黑客對于醫(yī)療數(shù)據(jù)的興趣愈發(fā)濃厚，獲利之道是將信息賣給相關(guān)產(chǎn)品銷售商;而醫(yī)療機構(gòu)也在不斷夯實數(shù)據(jù)安全保護之墻，兩者間的攻擊與反攻擊戰(zhàn)役愈演愈烈。

(資料圖)

《財經(jīng)》記者 張利 張瑤/文 王小/編輯

近日，《法制日報》刊文《超過7億條公民信息遭泄露，8000余萬條公民信息被販賣》，曝出黑客入侵了某部委的醫(yī)療服務(wù)信息系統(tǒng)，大量孕檢信息遭到泄露和買賣。

一石激起千層浪。微博上不少用戶擔(dān)憂，“說不定就有我。” 醫(yī)療數(shù)據(jù)安全，這個略顯老套的話題再次成為焦點。

在全球范圍內(nèi)，醫(yī)療行業(yè)面臨的網(wǎng)絡(luò)安全威脅趨于嚴峻。數(shù)據(jù)分類好、使用價值高、安全保障和風(fēng)險管理措施較落后等因素，使醫(yī)療行業(yè)數(shù)據(jù)成為黑客們鐘愛的攻擊目標。

尤其最近幾年，病歷電子化、醫(yī)院上云、遠程問診等在醫(yī)療界轟轟烈烈展開，患者信息、病歷等也從紙面轉(zhuǎn)化為電子版，通過互聯(lián)網(wǎng)醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內(nèi)網(wǎng)的數(shù)據(jù)走向公網(wǎng)，于是安全問題接踵而至。

“協(xié)和、華西、301等大醫(yī)院有很多明星、政要的信息，所以黑客會感興趣。”一位三甲醫(yī)院信息科主任對《財經(jīng)》記者說。

網(wǎng)絡(luò)安全公司HEIMDAL發(fā)布《2016年中回顧：2016年網(wǎng)絡(luò)安全威脅分析報告》，總結(jié)了2015年4月到2016年3月全球范圍內(nèi)的網(wǎng)絡(luò)安全事件。其中，醫(yī)療行業(yè)是勒索軟件在世界范圍內(nèi)投入最多的行業(yè)，占第二季度勒索軟件統(tǒng)計總量的88%。

從防守方來看，無論是醫(yī)療機構(gòu)，還是政府部門，對信息安全益發(fā)重視。“曾經(jīng)一段時間醫(yī)院的信息安全做得很差，但過去兩年來已經(jīng)有很大的改善，現(xiàn)在總體還不錯。”國內(nèi)網(wǎng)絡(luò)安全公司奇虎360副總裁兼首席隱私官譚曉生告訴《財經(jīng)》記者。

上述信息科主任也表示，如果醫(yī)院出現(xiàn)大規(guī)模的信息泄漏，第一責(zé)任人為院長，第二責(zé)任人是信息科主任，這無疑也給醫(yī)療機構(gòu)的信息安全優(yōu)化提供了動力。

進攻的黑客與防御的醫(yī)療機構(gòu)之間，這場攻擊與反攻擊戰(zhàn)役愈演愈烈。

事發(fā)

2017年8月31日，浙江省松陽縣人民法院一審判決，王某輝、陳某亮等7人非法搜索、交換、買賣公民個人信息總計約8000萬條，構(gòu)成侵犯公民個人信息罪，獲刑三至五年不等。

這是一個專門買賣信息的團伙，其信息來源特別復(fù)雜。據(jù)本案判決書顯示，2016年2月至3月，王某輝在學(xué)習(xí)黑客技術(shù)時，獲取了大量孕檢類型的公民個人信息，同年7月起，其用名為“哈佛校長”等的QQ號，將這些信息出售。

該案主審法官葉永青告訴《財經(jīng)》記者，這些孕檢信息來自某部委下屬某婦幼保健醫(yī)院的網(wǎng)站數(shù)據(jù)，輻射范圍遍布全國。

這不是第一次婦產(chǎn)信息被泄露，深圳也發(fā)生過同類事件?！赌戏蕉际袌蟆啡ツ暌黄獔蟮婪Q，一份數(shù)量高達萬條產(chǎn)婦信息的清單再度流入市場，除了電話、出生日期、姓名，還包括居住地址、出生醫(yī)院等信息，“出生醫(yī)院”更是涵蓋深圳近50家醫(yī)院。

基于不同類型信息的重要程度，于今年5月發(fā)布的《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規(guī)定，非法獲取、出售或者提供行蹤軌跡信息、通信內(nèi)容、征信信息、財產(chǎn)信息五十條以上的，“情節(jié)嚴重”的入罪標準為50條。而諸如健康生理信息、交易信息等其他可能影響人身、財產(chǎn)安全的公民個人信息被非法獲取、出售等五百條以上的，構(gòu)成入罪標準。

