醫患信息數據安全成隱憂,黑客風暴波及移動醫療
發布時間:2017-05-17
網絡(luo)安全(quan)在近期成(cheng)為了受眾(zhong)關�����注(zhu������)的熱頻詞匯,如(ru)今這股(gu)戰火燒(shao)到(dao)了。
5月(yue)17日,廣州市越秀區(qu)人(ren)(ren)民法院開庭審(shen)理(li)了一起侵犯個人(ren)(ren)信息(xi)(xi)案件,該案件中包(bao)括前“杏(xing)仁醫(yi)生(sheng)”前員工武(wu)某在(zai)內的三(san)名犯罪嫌疑人(ren)(ren),為“發(fa)信息(x������i)(xi)推介借貸業務(wu)”,通(tong)過������黑客手(shou)段(duan)圖(tu)謀竊取醫(yi)患溝通(tong)管理(li)工具杏(xing)仁醫(yi)生(sheng)數據庫中約35萬醫(yi)生(sheng)個人(ren)(ren)信息(xi)(xi)。
至此,隨著近(jin)幾(ji)年(nian)移(y�������i)動醫療行業的不斷發展,其不斷壯大的患者和醫生數據安全也伴隨著這(zhe)起案(a����n)件(jian)再次(ci)站上風口浪尖(jian)。
杏仁(ren)醫(y����i)����生方面在(zai)(zai)給第一(yi)財經的回應中表示,該(gai)事件(jian)案(an)情基本(ben)(ben)屬實,但慶幸的是由于公司(si)本(ben)(ben)身存在(zai)(zai)的權(quan)限設置(zhi)和(he)數據安全(quan)系統及時告警(jing),報警(jing)處理后(hou),在(zai)(zai)警(jing)方的協助下,采取(qu)(qu)(qu)凍(dong)結用于竊取(qu)(qu)(qu)的服務(wu)器和(he)攔截數據的行動(dong)保全(quan)了35萬數據免遭泄露。另外,數據庫采取(qu)(qu)(qu)的防止惡意抓(zhua)取(qu)(qu)(qu)和(he)盜竊數據的數據保護(hu)手段,犯罪嫌疑人最終竊取(qu)(qu)(qu)的基本(ben)(ben)是無效數據。
黑客(ke)可擋,內(nei)鬼難(nan)防。其實,與本次案件類似的(de)近年來公(gong)安機關為打擊整治網(wang)絡侵犯������公(gong)民個人信息(xi)問題,抓獲的(de)大量犯罪嫌疑人中有相當(dang)一部分都是行業(ye)“內(nei)鬼&rdqu��������o;。
“用����戶需要在軟件(jian)后(hou)(hou)臺設置嚴格的審計,當所有后(hou)(hou)臺的行為都有詳細記錄,越(yue)權(quan)操作就可快速被攔(lan)截(jie)。”騰訊云安全首席架構師周斌對(dui)此表示,“也(ye)正因此,對(dui)于本次案件(jian)中(zhong)數據庫里的幾十萬醫(yi)生來(lai)講,這條信息黑產鏈(lian)才(cai)得以在第一(yi)級階段就被嚴密的保護措施所切(qie)斷,后(hou)(hou)續(xu)數據也(ye)才(cai)能(neng)免(mian)遭泄露。”
據(ju)他(ta)透露(lu),相關數(shu)據(ju)泄(xie)露(lu)問題之所以內(nei)鬼(gui)頻出,其(qi)直(zhi)接原(yuan)因還是在于(yu)數(shu)據(ju)買賣灰色產業(ye)鏈的(de)誘(you)惑。這個產業(ye)鏈共(gong)分四級(ji),第(di)一級(ji)是黑(hei)客(ke)或內(nei)鬼(gui)盜取(qu)公民個人(ren)(ren)信(xin)(xin)息(xi)(xi)(xi);第(di)二級(ji)是信(xin)(xin)息(xi)(xi)(xi)批發商,他(ta)們從(cong)黑(hei)客(ke)手中獲取(qu)大量信(xin)(xin)息(xi)(xi)(xi),并(bing)通過互(hu)相交換(huan),像(xiang)滾雪(xue)球(qiu)一樣不斷增加(jia)自己(ji)的(de)信(xin)(xin)息(xi)(xi)(xi)數(shu)據(ju)庫;第(di)三(san)級(ji)則為信(xin)(xin)息(xi)(xi)(xi)購買人(ren)(ren)或者(zhe)中間商,他(ta)們從(cong)批發商那里購買各(ge)種(zho���ng)數(shu)據(ju),再(zai)根(gen)據(ju)需要轉手賣給他(ta)人(ren)(ren);第(di)四級(ji)是信(xin)(xin)息(xi)(xi)(xi)使用(yong)(yong)者(zhe),包括(kuo)業(ye)務(wu)推銷、詐(zha)騙(pian)盜竊等人(ren)(����ren)員,他(ta)們拿(na)到信(xin)(xin)息(xi)(xi)(xi)后(hou),進行電(dian)話營銷,或者(zhe)利用(yong)(yong)偽基站實(shi)施電(dian)信(xin)(xin)詐(zha)騙(pian)。
