雷锋网按:本文作者蛋壳研究院,来自动脉网。
无论是在中国还是美国,互联网医疗都是当前关注度最高的创业和投资领域。美国Mercom资本认为远程医疗、大数据分析和可穿戴设备将是2016年医疗投资最火热的领域。
我们也看到了越来越多的美国保险机构携手医疗机构和研究机构利用各类互联网技术来完善服务流程和提高服务水平。但同时,部分人可能还没有意识到头上悬着的达摩克利斯之剑——医疗信息安全问题。
2015年2月,美国第二大医疗保险公司Anthem宣布黑客盗取了公司超过8000万客户的个人信息,包括了用户家庭住址、生日、社保号和个人收入信息。此次泄露成为美国有史以来最严重的医疗信息泄露事件。
2015年5月,美国联邦医疗服务商Blue Cross Blue Shield(BCBS)旗下的CareFirst保险公司宣布因为黑客攻击,1100万用户信息泄露。2015年9月,一家名为Excellus保险商被黑客入侵,近千万用户信息遭到泄露。
根据美国卫生与公民服务部(HHS)的统计:近3年来,影响超过500人次的医疗信息泄露事件发生次数没有大幅度增长,但是受泄露所影响的人数呈现出“爆发式”增长。
2015年因各种原因导致的医疗信息泄露事件累计影响达到了惊人的1.1亿人,是之前五年泄露人数总和的2.7倍,相当于三分之一的美国人的医疗信息出现了安全问题。2016年前三个月,已经发生了51起泄露事件,牵扯人数达到347万。
IBM下属的长期关注网络信息安全的X-Force研究机构将2015年称之为“医疗信息安全爆发之年”。
大洋彼岸的我们此刻也处在“互联网+医疗 ”概念爆发的阶段。一时间无数医疗健康类APP、网页等产品蜂拥上线。我们先不去探讨如此众多的产品究竟能给用户带来多少有价值的医疗服务,首先来关注能否确保用户的个人信息安全。
我们在国内知名的网络安全网站“乌云”上以“医院”为关键词进行搜索,查找出超过600条漏洞。三分之一的漏洞都在近两年内被“白帽子”发现上报的。
这些安全漏洞,有的是医院信息系统建设漏洞,有的是互联网医疗公司网站漏洞,几乎涵盖了当前所有与互联网医疗相关的方方面面。泄露的内容也颇为惊人,包含了大量的患者基本信息和病历信息。
更加让人担忧的是,绝大多数发现漏洞的“白帽子”反映,造成这些漏洞的技术问题相对较为低级,在其他成熟的互联网行业已经很难遇到这么低级的错误了。
这也从一个侧面反应了目前国内医疗信息安全防护意识和能力都急待提高。
某社区居民疾病登记管理系统账号密码泄露,暴露大量用户敏感信息。
某医院在线随访系统可以随意注册,查看患者有关信息。
蛋壳研究院通过对2010至2015年美国医疗信息泄露事件总结分析后发现了以下三个明显趋势:
保险公司成为医疗信息泄露主要来源。个人医疗信息主要从以下三大类机构中泄露:医疗保险商、医疗机构和商业合作公司。
商业合作公司的医疗信息泄露事件从次数和影响人数上都呈下降趋势。医疗保险商和医疗机构泄露事件和影响人数却在不断上升。
特别值得注意是,医疗保险商服务用户数众多,一旦发生泄露事件将导致“毁灭性”灾难。
黑客入侵成为主要的直接泄露原因。泄露的原因主要有以下五大类:黑客入侵、使用者处置不当、非法登陆、丢失和被窃。
近两年以来,黑客入侵和非法登陆事件次数明显增多,已经取代了被窃成为最主要的泄露原因。从泄露的人数上来看,黑客入侵也在近两年内泄露人数快速增长的主要原因。
服务器是造成信息大量泄露的主要渠道。信息泄露主要有以下几种渠道:台式电脑、笔记本电脑、服务器、电子医疗档案、电子邮件和传统纸质档案。
纸质病历泄露事件次数虽然较多,但影响的人数相对有限。因服务器泄露所影响的人数占到了总人数的89%,这与之前所发现的黑客入侵事件逐年增多有关。
“冰冻三尺非一日之寒”医疗信息泄露爆发式增长的原因还得从医疗和保险机构自身内部说起。
首先,在奥巴马政府大力推行医疗信息化普及的大背景下,近些年美国医疗机构使用信息化系统的比例不断提高,机构间共享数据也更加普遍。医疗信息数据正在以几何倍数增长,这直接增加了泄露发生的可能。