“總體來說，進行精準營銷的企業(yè)和電信詐騙集團是公民個人信息的兩大主要買家。” 葉永青介紹，在浙江省松陽縣一案中，許多孕檢信息被賣給婦幼保健用品銷售商。

事實上，被銷售給相關(guān)企業(yè)是危害程度相對較低的行為。大量精準特定的公民個人信息被電信詐騙集團掌握后，圍繞信息編造“話術(shù)”“劇本”，并偽冒公檢法等進行精準詐騙，已有大量導(dǎo)致重大經(jīng)濟損失的案例。

一位長期偵辦相關(guān)案件的警方人員向《財經(jīng)》記者介紹，黑客攻擊和信息持有企業(yè)或員工非法提供，是近年來刑事案件中涉案信息的最重要的兩大泄露源頭。由于侵害公民個人信息行為多為上游犯罪，危害往往等到更大經(jīng)濟損失出現(xiàn)時，才能被發(fā)現(xiàn)。

在司法環(huán)節(jié)，執(zhí)法和司法機關(guān)也在不斷加強對這一類型犯罪的懲處力度。刑法意義上，違反相關(guān)規(guī)定向他人出售或者提供公民個人信息，情節(jié)嚴重的，處三年以下有期徒刑。構(gòu)成情節(jié)特別嚴重，則可處以最高刑為七年的有期徒刑。

防護級別

“醫(yī)療行業(yè)信息安全保護起步比較晚，目前我們是業(yè)內(nèi)流行什么技術(shù)，用什么技術(shù)，整體來看，處于中等水平”上述信息科主任對《財經(jīng)》記者分析，“其實重視以后，技術(shù)的問題很好解決。”

隨著患者信息、病歷等數(shù)據(jù)從紙質(zhì)版轉(zhuǎn)化為電子版，互聯(lián)網(wǎng)醫(yī)療、遠程問診等新型醫(yī)療模式，醫(yī)院內(nèi)網(wǎng)的數(shù)據(jù)隨之走向公網(wǎng)，醫(yī)療機構(gòu)對數(shù)據(jù)安全性益發(fā)看重。“病歷電子化以后，數(shù)據(jù)安全性問題不重視也要重視，黑客十幾分之內(nèi)就把數(shù)據(jù)全抱走了。”上述信息科主任說。

據(jù)醫(yī)療媒體動脈網(wǎng)統(tǒng)計，截止2016年11月，在國內(nèi)某知名網(wǎng)絡(luò)安全網(wǎng)站上以“醫(yī)院”為關(guān)鍵詞進行搜索，查找出超過600條漏洞。三分之一的漏洞都在近兩年內(nèi)為“白帽子”發(fā)現(xiàn)并上報。據(jù)大多數(shù)發(fā)現(xiàn)漏洞的“白帽子”反映，造成這些漏洞的技術(shù)問題相對較為低級，在其他成熟的互聯(lián)網(wǎng)行業(yè)已經(jīng)很難遇到這么低級的錯誤了。

2017年2月17日，浙江大學(xué)醫(yī)學(xué)院附屬第一醫(yī)院正式啟動“浙一互聯(lián)網(wǎng)醫(yī)院”的第二天，知乎上即出現(xiàn)了浙一互聯(lián)網(wǎng)醫(yī)院泄露患者信息的討論帖。網(wǎng)友“培根Bacon”稱其在注冊、安裝軟件過程中看到了其他患者信息，包括了患者手機號碼;2016年10月，有網(wǎng)友爆料，手機瀏覽器打開臨沂市人民醫(yī)院網(wǎng)站顯示卻為色情內(nèi)容，隨后，網(wǎng)友找到了黑客攻擊的代碼。

啟明星辰副總裁，知乎上黑客/網(wǎng)絡(luò)安全/信息安全話題優(yōu)秀回答者shotgun稱，“真的入侵案例新聞一般不會報，因為記者也不會知道。”

整體看，全國三甲綜合醫(yī)院安全水平存在較大差異。上述信息科主任介紹，到目前為止，其所在醫(yī)院在信息安全方面的累積投入約100萬元，“三甲醫(yī)院投入100萬起步，每年都對針對新情況做升級，每年投入約幾十萬”。

另一方面，在他看來，因為醫(yī)療數(shù)據(jù)大都在內(nèi)網(wǎng)，安全性可以保證。至于與微信/支付寶合作的互聯(lián)網(wǎng)醫(yī)院，醫(yī)院的原則是誰提供服務(wù)誰負責(zé)安全，“到目前為止，我們醫(yī)院沒有出現(xiàn)大范圍的泄漏”。

一個典型的案例是，浙江省疾控中心委托公司建設(shè)網(wǎng)站，后者在網(wǎng)站后臺設(shè)置權(quán)限，可以下載患者數(shù)據(jù)，包括了性命、年齡、手機號碼、地區(qū)和登記的疾病信息，隨后偷偷倒賣給母嬰用品店、藥店。

經(jīng)手這一案件的杭州市公安局網(wǎng)警分局一辦案民警對《財經(jīng)》說：“只要建站公司想這么搞，一般人防不住。”因此，一般醫(yī)院更傾向于選擇聲譽好、靠譜的大公司合作