人,而是指向了她身边的人。她强作镇定:“你是谁?汇智资本的人?还是境外组织的傀儡?”
“这不重要。”对方轻笑一声,“重要的是,你现在停止所有工作,销毁那份报告和证据,我可以保证你和你身边人的安全。否则,后果自负。”
“你以为这样就能威胁到我?”苏念安的声音冰冷而坚定,“数据安全是底线,我不会因为你的威胁就放弃自己的责任。你最好束手就擒,网安部门已经掌握了你们的证据,你们逃不掉的。”
“是吗?”对方的语气带着一丝不屑,“苏经理,你太天真了。汇智资本在业内的影响力,不是你能想象的。我们能轻易渗透到医疗数据平台,也能轻易让你身败名裂。给你二十四小时考虑,明天这个时候,我会再联系你。”
电话被挂断,苏念安握着手机的手微微颤抖。她知道,对方不是在说空话。汇智资本作为业内巨头,人脉广、资源多,想要毁掉一个人,确实有很多手段。但她更清楚,自己不能退缩。如果她现在放弃,之前的努力都将付诸东流,千万患者的数据安全也将失去保障。
她走到窗边,看着城市的万家灯火。每一盏灯光背后,都是一个家庭的安宁与期盼。她想起那些病历上的名字,想起那些等待治疗的患者,心中的坚定愈发强烈。
风险评估师苏念安:标准之刃
医疗数据安全专项整治行动结束后的第三个月,苏念安坐在国家信息安全标准化技术委员会的会议室里,指尖轻轻敲击着桌面。长条会议桌两侧,坐着来自网安部门、行业协会、头部科技企业的专家代表,每个人面前都摊着一份厚厚的《医疗数据安全风险评估行业标准(草案)》。
“苏经理,你在星辰数据案中展现的专业判断,以及后续跨平台评估报告的严谨性,让我们一致认为你是牵头完善这份标准的最佳人选。”标委会主任王教授推了推眼镜,语气郑重,“目前草案的框架已经搭建,但在风险分级指标、动态评估机制、应急响应流程这三个核心模块,还存在实操性不足的问题。”
苏念安拿起草案,首页的“风险分级指标”部分用红笔圈出了多处标注。现行草案将风险等级简单划分为“低、中、高”三级,仅以数据泄露规模作为核心依据,却忽略了数据敏感度、泄露传播速度、修复难度等关键变量。“王教授,我认为风险分级需要建立双维度模型。”她打开笔记本电脑,调出一份详细的指标体系图,“一个维度是数据重要性,比如基因数据、病历核心信息应归为一级敏感数据;另一个维度是风险影响范围,包括用户规模、经济损失、社会危害等。两个维度交叉评估,才能得出更精准的风险等级。”
会议室里响起低声的讨论声。网安部门的李警官点头赞同:“星辰数据案中,虽然数据未被成功窃取,但涉及数百万患者的基因信息,若按现行标准可能仅评为‘中风险’,但实际社会危害极大。双维度模型确实更贴合实际场景。”
“但如何量化这些指标?”一位来自科技企业的技术专家提出疑问,“不同医疗数据平台的规模、技术架构差异很大,统一的量化标准很难推行。”
苏念安早有准备,她点击鼠标,调出一套动态权重计算模型:“这个模型可以根据平台类型自动调整指标权重。比如三甲医院的核心数据平台,数据重要性权重可提升至60;而互联网医疗平台,风险传播速度权重应占主导。模型内置了120组行业案例数据,能通过机器学习不断优化权重分配。”
王教授看着屏幕上的模型,眼中闪过赞许:“这个思路很好,既保证了标准的统一性,又兼顾了不同场景的特殊性。接下来的一个月,希望你能牵头组建专项工作组,完善这三个核心模块的细节。”
散会后,苏念安在走廊遇到了李警官。“没想到你不仅能在一线发现风险,还能沉下心来做标准制定这种基础性工作。”李警官递过来一杯温水,“不过要提醒你,这次标准制定触及了不少企业的既得利益,有些企业为了降低合规成本,可能会从中作梗。”
苏念安接过水杯,指尖传来暖意:“我早有心理准备。标准的意义不在于一蹴而就,而在于能真正解决行业痛点。只要能守护数据安全,这点阻力不算什么。”
回到公司,苏念安立刻组建了专项工作组,成员包括助理林晓、技术部的资深工程师、法律顾问,还有两位从网安部门借来的技术专家。工作组的第一个任务,就是对全国300多家不同类型的医疗数据平台进行调研,收集实际运营中的风险评估痛点。
“念安,这是我们整理的第一批次调研问卷结果。”林晓将一份报告放在苏念安桌上,“很多中小型平台反映,现行的风险评估流程过于复杂,缺乏专业人员,很难完成合规评估;而大型平台则认为,标准对新型攻击手段的覆盖不足,比如ai驱动的定向数据窃取。”
苏念安快速浏览报告,眉头微蹙。中小型平台的合规难题确实是关键——如果标准过于严苛,可能导致部分企业阳奉阴违;但如果降低标准,又会留下安全隐患。“我们需要设计一套分级合规体系。”她沉吟道,“大型平台必须满足全部标准条款,中小型平台可在两年内完成核心条款合规,同时提供免费的在线评估工具和培训课程,帮助他们提升能力。”
对于新型攻击手段的覆盖,苏念安决定联合高校的网络安全实验室,收集近三年来全球范围内的医疗数据安全案例,重点分析ai攻击、量子计算破解等新兴风险。“技术发展太快,标准必须具备前瞻性。”她对工作组的技术专家说,“我们要在标准中加入风险预警机制,要求平台建立新兴技术风险监测模块。”
然而,调研工作刚开展两周,就遇到了阻力。一家名为“康泰数据”的大型医疗数据企业,拒绝提供核心运营数据,还公开质疑标准制定的必要性:“