为什么防统方这么难?

作者:傻蛋 发布时间:2015-10-29 12:20:47 浏览次数:448

虽三令五申,但非法统方屡禁不止。

  • 2014年11月, 广东省再掀医药反腐风暴,5家医院被通报批评
  • 2013年01月, 广东高州市人民医院统方回扣焦点访谈连续曝光
  • 2013年11月,杭州某医院院长及副院长因统方事件被拉下马
  • 2012年12月,河南省统方事件利益链中相关人等被检察院查处
  • 2012年06月,湖南常德统方事件中相关责任人月入2万被当时检察院查处
  • 2012年05月,浙江温州中医院因统方事件引起“回扣门”
  • 2011年06月,浙江温州附一、附二医院“回扣门”
  • 2010年11月,浙江杭州中医院,第四人民医院出现统方 “回扣门”
  • ·······

“统方”是医院对医生用药信息量的统计,“非法统方”是指通过不正当的途径非法获得医院处方或高价值耗材用量的统计信息,从而实现其商业目的。非法统方是药品耗材回扣腐败产业链中的重要一环,非法统方单一旦在网上曝光,将给医院声誉带来极大的伤害,使行风、政风“三好一满意”严重受挫。使得本来就很紧张的医患关系火上浇油,内部管理事件演变成群体性事件,涉及到的相关主管部门及领导苦不堪言。

医院防统方面临的困境:

困境一:统方回扣诱惑大

在医生的实际收入中,“统方”回扣是一个重要来源。统方回扣对医生群体的诱惑之大,外界常难以想象,其额度可达药品零售额的10%至30%。低年资医生染指这部分利益可能较少,但中高年资医生则往往可以利用统方回扣获取远超其合法收入的灰色利益,这早已是医疗界公开的秘密,但却很少被关注和公开报道。

困境二:“统方”途径多,堵漏难度大

1、医院工作者非法“统方”

医院工作者,如医生、护士、药剂科的工作人员都有机会接触到统方数据。想通过非法统方获利的医生,必然要收集自己的用药信息量,提供给医药代表才能拿到回扣;一些医院的药剂科本身就兼具正常“统方”的职责,在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计,以防止医生用药比例过高导致医生停诊,这个过程中“统方”信息就有泄露的风险;负责领药的护士也能掌握每日用药的数据,如果别有用心,也是非法统方的来源之一。

2、内部信息资源管理人员非法“统方”

随着信息化水平提升,医院信息中心人员也迅速增加,他们负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户,这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限,从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的最佳途径。

另外,数据库管理员(简称:DBA人员)也可以直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度,以及目前对于超级用户的技术审计比较薄弱,这是目前比较主要的非法统方途径。

3、开发人员、维护人员非法“统方”

医疗信息系统的开发和维护人员掌握着系统访问数据库的用户名和口令,这些人员经常需要在医院内部进行日常工作,完全可以使用该数据库用户直接登录数据库,构造统方SQL进行非法“统方”。

4、黑客入侵医疗系统非法“统方”

在高额利益的驱使下,当前黑客窃取“统方”数据的问题已不容忽视。总结黑客的手段无外乎三种:一是利用HIS等医疗系统的Web漏洞入侵数据库;二是利用数据库漏洞直接入侵数据库;三是入侵数据库服务器主机直接窃取数据库文件、备份文件等。

困境三:国家对防统方高度重视,政策要求日益严格

·卫生部/厅的要求

1、卫生部于2006年颁发了《卫生部、国家中医药管理局关于开展治理医药购销领域商业贿赂专项工作的实施意见》、《刑法修正案》明确医务人员收受回扣属于商业贿赂。

2、2007年卫生部发布《卫生部办公厅关于加强医院信息系统药品、高值耗材统计功能管理的通知》,要求完善医院信息数据库查询的监测系统,加强对利用计算机网络查询药品、高值耗材的数据监测。

3、2010年6月21日颁发的《卫生部关于进一步深化治理医药购销领域商业贿赂工作的通知》中明确指出,“要对医院各个部门通过计算机网络查询医院信息的权限实行分级管理,对医院信息系统中有关药品、高值耗材使用等信息实行专人负责、加密管理,严格统方权限和审批程序,未经批准不得统方严禁为商业目的统方。

4、2012年9月18日卫生部再次发布《关于加强公立医疗机构廉洁风险防控的指导意见》;明确加强信息系统监管,防止非法统方。

5、中医药管理局发布了联合制定的《加强医疗卫生行风建设“九不准”》第六条”不准为商业目的统方”

6、卫计委联合国家中医药管理局在2014年底发出了《关于加强医疗卫生机构统方管理的规定》,并于2015年1月1日开始实施。文件明确严禁为不正当商业目的统方”,对违反规定为不当商业目的统方的,要给予处分,甚至追究刑事责任.

·信息安全等级保护要求

《信息安全等级保护管理办法》要求组织对信息系统分等级实行安全保护,其中明确要求计算机信息系统创建和维护受保护客体的访问审计跟踪记录。

防统方本身就是一个信息安全防范问题,政府机关、医院的信息系统属于三级,属于公安机关强制性信息安全防护要求等级。

困境四:传统防护手段捉襟见肘

目前医疗行业还没有很好的防统方措施来防范统方,而是通过传统的手段,通过数据库自身审计产生的日志来分析,但是核心数据库自身的审计功能对数据库性能影响较大,审计权限和操作权限也没有分离,对这种数据库自身审计产生的日志,分析工作繁琐、人力投入大、审计信息易被篡改或泄漏等。信息安全维护工作分散到不同医院和部门的不同人员,部分开发、维护工作外包给合作的第三方公司及人员,日常运维过程中普遍存在维护人员较多、缺乏严格的资源授权管理审核、操作不透明、缺乏有效的技术手段来监管,代维人员操作、操作无审计等诸多问题。

传统手段已无法满足医院防统方建设的需求,防统方面可谓临多重困境。

 

图文来源于网络,有改动

 

更多安全资讯请关注新浪微博:@傻蛋搜

及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:网络

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明