在全球范围内,医疗行业面临的网络安全威胁日趋严峻。数据分类好、使用价值高、安全保障和风险管理措施较落后等因素,使医疗行业数据成为黑客们钟爱的攻击目标。
尤其最近几年,病历电子化、医院上云、远程问诊等在医疗界轰轰烈烈展开,患者信息、病历等也从纸面转化为电子版,通过互联网医疗、远程问诊等新型医疗模式,医院内网的数据走向公网,于是网络安全问题接踵而至。
2015年4月到2016年3月全球范围内的网络安全事件中,医疗行业是勒索软件在世界范围内投入最多的行业,占第二季度勒索软件统计总量的88%。从防守方来看,无论是医疗机构,还是政府部门,对网络安全益发重视。
黑客攻击和信息持有企业或员工非法提供,是近年来刑事案件中涉案信息的最重要的两大泄露源头。由于侵害公民个人信息行为多为上游犯罪,危害往往等到更大经济损失出现时,才能被发现。在司法环节,执法和司法机关也在不断加强对这一类型犯罪的惩处力度。刑法意义上,违反相关规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑。构成情节特别严重,则可处以最高刑为七年的有期徒刑。
整体看,全国三甲综合医院安全水平存在较大差异。医院在网络安全方面每年都在加大投入,针对新情况做升级。另一方面,因为医疗数据大都在内网,安全性可以保证。至于与微信/支付宝合作的互联网医院,医院的原则是谁提供服务谁负责安全,一个典型的案例是,某地疾控中心委托公司建设网站,后者在网站后台设置权限,可以下载患者数据,包括了性命、年龄、手机号码、地区和登记的疾病信息,随后偷偷倒卖给母婴用品店、药店等等。
很多医疗行业被曝涉及到信息泄漏的漏洞多属于低级漏洞,如弱口令,SQL注入、命令执行等。而通常因为这类系统使用同一套程序系统搭建,一旦医疗行业系统存在漏洞,使用该程序的系统都将受到影响。通常这种类似的入侵事件都是通过系统对外的网站,对其发起攻击,然后窃取其中的数据,但是很多泄露数据事件中系统被攻击遭到入侵只是其中一种方式,也不排除有医疗行业内部工作人员对在贩卖泄露数据的可能。
对于类似信息泄漏事件来说,涉及到的都是医疗行业,或某些监部门提供的系统,单单靠患者很难避免。因为信息的录入是由相关工作人员负责,患者一旦提供信息后,数据便交由相关单位来保存处理。所以需要呼吁系统提供方、信息采集方要加强信息的安全存储,以及相关系统的安全防护,检测等工作,避免使用的系统存在漏洞,增加信息泄露的风,有效的保护网络安全。