为己为人,请重视医疗系统安全!

据路透社报道,如今在黑市交易中,用户的医疗记录信息要比信用卡信息更加值钱。

上个月,有消息称全美最大医疗服务提供商Community Health Systems Inc遭遇大规模网络攻击,黑客成功入侵该机构系统,并窃取了约450万病人的信息。据统计,2009年到2013年,遭受网络攻击的健康医疗机构在此期间由过去的20%增长至40%。

“黑客发现了新的谋利方式,而健康医疗产业正在成为他们一个成熟的目标,因为病人的数据可以被高价出售。”安全人士表示,“医院的安全系统很薄弱,因此也最容易被黑客入侵,并获得大量病人信息。”

不法分子窃取包括病人的姓名、生日、保单号码、诊断结果以及账单等信息来创建假身份证,用以购买医疗器械或药品,并最终实现倒卖目的。高收益致使用户医疗记录信息在黑市中比信用卡信息高出10到20倍,高达每人10美元的价格。小编忍不住想站在美国FBI的调查上看看我大天朝的医疗体系的信息安全现状。

案件频频,因自保能力差

美国调查结果显示,受攻击的医疗机构多半是电脑系统落后、安全保护欠缺,但市值规模高巨大。调查人员表示“在我和医院以及信息被盗的人交流过后,发现他们都仍在使用非常非常老旧的系统——至少有10年历史的Windows,而且还没有安装任何补丁。”

本次调查虽然发生在美国,但因患者信息遭泄而引发诈骗行为的案件在咱国内也频频发生。从案发后医院方面给出的回答,例如“医院可以接触患者信息的医疗人员很多,很难追查信息在哪个环节泄露”,可以看出医疗信息在医院分级查看的制度并不明晰,对医疗档案本身也没有使用加密或文件封锁等手段进行保护。相关调查显示,国内很多社区医院已采取网络形式“共享”患者信息,一旦医疗系统遭入侵,后果不堪设想。事实上,连续的网络攻击迫使美国健康医疗服务商和保险商不断要升级自己的信息安全系统,而从小编自家安全产品IP-guard近一个季度的销售情况看,医疗行业销量渐长,其中不乏复旦附属大学儿科附属医院、广东省中医院等高等级的医院,天朝医疗机构信息安全意识已有较大提升,但仍未普及。

电子病历使信息大规模泄露

目前,美国健康医疗服务提供商已开始大量采用电子病历。也正因为这种改变,直接导致了像Intermountain Healthcare这样的机构每周至少受到黑客攻击千次以上。并且一旦攻击成功,电子病历通过网络等途径进行数据转移,其遭窃规模要比纸质窃取大得多。

就天朝而言,电子病历仍未普及,但许多市级医院为了提高工作效率,已大部分采取病患凭诊号、医疗卡或身份证自助打印化验单的模式。但对于自助打印机并未施加安全管控,对患者同一化验单的打印次数也没有限制。在一个“物联网”安全遭质疑的时代,作为一台放置于公众场合的自助打印机,不管是物理环境还是网络环境,其安全性必定堪忧。

网络安全机构Accuvant副总裁杰夫·霍恩(Jeff Horne)指出,“医院是要把钱用来添置新的MRI机器,或者激光手术器械,还是用来升级防火墙呢?这是个难题。”于我大天朝的风格来说,小编相信院方肯定是选择用于购买医疗器械,因为在网上可以搜索出的各省市医院级别评定的标准中可以看到,详细到连医院必须有几个脸盆的标准中,并没有对医疗机构的信息安全管理作出的相关规定。虽然,2013年公安部和卫计委联合发文要求三级医疗机构信息安全必须达到三级保护标准,并在2015年全面完成等保建设。但若能将信息安全保护等级直接纳入医疗机构等级评定标准,才能使信息安全跟医疗设备被同等重视。不然按照这落实而不维护的惯病,即使当下达到安全标准,也难保“三级等保”授牌后能持续花费人力物力实时更新信息系统和安全设备。

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注