黑客對(duì)于醫(yī)療數(shù)據(jù)的興趣愈發(fā)濃厚,獲利之道是將信息賣給相關(guān)產(chǎn)品銷售商;而醫(yī)療機(jī)構(gòu)也在不斷夯實(shí)數(shù)據(jù)安全保護(hù)之墻,兩者間的攻擊與反攻擊戰(zhàn)役愈演愈烈。
(資料圖)
《財(cái)經(jīng)》記者 張利 張瑤/文 王小/編輯
近日,《法制日?qǐng)?bào)》刊文《超過7億條公民信息遭泄露,8000余萬條公民信息被販賣》,曝出黑客入侵了某部委的醫(yī)療服務(wù)信息系統(tǒng),大量孕檢信息遭到泄露和買賣。
一石激起千層浪。微博上不少用戶擔(dān)憂,“說不定就有我。” 醫(yī)療數(shù)據(jù)安全,這個(gè)略顯老套的話題再次成為焦點(diǎn)。
在全球范圍內(nèi),醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全威脅趨于嚴(yán)峻。數(shù)據(jù)分類好、使用價(jià)值高、安全保障和風(fēng)險(xiǎn)管理措施較落后等因素,使醫(yī)療行業(yè)數(shù)據(jù)成為黑客們鐘愛的攻擊目標(biāo)。
尤其最近幾年,病歷電子化、醫(yī)院上云、遠(yuǎn)程問診等在醫(yī)療界轟轟烈烈展開,患者信息、病歷等也從紙面轉(zhuǎn)化為電子版,通過互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程問診等新型醫(yī)療模式,醫(yī)院內(nèi)網(wǎng)的數(shù)據(jù)走向公網(wǎng),于是安全問題接踵而至。
“協(xié)和、華西、301等大醫(yī)院有很多明星、政要的信息,所以黑客會(huì)感興趣。”一位三甲醫(yī)院信息科主任對(duì)《財(cái)經(jīng)》記者說。
網(wǎng)絡(luò)安全公司HEIMDAL發(fā)布《2016年中回顧:2016年網(wǎng)絡(luò)安全威脅分析報(bào)告》,總結(jié)了2015年4月到2016年3月全球范圍內(nèi)的網(wǎng)絡(luò)安全事件。其中,醫(yī)療行業(yè)是勒索軟件在世界范圍內(nèi)投入最多的行業(yè),占第二季度勒索軟件統(tǒng)計(jì)總量的88%。
從防守方來看,無論是醫(yī)療機(jī)構(gòu),還是政府部門,對(duì)信息安全益發(fā)重視。“曾經(jīng)一段時(shí)間醫(yī)院的信息安全做得很差,但過去兩年來已經(jīng)有很大的改善,現(xiàn)在總體還不錯(cuò)。”國內(nèi)網(wǎng)絡(luò)安全公司奇虎360副總裁兼首席隱私官譚曉生告訴《財(cái)經(jīng)》記者。
上述信息科主任也表示,如果醫(yī)院出現(xiàn)大規(guī)模的信息泄漏,第一責(zé)任人為院長,第二責(zé)任人是信息科主任,這無疑也給醫(yī)療機(jī)構(gòu)的信息安全優(yōu)化提供了動(dòng)力。
進(jìn)攻的黑客與防御的醫(yī)療機(jī)構(gòu)之間,這場(chǎng)攻擊與反攻擊戰(zhàn)役愈演愈烈。
事發(fā)
2017年8月31日,浙江省松陽縣人民法院一審判決,王某輝、陳某亮等7人非法搜索、交換、買賣公民個(gè)人信息總計(jì)約8000萬條,構(gòu)成侵犯公民個(gè)人信息罪,獲刑三至五年不等。
這是一個(gè)專門買賣信息的團(tuán)伙,其信息來源特別復(fù)雜。據(jù)本案判決書顯示,2016年2月至3月,王某輝在學(xué)習(xí)黑客技術(shù)時(shí),獲取了大量孕檢類型的公民個(gè)人信息,同年7月起,其用名為“哈佛校長”等的QQ號(hào),將這些信息出售。
該案主審法官葉永青告訴《財(cái)經(jīng)》記者,這些孕檢信息來自某部委下屬某婦幼保健醫(yī)院的網(wǎng)站數(shù)據(jù),輻射范圍遍布全國。
這不是第一次婦產(chǎn)信息被泄露,深圳也發(fā)生過同類事件?!赌戏蕉际袌?bào)》去年一篇報(bào)道稱,一份數(shù)量高達(dá)萬條產(chǎn)婦信息的清單再度流入市場(chǎng),除了電話、出生日期、姓名,還包括居住地址、出生醫(yī)院等信息,“出生醫(yī)院”更是涵蓋深圳近50家醫(yī)院。
基于不同類型信息的重要程度,于今年5月發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》規(guī)定,非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息五十條以上的,“情節(jié)嚴(yán)重”的入罪標(biāo)準(zhǔn)為50條。而諸如健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息被非法獲取、出售等五百條以上的,構(gòu)成入罪標(biāo)準(zhǔn)。
