癌症病患信息在黑市賣高價 黑客為何總盯上醫院?
隱私護衛隊的E隱私投訴小程序上線了。大家有任何隱私問題,歡迎爆料!今天,隊長接到一則反饋——
裊裊:
我是小J。聽說上海某公立醫院HIS系統(醫院管理信息系統)最近被黑,遭勒索2億「以太幣」,這是真的嗎?對黑客來說,醫院的數據很值錢嗎?
小J:
你好,首先非常感謝你的提問。隊長這幾天也注意到了這條消息。現在網上還有不少關於這件事的報道。但是這些報道都沒有披露事件的詳細信息,究竟是哪家醫院,系統如何被「黑」,到底是內鬼所為,還是外部攻破,均不詳。
隊長注意到,2月7日,上海衛計委官方微博「健康上海12320」已經對此闢謠,稱獲悉消息後立即開展調查。調查結果顯示,上海市公立醫院均不存在報道中所述情形。
至於第二個問題,為何醫院總會被黑客盯上?
上海市信息安全行業協會專家委員會副主任張威告訴隊長:
醫院數據是涉及個人隱私的敏感信息,例如病史數據,一個癌症患者的信息在黑市上可以賣很高的價格。一些保健品的廠商可以就此進行針對性的推銷。
「醫療數據是很多黑客覬覦的大金庫。」一名網路安全從業者向隊長表示,醫院系統之所以會被衝破,關鍵原因在於安全防範體系薄弱。據業內人士透露,國內的醫院在信息安全方面做的還很少,一些民營醫院和非三甲醫院的數據安全管理能力較差。
北京某知名醫院信息管理處高級工程師說:
「數據對醫院來說就是重要的資源保障,肯定不能外泄。」不管是信息安全還是技術問題,首要任務就是保障系統的安全性,不斷加固防護措施。個人建議,醫院內部應該加強管理,規範相關制度和流程,在安全設備防護體系上進行建設,同時加強內部人員的安全意識。
張威表示,網路安全問題應該引起醫院的重視,推進相關防護措施的建設,尤其是患者的醫療數據必須得到有效保護。此外,醫療行業需儘快出台相關安全操作標準,主管機構也應加大監管力度,對違規的醫療機構進行處罰。
延伸
其實,針對醫院的網路攻擊似乎從未停息。
2017年5月,WannaCry勒索病毒席捲全球,醫院正是其中的重災區。黑客襲擊了英國國家醫療服務體系,並侵入醫院,致使正在進行外科手術的醫生,被迫拒絕病人的治療,取消了其預約。
而在最近,據外媒報道,1月8日,位於挪威東南部地區的醫療衛生機構Health South-East RHF表示計算機系統遭到入侵,可能會影響到全國一半以上,約290萬人的醫療數據。
不僅在國外,隊長檢索裁判文書網發現,近幾年因為非法入侵和獲取醫院計算機信息系統數據的判例不在少數。
去年5月,廣州市白雲區人民法院審理了一起案件,被告人黃某甲、黃某乙在2016年9月至12月間,攜帶作案工具無線路由器、筆記本電腦等,多次到廣州白雲區某醫院,使用上述工具非法侵入南方醫院HIS系統獲取醫生開處方的數據,違法所得共計人民幣24000元。
黑客入侵醫院獲取的信息,不只是醫生開處方的數據。隊長注意到,2017年10月,在廣東省梅州市梅江區人民法院審理的一起案件中,三名被告從2016年底到2017年6月,多次到梅州市兩家醫院,利用計算機黑客軟體程序非法入侵醫院葯庫系統,所盜取的數據包括藥品系統信息,還有醫護人員身份驗證信息數據、醫護人員數據,以及2017年4月病人賬單遺囑明細數據信息幾十萬條。
而這些被盜取的信息,隨後又被黑客轉售給醫藥代表等人。在梅州這一案件中,被告根據醫藥代表要求,將偷取來的數據整理統計後,出售給醫療代表獲利。
在隊長看來,醫院的系統安全問題應該引起重視。試想,有天你去醫院挂號,或正要找醫生開方子時,突然發現醫院的電腦系統出故障了,暫停部分服務,你該怎麼辦?如果醫院的病患數據因此泄露了,你的體檢報告,服用過什麼葯等信息都被曝光了,又會帶來什麼樣的影響?
此前,隊長曾推薦過一部影片《我是誰:沒有絕對安全的系統》,因為人是最大的漏洞。最後,隊長來科普兩個專有名詞:
【HIS系統】(醫院管理信息系統Hospital Information System),覆蓋醫院所有業務和業務全過程的信息管理系統。包括醫院所屬各部門提供病人診療信息 和行政管理信息的收集、存儲、處理、提取和數據交換的能力並滿足授權用戶的功能需求的平台。
【以太幣】以太坊(Ethereum)的一種數字代幣,被視為「比特幣2.0版」,採用與比特幣不同的區塊鏈技術「以太坊」(Ethereum),開發者們需要支付以太幣(ETH)來支撐應用的運行。和其他數字貨幣一樣,以太幣可以在交易平台上進行買賣。
TAG:癌症 |