隐私信息安全从来就不是什么新鲜的事物,它主要有这几个方式:
源头信息安全:被摄像头直播(亲眼看过360水滴直播活春宫的,倒也不是摄像头有安全问题,而是用户压根不知道被全网直播了)、被拍摄、被监听;
介质信息安全:手机、U盘丢失、电脑送修;
网络信息安全,账户被盗、网站被强行脱裤(拖库,数据库被黑客下载);
更高级的就是社工了,通过收集你的生活、网络行为习惯,伪装身份获得你的信任或猜解、撞库获得你更多信息……
这些都不是骇人听闻,实话告诉你,你生活在一个被黑客虎视眈眈盯着的世界。
信息安全的范围太广,恰好我所学的专业(医学信息工程)可能可以扯上一两句(虽然我大学学的什么东西基本全忘了……),我们今天就来聊一聊医疗信息安全。
医疗隐私信息是个人隐私信息里极为重要的一部分,仅次于金融信息安全,或者有时候更高于金融信息安全,比如艳照门事件,花多少钱也没法让负面影响消失。
首先问一个问题,你眼里的“医疗信息安全”是什么?
你的第一反应可能跟医院有关。嗯,是的,大部分的医疗行为跟医院、诊所都有关系,但又不仅仅限于医院和诊所。你看,微信上的城市生活服务不是也能挂号嘛,百度搜一搜你是啥毛病啥关键词百度可知道的一清二楚,还有各类的在线问诊网站、App……互联网给人们生活带来许多便利,无论是自身的医疗行为,还是社区交流,都有长足的进步。但这一切,无形中可能带来另外一个问题 —— 隐私信息安全。是的,有可能某天有个陌生的人给你打电话,知道你从A罩杯整到了C罩杯,在哪个医院整的,整前整后是怎样的……
最早的医疗信息都集中在医院的局域网中,形态大概就是我们通常所说的HIS系统(Hospital Information System,中文译医疗信息系统)。
那么问题来了:医院安全吗?
不安全,或者说安全只是相对的,要看信息泄漏到什么程度。
比如大部分医院的叫号系统,显示“xxx名字请到xx科xx诊室”,比如“请10号黄晓明(纯属雷同巧合的名字)请到男性生殖科1号诊室”,如果恰好有熟人看到说:“啊,黄晓明是不是有什么问题啊,跑到男科去看,还是看的生殖……”
或者是医院的网站被入侵,渗透到内网,被黑客批量获取了数据,这是真事儿,我亲测几个医院的网站,各种SQL注入、弱口令安全漏洞;
又或者是医生之间的病例讨论,直接把你的病例或者影像扫描结果发到网站、App或者是聊天群里 —— 这也是真事儿,我待过几个医疗群,病例求助的医生把病人的病例发上来,个人信息没有打码(医生并非有意,大部分是时间紧迫,或者无意识的;
又或者是国家系统或者医疗厂商出了事,比如:慢性病远程检测管理数据中心弱口令(涉及部分医院,医生,以及病人信息)。
触目惊心是不是?躺枪是不是?
现在很多医院的看诊也还依旧是这个形式,你觉得有隐私可言吗?
移动医疗安全吗?
除了医院/机构,这两年风头正旺,屡屡获得巨额融资的移动医疗领域,安全的问题也是让人头疼。厂商们一方面在大肆宣扬“云服务”,如何加密如何安全,但大部分都是说的比做的多。当然也有做得比较好的,比如丁香园、挂号网,虽然多少有安全问题,但响应快,也足够重视,绝大部分的中小厂商都存在着严重的安全漏洞,比如xx林、x美、xx牙医……
除了你的姓名、头像、手机号等信息,还有你所发布的咨询、病例(如果是医生)、账号密码……都有可能泄露。也许有一天,你正在愉快地自拍着,忽然有个陌生人打电话给你,他不仅知道你的姓名、性别、生日、电话,还知道你的确切地理位置,知道你脸上哪个部位整过,屁股和胸左边还是右边是假的,找你要钱消灾或者是有更好的变美促销活动问你要不要。如果接到这样的电话,千万不要觉得震惊,这一切可能是你的错,也可能是厂商无作为的错,也可能是国家的错。
为什么是你的错?
那是因为你经常使用重复的密码注册、登录各种各样的网站;那是因为你过度信任厂商的安全技术能力,毫无保留把自己的信息交给厂商;那是因为没有安全意识,可能上了钓鱼网站或者因为大意电脑、手机感染了病毒。总之就是你的不小心,让信息暴露在光天化日之下。
那么对于这一切,你可以做些什么?
不要在多个医疗网站上使用相同的密码;
不要在医疗网站/App上留过多的个人私密信息;
勤换密码;
如果要在这些网站/App自拍,最起码打个码!!!
使用小号(比如手机号用阿里小号……);
多留个心眼,不要轻易相信中奖、钓鱼信息,不要让一个来路不明的App/应用程序轻易住到你的电脑里;
百度疾病的时候,把隐私模式开启(如果不会,百度一下怎么开启);
买了东西(药/充气娃娃),快递地址如果没有用,撕碎,扔掉;
网上问诊在不是太熟悉对方的时候,真不要太毫无保留,有病得去正规医院看,即便是难言之隐;
医生们的学习热情是毋庸置疑的,发病例讨论的时候,记得要把个人隐私信息打码或者去掉哦;
……
那为什么又是厂商的错呢?
应用程序的漏洞无非就几种,xss、弱口令、SQL注入、任意文件上传提权getshell、越权、CSRF等,这些问题只要厂商研发人员平时多点安全意识,多关注安全平台,危害就会小一些;即便发生了安全漏洞,快速响应修补把危害降到最低也可以原谅。
但移动医疗领域里,许多中小厂商是没有这些安全意识的。他们大部分精力在业务层面,在安全方面不作为、不重视、投入不够。乌云上有多少医疗信息安全相关的漏洞是无人认领的,大家可以上去搜一搜 “医疗、医生、医院”等关键词。
为啥国家可能也有错呢?
除了技术漏洞、道德问题以及监管责任之外,今日信息安全问题泛滥的一个重要的原因是法律规范模糊导致违法成本过低。事实上,我国自上世纪90年代以来,先后出台多部涉及互联网个人信息安全的法规、条例、办法,如《中华人民共和国计算机信息系统安全保护条例》、《计算机病毒防治管理办法》、《互联网网络安全信息通报实施办法》……但是,纵观专门涉及互联网个人信息安全的法规、条例、办法,有几方面特点:
从颁布者来看,多为国务院、工业和信息化部、公安部等行政部门,这种部门法规的效力和权威要低于国家法律;
从内容来看,对侵害互联网个人信息安全的行为的界定、处置依据尚比较模糊,对各类互联网参与主体的责任划分不够清晰明确,特别是对互联网信息企业在信息安全方面人员、设备投入没有明确的规定,难以适应当前严峻的互联网个人信息安全形势。
扯了那么多,用户是信息的源头,咱们以后,可千万不要太信任那些实力不济的网站/App厂商啊。
末了,让我们一起用小号闯网络世界,共建美好明天吧……