“總體來說,進(jìn)行精準(zhǔn)營銷的企業(yè)和電信詐騙集團(tuán)是公民個(gè)人信息的兩大主要買家。” 葉永青介紹,在浙江省松陽縣一案中,許多孕檢信息被賣給婦幼保健用品銷售商。
事實(shí)上,被銷售給相關(guān)企業(yè)是危害程度相對(duì)較低的行為。大量精準(zhǔn)特定的公民個(gè)人信息被電信詐騙集團(tuán)掌握后,圍繞信息編造“話術(shù)”“劇本”,并偽冒公檢法等進(jìn)行精準(zhǔn)詐騙,已有大量導(dǎo)致重大經(jīng)濟(jì)損失的案例。
一位長期偵辦相關(guān)案件的警方人員向《財(cái)經(jīng)》記者介紹,黑客攻擊和信息持有企業(yè)或員工非法提供,是近年來刑事案件中涉案信息的最重要的兩大泄露源頭。由于侵害公民個(gè)人信息行為多為上游犯罪,危害往往等到更大經(jīng)濟(jì)損失出現(xiàn)時(shí),才能被發(fā)現(xiàn)。
在司法環(huán)節(jié),執(zhí)法和司法機(jī)關(guān)也在不斷加強(qiáng)對(duì)這一類型犯罪的懲處力度。刑法意義上,違反相關(guān)規(guī)定向他人出售或者提供公民個(gè)人信息,情節(jié)嚴(yán)重的,處三年以下有期徒刑。構(gòu)成情節(jié)特別嚴(yán)重,則可處以最高刑為七年的有期徒刑。
防護(hù)級(jí)別
“醫(yī)療行業(yè)信息安全保護(hù)起步比較晚,目前我們是業(yè)內(nèi)流行什么技術(shù),用什么技術(shù),整體來看,處于中等水平”上述信息科主任對(duì)《財(cái)經(jīng)》記者分析,“其實(shí)重視以后,技術(shù)的問題很好解決。”
隨著患者信息、病歷等數(shù)據(jù)從紙質(zhì)版轉(zhuǎn)化為電子版,互聯(lián)網(wǎng)醫(yī)療、遠(yuǎn)程問診等新型醫(yī)療模式,醫(yī)院內(nèi)網(wǎng)的數(shù)據(jù)隨之走向公網(wǎng),醫(yī)療機(jī)構(gòu)對(duì)數(shù)據(jù)安全性益發(fā)看重。“病歷電子化以后,數(shù)據(jù)安全性問題不重視也要重視,黑客十幾分之內(nèi)就把數(shù)據(jù)全抱走了。”上述信息科主任說。
據(jù)醫(yī)療媒體動(dòng)脈網(wǎng)統(tǒng)計(jì),截止2016年11月,在國內(nèi)某知名網(wǎng)絡(luò)安全網(wǎng)站上以“醫(yī)院”為關(guān)鍵詞進(jìn)行搜索,查找出超過600條漏洞。三分之一的漏洞都在近兩年內(nèi)為“白帽子”發(fā)現(xiàn)并上報(bào)。據(jù)大多數(shù)發(fā)現(xiàn)漏洞的“白帽子”反映,造成這些漏洞的技術(shù)問題相對(duì)較為低級(jí),在其他成熟的互聯(lián)網(wǎng)行業(yè)已經(jīng)很難遇到這么低級(jí)的錯(cuò)誤了。
2017年2月17日,浙江大學(xué)醫(yī)學(xué)院附屬第一醫(yī)院正式啟動(dòng)“浙一互聯(lián)網(wǎng)醫(yī)院”的第二天,知乎上即出現(xiàn)了浙一互聯(lián)網(wǎng)醫(yī)院泄露患者信息的討論帖。網(wǎng)友“培根Bacon”稱其在注冊(cè)、安裝軟件過程中看到了其他患者信息,包括了患者手機(jī)號(hào)碼;2016年10月,有網(wǎng)友爆料,手機(jī)瀏覽器打開臨沂市人民醫(yī)院網(wǎng)站顯示卻為色情內(nèi)容,隨后,網(wǎng)友找到了黑客攻擊的代碼。
啟明星辰副總裁,知乎上黑客/網(wǎng)絡(luò)安全/信息安全話題優(yōu)秀回答者shotgun稱,“真的入侵案例新聞一般不會(huì)報(bào),因?yàn)橛浾咭膊粫?huì)知道。”
整體看,全國三甲綜合醫(yī)院安全水平存在較大差異。上述信息科主任介紹,到目前為止,其所在醫(yī)院在信息安全方面的累積投入約100萬元,“三甲醫(yī)院投入100萬起步,每年都對(duì)針對(duì)新情況做升級(jí),每年投入約幾十萬”。
另一方面,在他看來,因?yàn)獒t(yī)療數(shù)據(jù)大都在內(nèi)網(wǎng),安全性可以保證。至于與微信/支付寶合作的互聯(lián)網(wǎng)醫(yī)院,醫(yī)院的原則是誰提供服務(wù)誰負(fù)責(zé)安全,“到目前為止,我們醫(yī)院沒有出現(xiàn)大范圍的泄漏”。
一個(gè)典型的案例是,浙江省疾控中心委托公司建設(shè)網(wǎng)站,后者在網(wǎng)站后臺(tái)設(shè)置權(quán)限,可以下載患者數(shù)據(jù),包括了性命、年齡、手機(jī)號(hào)碼、地區(qū)和登記的疾病信息,隨后偷偷倒賣給母嬰用品店、藥店。
經(jīng)手這一案件的杭州市公安局網(wǎng)警分局一辦案民警對(duì)《財(cái)經(jīng)》說:“只要建站公司想這么搞,一般人防不住。”因此,一般醫(yī)院更傾向于選擇聲譽(yù)好、靠譜的大公司合作