“一般(ban)來說管理后(hou)臺都需要有(you)嚴格的(de)(de)(de)權(quan)(quan)限(xian)限(xian)制,不能查(cha)看無權(quan)(quan)限(xian)的(de)(de)(de)信(xin)息(xi)或者進行(xing)無權(quan)(quan)限(xian)的(de)(de)(de)操作。另外,對于賬號、密碼、個人(ren)(ren)信(xin)息(xi)等(deng)相(xiang)關(guan)內容,企業也(y������e)要有(you)嚴格的(de)(de)(de)數據(ju)分級機制,從信(xin)息(xi)產生、存(cun)儲(chu)、傳(chuan)輸、訪(fang)問、發布(bu)、銷毀(hui)等(deng)各個環節均有(you)完(wan)整的(de)(de)(de)安(an)全(quan)運營體(ti)系,以(yi)保(bao)證數據(ju)完(wan)整性和(he)(he)可靠性。”周斌表示,而對于數據(ju)極(ji)為敏感(gan)的(de)(de)(de)醫(yi)療行(xing)業,他還建議嚴格控制數據(ju)的(de)(de)(de)使用(yong)(yong)權(quan)(quan)限(xian)和(he)(he)遵(zun)循最小范圍使用(yong)(yong)原則,確保(bao)醫(yi)生信(xin)息(xi)僅本人(ren)(ren)可見,以(yi)及(ji)任(ren)何用(yong)(yong)途均得到(dao)本人(ren)(ren)授權(quan)(quan)后(hou)使用(yong)(yong)的(de)(de)(de)原則。存(cun)儲(chu)中的(de)(de)(de)數據(ju)均進行(xing)了高強(qiang)度加(jia)密和(he)(he)匿(ni)名化(hua)處理,以(yi)保(bao)護個人(ren)(ren)信(xin)息(xi)。
“現在(zai)(zai)移(yi)動(dong)醫(yi)(yi)療快速普及(ji),我(wo)們的(de)(de)(de)數據在(zai)(zai)云(yun)端(duan)取,在(zai)(zai)云(yun)端(duan)讀(du),甚至計(ji)算也在(zai)(zai)云(yun)端(duan),我(wo)們就需要更(geng)加(jia)注意數據安全的(de)(de)(de)問題,目前(qian)我(wo)國(guo)的(de)(de)(de)移(yi)動(dong)醫(yi)(yi)療在(zai)(zai)法律(lv)法規方(fang)面還是有(you)(you)很多可(ke)以做的(de)(de)(de)。總(zong)的(de)(de)(de)來說,需要政府和業(ye)(ye)界一(yi)起合作(zuo)才能(neng)更(geng)加(jia)有(you)(you)效,才能(neng)形(xing)成(cheng)一(yi)個(ge)比較有(you)(you)執行力的(de)(de)(de)行業(ye)(ye)共(gong)識(shi)。”此前(qian)百(bai)時(shi)美施貴寶制(zhi)藥有(you)(you)限公司戰(zhan)略產品(pin)規劃部高級經理李逸石(shi)曾在(zai)(zai)公開場合表示,“在(zai)(zai)技術層(ceng)面,由以醫(yi)(yi)院為代表的(de)(de)(de)服務提供方(fang),以及(ji)信息系統建立(li)者和廣大的(de)(de)(de)移(yi)動(dong)醫(yi)(yi)療、的(de)(de)(de)廠商一(yi)起合作(zuo),在(zai)(zai)現在(�������zai)(zai)技術指南的(de)(de)(de)框架下,形(xing)成(cheng)一(yi)定的(de)(de)(de)行業(ye)(ye)共(gong)識(shi)。”
事實上(shang),早在(zai)1996年(nian)(nian)美國的(de)HIPAA法(fa)案就已經設計了醫療(liao)(liao)健(jian)(jian)康(kang)隱私方面的(de)相關規定。該法(fa)案包括(kuo)健(jian)(jian)康(kang)保(bao)險(xian)隱私及責任(ren)法(fa)案分�����為兩個(ge)(ge)部分,其中(zhong)第二個(ge)(ge)部分里面詳細描述了醫療(liao)(liao)保(bao)險(xian)的(de)提(ti)供方、醫療(liao)(liao)保(bao)險(xian)的(de)運(yun)營方以(yi)及雇(gu)員(yuan)在(zai)保(bao)護(hu)個(ge)(ge)人健(jian)(jian)康(kang)隱私中(zhong)的(de)一些(xie)責任(ren)。在(zai)2009年(nian)(nian)的(de)另(ling)一個(ge)(ge)新法(fa)案中(zhong)提(ti)出(chu)(chu),醫療(liao)(liao)數據的(de)管理者需(xu)要具(ju)備向上(shang)報告和向下告知的(de)一些(xie)義務,還有(you)個(ge)(ge)人健(jian)(jian)康(kang)信息(xi)隱私之間的(de)分享(xiang),如(ru)哪些(xie)場合是(shi)能(neng)分享(xiang),哪些(xie)場合是(shi)不能(neng)分享(xiang)的(de)界定。違(wei)(wei)反(fan)HIPAA的(de)后果非常嚴(yan)重(zhong)(zhong):在(zai)美國,如(ru)果是(shi)由于有(you)��������意(yi)且造(zao)成嚴(yan)重(zhong)(zhong)后果的(de),對于這(zhe)個(ge)(ge)單(dan)位的(de)罰款每(mei)年(nian)(nian)可(ke)以(yi)達到150萬美元(yuan)。如(ru)果違(wei)(wei)法(fa)意(yi)圖是(shi)想(xiang)出(chu)(chu)賣(mai)或者是(shi)轉(zhuan)售這(zhe)樣一些(xie)商業(ye)信息(xi)的(de)話(hua),個(ge)(ge)人最(zui)高罰款可(ke)以(yi)達到25萬美元(yuan),十年(nian)(nian)監禁(jin)。
