天天看點

黑客風暴波及移動醫療 醫患資訊資料安全再成隐憂

網絡安全在近期成為了閱聽人關注的熱頻詞彙,如今這股戰火燒到了移動醫療。

5月17日,廣州市越秀區人民法院開庭審理了一起侵犯個人資訊案件,該案件中包括前“杏仁醫生”前員工武某在内的三名犯罪嫌疑人,為“發資訊推介借貸業務”,通過黑客手段圖謀竊取醫患溝通管理工具杏仁醫生資料庫中約35萬醫生個人資訊。

至此,随着近幾年移動醫療行業的不斷發展,其不斷壯大的患者和醫生資料安全也伴随着這起案件再次站上風口浪尖。

杏仁醫生方面在給第一财經的回應中表示,該事件案情基本屬實,但慶幸的是由于公司本身存在的權限設定和資料安全系統及時告警,報警處理後,在警方的協助下,采取當機用于竊取的伺服器和攔截資料的行動保全了35萬資料免遭洩露。另外,資料庫采取的防止惡意抓取和盜竊資料的資料保護手段,犯罪嫌疑人最終竊取的基本是無效資料。

黑客可擋,内鬼難防。其實,與本次案件類似的近年來公安機關為打擊整治網絡侵犯公民個人資訊問題,抓獲的大量犯罪嫌疑人中有相當一部分都是行業“内鬼”。

“使用者需要在軟體背景設定嚴格的審計,當所有背景的行為都有詳細記錄,越權操作就可快速被攔截。”騰訊雲安全首席架構師周斌對此表示,“也正是以,對于本次案件中資料庫裡的幾十萬醫生來講,這條資訊黑産鍊才得以在第一級階段就被嚴密的保護措施所切斷,後續資料也才能免遭洩露。”

據他透露,相關資料洩露問題之是以内鬼頻出,其直接原因還是在于資料買賣灰色産業鍊的誘惑。這個産業鍊共分四級,第一級是黑客或内鬼盜取公民個人資訊;第二級是資訊批發商,他們從黑客手中擷取大量資訊,并通過互相交換,像滾雪球一樣不斷增加自己的資訊資料庫;第三級則為資訊購買人或者中間商,他們從批發商那裡購買各種資料,再根據需要轉手賣給他人;第四級是資訊使用者,包括業務推銷、詐騙盜竊等人員,他們拿到資訊後,進行電話營銷,或者利用僞基站實施電信詐騙。

“一般來說管理背景都需要有嚴格的權限限制,不能檢視無權限的資訊或者進行無權限的操作。另外,對于賬号、密碼、個人資訊等相關内容,企業也要有嚴格的資料分級機制,從資訊産生、存儲、傳輸、通路、釋出、銷毀等各個環節均有完整的安全營運體系,以保證資料完整性和可靠性。”周斌表示,而對于資料極為敏感的醫療行業,他還建議嚴格控制資料的使用權限和遵循最小範圍使用原則,確定醫生資訊僅本人可見,以及任何用途均得到本人授權後使用的原則。存儲中的資料均進行了高強度加密和匿名化處理,以保護個人資訊。

“現在移動醫療快速普及,我們的資料在雲端取,在雲端讀,甚至計算也在雲端,我們就需要更加注意資料安全的問題,目前我國的移動醫療在法律法規方面還是有很多可以做的。總的來說,需要政府和業界一起合作才能更加有效,才能形成一個比較有執行力的行業共識。”此前百時美施貴寶制藥有限公司戰略産品規劃部進階經理李逸石曾在公開場合表示,“在技術層面,由以醫院為代表的服務提供方,以及資訊系統建立者和廣大的移動醫療、網際網路醫療的廠商一起合作,在現在技術指南的架構下,形成一定的行業共識。”

事實上,早在1996年美國的hipaa法案就已經設計了醫療健康隐私方面的相關規定。該法案包括健康保險隐私及責任法案分為兩個部分,其中第二個部分裡面較長的描述了醫療保險的提供方、醫療保險的營運方以及雇員在保護個人健康隐私中的一些責任。在2009年的另一個新法案中提出,醫療資料的管理者需要具備向上報告和向下告知的一些義務,還有個人健康資訊隐私之間的分享,如哪些場合是能分享,哪些場合是不能分享的界定。違反hipaa的後果非常嚴重:在美國,如果是由于有意且造成嚴重後果的,對于這個機關的罰款每年可以達到150萬美元。如果違法意圖是想出賣或者是轉售這樣一些商業資訊的話,個人最高罰款可以達到25萬美元,十年監禁。

本文轉自d1net(轉載)