其次,虽然美国医疗信息化软件代表着当前一流水平,但是由于医疗机构内和医疗机构之间,软件“碎片化”严重。多数软件在设计之初,并没与完全考虑到未来互联互通时可能存在的安全问题,留下了很多安全隐患漏洞。
据调查,美国41%的医疗机构没有对医疗数据进行加密处理,一半的医疗机构无法有效预防和应对信息安全泄露。
还有,绝大多数医院负责信息系统维护的部门都处于人员短缺的状态,美国47%的医疗机构没有足够的信息安全专家,加上长期以来医务人员缺乏关于信息安全的有效培训。这些都增加了信息安全泄露的风险。
相比上面所提到的三大内部因素,现在来自外部的因素正在成为信息泄露的主要驱动力。黑客们已经发现这是一条稳定的“生财之道”。
黑客利用医疗信息安全漏洞获利的方式主要可以分为以下两大类。
一是利用泄露的信息直接“变现”。在黑市上,个人医疗信息的价值比信用卡信息要高50倍。因为它里面包括了患者的个人基本信息、财务信息和健康信息等多种敏感数据。不法分子可以利用这些信息进行诈骗、勒索等行为。
二是利用安全漏洞间接“变现”。主要的手段是通过网络安全漏洞控制医院网络系统,进而向医院索要赎金。目前在美国,第二种“间接”的手段,正在成为主要的安全危害。
今年2月份发生在洛杉矶长老会医院的网络安全事件极具代表性。黑客通过利用恶意软件渗透入医院网络系统,对系统内的文件进行加密,使全部电子病历数据无法使用,再以解锁密钥作为筹码向医院索取赎金。
虽然,医院负责人声称患者或员工的信息数据没有被黑客非法利用。但是由于医务人员只能靠手工工作,效率明显降低;患者也无法获取在线病历和化验结果,只好转往其他医院。医院在尝试各种办法都无法恢复系统之后,只好向黑客支付了40比特币(一种虚拟电子货币,价值1.7万美元)才得以恢复正常运行。
对于一个拥有400多张病床的医院来说,支付1.7万美金赎金可能并不算太多。但是这种以攻击医院信息系统、要挟赎金谋利的“闭环”模式一旦成熟,必将会有更多的“黑手”伸向医院。
根据美国一家名为Royal Jay软件公司统计,因为医疗信息泄露带给整个医疗行业的损失高达每年60亿美元,平均每次泄露会给医院造成350万美元的损失,会给个人造成近400美元的损失。
在黑客眼中,医疗保险机构的安全漏洞“多如牛毛”,通过简单的渗透破坏就能索要赎金,还能够利用比特币这样的电子虚拟货币来隐蔽交易,让执法者更加难以追踪破案。
对患者和医疗机构而言,因为信息安全“破财消灾”只是“噩梦”的开始,潜在的最大危害是黑客利用网络安全漏洞直接对医疗设备进行控制进而危害医疗安全和患者生命。
在“互联网+”的浪潮中,我们为了获取更多的用户信息,将许多传统设备接入网络,相当于在原本就不牢固的屏障中增加了许多扇不上锁的大门。
罗马不是一天建成的,建设医疗信息安全“护城墙”任重而道远。
美国政府有关机构已经开始与不少厂商尝试联手,加强网络安全防护,防范与日俱增的风险。
2013年,美国FDA向医疗设备生产厂商发出提醒,建议其评估有关产品的网络安全。
2014年10月,美国FDA发布了医疗设备网络安全功能指南,提醒医疗设备厂商加强设备的安全性,防止被攻击者利用。
2015年,各类医疗设备和医疗保险商网络安全事件频发,甚至引起了美国国土安全部的关注。
2016年1月,美国FDA针对医疗设备网络安全公布了一份指南草案,其中包括了一系列关于增强设备安全性的具体指导。从政府到医疗设备厂商、医疗保险商和医疗机构一副严阵以待,大敌当前的态势。
现阶段,我们还只是看到了有不法之徒利用网络安全漏洞行“谋财”一事。迟早,我们会看到有人利用漏洞干“害命”的勾当。这才是最令人感到不寒而栗的事情。虽然我们不是网络安全专家,但在这里还是想为医疗机构和有关厂商提几点建议:
1、不要高估自己的网络安全防护能力;
2、加强员工网络安全培训;
3、考虑与第三方专业机构合作进行网络安全建设;
4、建立一套周全的应急方案应对信息泄露事件。
重视数据的安全,就是重视用户的安全。
未来,类似前面提到的洛杉矶长老会医院“被黑”的悲剧肯定还会出现。机构和厂商加强网络安全建设的同时,只有“祈祷”自己不会成为黑客的下一个目标。