Facebook都被數據坑了，比美國HIPAA強硬「十倍」的歐盟GDPR法案，真能控制數據泄露嗎？

「很好與優秀只差一點點距離，這段距離叫安全。」當然，這裡說的絕不是某荷蘭進口小牛皮高端手機。

近日，全球最大的社交網站Facebook因為一起嚴重的數據泄露事件，遭遇公司成立以來的最大危機。

據悉，此前Facebook 開放 API 介面讓外部第三方公司在 Facebook 平台上提供心理測驗或者是小遊戲。卻因為一家位於英國的數據分析公司劍橋分析（Cambridge Analytica) 在未經用戶許可的情況下，盜用了高達5千萬用戶的個人資料。

而這家公司恰恰是在 2016 年特朗普競選團隊所僱用的的數據分析公司，用來分析預測，並涉嫌以此進行社交媒體操作影響大選中的選民行為。

這次事件後，在上周開盤的兩個交易日中， Facebook 股價跌落了 11.4%，市值在兩天之內蒸發了 600 億美元。其中甚至傳出，Facebook 將會因為這次事件遭到2 兆美元的天價罰款，相當於目前企業市值的 4 倍。

面對這一爆炸性的事件，動脈網不得不再一次將目光放到了醫療行業的數據安全保護上。

美國的HIPAA

20多年前，美國的醫療機構由於患者的信息泄露，長年付出著慘痛的代價。在此背景下，HIPAA誕生了。

HIPAA是美國前總統柯林頓簽署的健康保險攜帶和責任法案（Health Insurance Portability and Accountability Act）的縮寫。該法案是繼1974年《僱員退休收入保障法案》（「ERISA」）後，最具深遠影響力的法案。

HIPAA對多種醫療健康產業都具有規範作用，包括交易規則、醫療服務機構的識別、從業人員的識別、醫療信息安全、醫療隱私、健康計劃識別、第一傷病報告、病人識別等。

自2003年以來，美國已有171000多起隱私規則投訴被記錄，累計產生了數百萬次罰款。2013年，連續三次數據泄露事件使得Advocate Health System 不得不繳納550萬美元。

即使是遠近聞名的紐約長老會醫院和哥倫比亞大學，也不得不因為數據泄露事件支付480萬美元。目前，這個名單現在還在持續增加中……

2018年美國五大醫療數據泄露事件

對於HIPAA法案，美國健康和人類服務部負責健康信息隱私的主任Susan McAndrew曾如此說道：「啟用HIPAA後，問題似乎比以前更多了，有些醫護人員學會了鑽這項法案的空子，部分人確實不知道該如何限制法案的應用範圍，但另有所圖的人員常以此法案為借口達到他們各自的目的。

顯然，HIPAA法案並沒有真正起到防止醫療健康數據安全泄露的作用。即便是在2018年，美國也已經曝出了不少嚴重的醫療數據安全泄露事件。

Coplin健康系統公司筆記本數據泄露事件

2018年1月13日，位於西弗吉尼亞州的Coplin健康系統公司對43000名患者發送了緊急通知，因員工盜用公司的筆記本電腦，可能會發生嚴重的數據泄露事件。

技術人員在11月2日發現了這起盜竊案。雖然該組織為筆記本電腦配備了安全工具，並且受密碼保護，但未能對存儲在硬碟驅動器上的數據進行加密。

筆記本電腦上的數據包括患者姓名、社會安全號碼、財務信息、家庭地址、出生日期和醫療數據。

註：在美國，社會安全號碼（Social Security number，SSN）是發給公民、永久居民、臨時（工作）居民的一組九位數字型大小碼，是依據美國社會安全法案（Social Security Act）205條C2中社會安全卡的記載。這組數字由聯邦政府社會安全局針對個人發行。社會安全號碼主要的目的是為了追蹤個人的賦稅資料，但近年來已經成為實際上（De facto）的國民辨識號碼。

Greenfield受到勒索軟體攻擊

2018年1月15日，位於印第安納州漢考克健康的Greenfield受到勒索軟體攻擊，這促使技術人員關閉了整個網路 。

在醫院電腦屏幕上出現勒索軟體通知後不久。黑客竟然猖狂地表示，在技術人員支付比特幣贖金前，他會長期「保管」一定數量的系統「人質」。

對此，衛生系統的IT團隊立即關閉了包括醫生辦公室和健康中心在內的所有網路，以隔離病毒。相關技術人員表示，黑客正試圖讓醫院無法運營，使用「數字掛鎖」來限制人員對系統部分功能的訪問。

