
