编者按:本文来自微信公众号"财经杂志"(ID:i-caijing),作者:张利 张瑶,36氪经授权发布。
近日,《法制日报》刊文《超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖》,曝出黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖。
一石激起千层浪。微博上不少用户担忧,“说不定就有我。”医疗数据安全,这个略显老套的话题再次成为焦点。
在全球范围内,医疗行业面临的网络安全威胁趋于严峻。数据分类好、使用价值高、安全保障和风险管理措施较落后等因素,使医疗行业数据成为黑客们钟爱的攻击目标。
尤其最近几年,病历电子化、医院上云、远程问诊等在医疗界轰轰烈烈展开,患者信息、病历等也从纸面转化为电子版,通过互联网医疗、远程问诊等新型医疗模式,医院内网的数据走向公网,于是安全问题接踵而至。
“协和、华西、301等大医院有很多明星、政要的信息,所以黑客会感兴趣。”一位三甲医院信息科主任对《财经》记者说。
网络安全公司HEIMDAL发布《2016年中回顾:2016年网络安全威胁分析报告》,总结了2015年4月到2016年3月全球范围内的网络安全事件。其中,医疗行业是勒索软件在世界范围内投入最多的行业,占第二季度勒索软件统计总量的88%。
从防守方来看,无论是医疗机构,还是政府部门,对信息安全益发重视。“曾经一段时间医院的信息安全做得很差,但过去两年来已经有很大的改善,现在总体还不错。”国内网络安全公司奇虎360副总裁兼首席隐私官谭晓生告诉《财经》记者。
上述信息科主任也表示,如果医院出现大规模的信息泄漏,第一责任人为院长,第二责任人是信息科主任,这无疑也给医疗机构的信息安全优化提供了动力。
进攻的黑客与防御的医疗机构之间,这场攻击与反攻击战役愈演愈烈。
2017年8月31日,浙江省松阳县人民法院一审判决,王某辉、陈某亮等7人非法搜索、交换、买卖公民个人信息总计约8000万条,构成侵犯公民个人信息罪,获刑三至五年不等。
这是一个专门买卖信息的团伙,其信息来源特别复杂。据本案判决书显示,2016年2月至3月,王某辉在学习黑客技术时,获取了大量孕检类型的公民个人信息,同年7月起,其用名为“哈佛校长”等的QQ号,将这些信息出售。
该案主审法官叶永青告诉《财经》记者,这些孕检信息来自某部委下属某妇幼保健医院的网站数据,辐射范围遍布全国。
这不是第一次妇产信息被泄露,深圳也发生过同类事件。《南方都市报》去年一篇报道称,一份数量高达万条产妇信息的清单再度流入市场,除了电话、出生日期、姓名,还包括居住地址、出生医院等信息,“出生医院”更是涵盖深圳近50家医院。
基于不同类型信息的重要程度,于今年5月发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,“情节严重”的入罪标准为50条。而诸如健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息被非法获取、出售等五百条以上的,构成入罪标准。
“总体来说,进行精准营销的企业和电信诈骗集团是公民个人信息的两大主要买家。”叶永青介绍,在浙江省松阳县一案中,许多孕检信息被卖给妇幼保健用品销售商。
事实上,被销售给相关企业是危害程度相对较低的行为。大量精准特定的公民个人信息被电信诈骗集团掌握后,围绕信息编造“话术”“剧本”,并伪冒公检法等进行精准诈骗,已有大量导致重大经济损失的案例。
一位长期侦办相关案件的警方人员向《财经》记者介绍,黑客攻击和信息持有企业或员工非法提供,是近年来刑事案件中涉案信息的最重要的两大泄露源头。由于侵害公民个人信息行为多为上游犯罪,危害往往等到更大经济损失出现时,才能被发现。
在司法环节,执法和司法机关也在不断加强对这一类型犯罪的惩处力度。刑法意义上,违反相关规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑。构成情节特别严重,则可处以最高刑为七年的有期徒刑。
“医疗行业信息安全保护起步比较晚,目前我们是业内流行什么技术,用什么技术,整体来看,处于中等水平”上述信息科主任对《财经》记者分析,“其实重视以后,技术的问题很好解决。”
随着患者信息、病历等数据从纸质版转化为电子版,互联网医疗、远程问诊等新型医疗模式,医院内网的数据随之走向公网,医疗机构对数据安全性益发看重。“病历电子化以后,数据安全性问题不重视也要重视,黑客十几分之钟内就把数据全抱走了。”上述信息科主任说。
据医疗媒体动脉网统计,截止2016年11月,在国内某知名网络安全网站上以“医院”为关键词进行搜索,查找出超过600条漏洞。三分之一的漏洞都在近两年内为“白帽子”发现并上报。据大多数发现漏洞的“白帽子”反映,造成这些漏洞的技术问题相对较为低级,在其他成熟的互联网行业已经很难遇到这么低级的错误了。
2017年2月17日,浙江大学医学院附属第一医院正式启动“浙一互联网医院”的第二天,知乎上即出现了浙一互联网医院泄露患者信息的讨论帖。网友“培根Bacon”称其在注册、安装软件过程中看到了其他患者信息,包括了患者手机号码;2016年10月,有网友爆料,手机浏览器打开临沂市人民医院网站显示却为色情内容,随后,网友找到了黑客攻击的代码。
启明星辰副总裁,知乎上黑客、网络安全、信息安全话题的优秀回答者shotgun称,“真的入侵案例新闻一般不会报,因为记者也不会知道。”
整体看,全国三甲综合医院安全水平存在较大差异。上述信息科主任介绍,到目前为止,其所在医院在信息安全方面的累积投入约100万元,“三甲医院投入100万起步,每年都对针对新情况做升级,每年投入约几十万”。
另一方面,在他看来,因为医疗数据大都在内网,安全性可以保证。至于与微信/支付宝合作的互联网医院,医院的原则是谁提供服务谁负责安全,“到目前为止,我们医院没有出现大范围的泄漏”。
一个典型的案例是,某地疾控中心委托公司建设网站,后者在网站后台设置权限,可以下载患者数据,包括了姓名、年龄、手机号码、地区和登记的疾病信息,随后偷偷倒卖给母婴用品店、药店。
经手这一案件的民警对《财经》说:“只要建站公司想这么搞,一般人防不住。”因此,一般医院更倾向于选择声誉好、靠谱的大公司合作。