“统方”是指一家医院对医生处方用药量信息的统计,对于普通人而言,该数据价值不大,但一些医药代表却视此如宝,因为他们可以依据“统方”,兑现回扣,掌握竞争对手的情况,制定营销策略。为获取医院“统方”,个别医药代表不惜向医务人员行贿。而“反统方”就是采用一定的措施,包括行政、制度、技术等措施,进行非法统方(商业统方)的预防阻止和审计追溯。
2015年,国家卫计委、发改委、工信部等9部委联合下发《2015纠正医药购销和医疗服务中不正之风专项治理工作要点》,从严格规范医药购销行为、规范医疗服务行为,保持高压态势,合力进行医疗反腐。这一行动受到业内广泛关注,医药购销更是九部委这一专项行动的重中之重。自2007年卫生部办公厅印发关于《加强医院信息系统药品、高值耗材统计功能管理的通知》以来,反统方行动不断升级。2015年医疗卫生行业开启互联网+征程,工信部的加入也充分表明非法统方问题不仅仅是医药购销行为,而是已经上升到数据安全、信息安全的范畴了。
虽有强大的政策推动,同时医疗卫生机构的信息主管们也开始重新关注反统方系统建设,但医院依然面临很多问题的挑战。
核心数据维护人员越来越多
随着信息化水平提升,医院信息中心人员也迅速增加,他们负责医院信息化建设,以及日常IT网络设备、数据库等程序的维护工作,这些管理人员掌握着SYS、SYSTEM等超级用户,这些用户具备了访问所有IT网络设备、服务器、应用数据库的权限;从而使毫无业务需要的信息中心工作人员能够访问所有处方数据,具备“统方”的***途径;另外,数据库管理员(简称:DBA人员)也可以直接查询数据库中的用户密码表,使用具备统方权限的应用用户登录到HIS系统直接进行非法“统方”。由于这个群体对于信息系统的操作熟悉程度,以及目前对于超级用户的技术审计比较薄弱,因此,事实证明,这是目前比较主要的非法统方途径。
非法统方手段多样化、专业化
医院的HIS等医疗系统,集中了处方统计分析业务、处方查询(药剂科),以及挂号、病历、诊疗信息管理等核心业务模块,后台涉及到医生、药品、剂量、单价、应收金额等直接或间接能够“统方”的信息,这些功能本身提供详尽的统方表格,同时该应用系统有部分高权限用户拥有统方权限,例如,一些医院的药剂科本身就兼具正常“统方”的职责,在一定的时间药剂科科长需要对医生、药品和剂量信息进行统计,以防止医生用药比例过高导致医生停诊。因此,如果HIS应用系统本身管理制度出现漏洞,或者有权限的医院内部人员出现问题,就会导致统方数据外泄的威胁。但这个途径逐步已经不成为非法统方的主要途径,这是因为尽管这是统方最直接和便捷的通道,但也是非法统方者最危险的通道,因为HIS系统本身对相关权限和开放权限的人员,构建了严格的管理和审计体制,对于当前主流HIS系统,很难钻到空子。
医院管理制度难以落实
但是,由于医院过分依赖于人员的“自觉性、道德水平”,这些有权限的相关人员稍微有点其它想法,只需要在医院任何一台电脑上运行程序,就可以非常快捷的完成统方,缺少技术监管手段也使得医院管理制度难以落实
针对以上问题,东华网智结合多年在医疗行业敏感信息防护的经验,形成了一套有效的反统方解决方案。东华反统方系统能够对医疗系统的所有活动,如用户、时间、操作等内容进行全面的监控和审计,能有效防止非法利用数据库信息进行“统方”、医患数据外泄和擅自篡改医院和病人信息数据等问题。
并且,东华反统方系统能深入分析TCP和UDP通信流量的内容。当IP数据包、TCP数据流和UDP包经过反统方设备时,会按照预定义的策略对应用内容进行监控和审计,若存在违规统方的行为,系统会记录并还原具体的统方操作并触发告警通知管理员。
***,国家对于医疗反腐政策要求越来越细致严格,让反统方系统开始被医院重视,系统的安装是***步,真正发挥作用才是最重要的,这就对反统方系统的品质提出了要求。如今东华反统方解决方案已经在多家医院部署成功,已经开始帮助医院解决他们遇到的“统方”问题。