一名工作人員表示，本次攻擊非常複雜，它並不是由員工打開受感染的電子郵件造成。

McAfee首席科學家Raj Samani表示：「就勒索軟體而言，醫療行業遭受的損失可能是最多的。勒索軟體的爆炸式增長，其發源也是醫療領域。黑客們將從傳統形式的勒索軟體，轉向更多的網路破壞和服務中斷型攻擊。」

俄克拉荷馬州立大學健康科學中心網路攻擊

2018年1月15日，一個未經授權的用戶在2017年11月份入侵了俄克拉荷馬州立大學健康科學中心網路，訪問了包含279,865名患者公共醫療補助制賬單信息的文件夾。

事件發生後，技術人員迅速將受影響的醫療補助文件夾從網路中刪除。

OSUCHS發起了一項調查並聘請了一家外部安全公司來確定這些文件夾是否被盜用。這些文件夾包含患者姓名，Medicaid號碼，提供者姓名，服務日期和治療信息。

1月5日，OSUCHS開始通過郵件通知患者，並建立了一個專門的呼叫中心來解決受影響患者的問題。由於黑客行為，衛生系統也更新了其安全功能。

Onco360和CareMed 員工電子郵件帳戶數據泄露

2018年1月19日，一名黑客攻破了Onco360和CareMed公司，從而暴露了53173例患者的數據。

該腫瘤藥房公司與外部法醫團隊參與了此事件的調查，發現一名黑客進入了三個員工的電子郵件帳戶。

這些電子郵件包含兩家公司的一些患者人口統計信息、醫療臨床數據、健康保險信息和社會安全號碼。

事件發生後，公司不僅更改了電子郵件密碼，還為員工提供了關於如何識別可疑電子郵件的培訓，並且Onco360還在其電子郵件平台上增加了額外的安全措施。

紐約聖彼得外科和內窺鏡中心發動了惡意軟體攻擊事件

2018年3月12日，一個黑客組織對紐約聖彼得外科和內窺鏡中心發動了惡意軟體攻擊。這次攻擊可能使黑客獲得134,512份電子病歷。本次事件成為了美國2018年最為重大的數據泄露事件之一。

在1月8日那天，黑客成功獲得了聖彼得伺服器的訪問許可權。同一天，技術人員發現了這一漏洞，並限制了黑客訪問伺服器。但這無法排除患者數據是否被查看、訪問或盜取。

泄露的數據包含患者姓名、地址、出生日期、診斷信息、保險信息、社會安全號碼等。目前，這些患者已經獲得了為期一年的免費信用監測服務。

官員並沒有解釋黑客是如何將惡意軟體安裝到伺服器上的。聖彼得大學表示，他們將實施更為嚴格的信息安全標準，並且加強員工培訓。此外，管理人員正在考慮更多更精細的反欺詐和病毒防護軟體。

比HIPAA更嚴格的GDPR

面對日益猖獗的網路攻擊和層出不窮的數據泄露事件，2018年5月25日，歐盟（EU）將開始對不符合GDPR（一般數據保護法案）的公司施加巨額罰款。

這項保護條例將確保歐盟公民的個人數據隱私安全。新法規不僅適用於歐盟內部的組織，也適用於歐盟以外向歐盟公民提供產品或服務的任何組織機構。

與HIPAA不同的是，如果違反相關條款，HIPAA每年最高罰款僅為150萬美元。

而GDPR罰款可能高達2400萬美元或違規機構年收入的4％，並以較高者為準。簡而言之，GDPR將會對全球很大一部分企業的業務流程產生巨大的影響。

儘管美國一直堅持使用HIPAA標準，但對於那些想要獲得歐盟用戶的機構來說，GDPR法案可能會改變他們的遊戲規則。醫療機構和企業需要考慮數據流、跨境數據傳輸、隱私和安全監控，以確保提供的服務符合法案要求。

不少行業專家認為，GDPR或許比HIPAA更為重要。因為它不僅懲罰力度更高，而且其影響範圍也更廣。

據一家行業領先的信息安全公司最近的調查顯示，醫療是美國所有行業中為GDPR準備得最不充分的行業，只有17％的醫療機構表示他們將通過新系統來應對新規。

美國知名網路安全服務提供商GreyCastle Security的首席執行官Reg Harnish先生曾與全美數十家醫療服務提供商進行了交談，讓他意外的是，這些機構絕大部分都沒有意識到GDPR的意義所在。

幸運的是，現在還有時間。

GDPR的七大核心內容

1、它並非無跡可尋

GDPR的核心是數據的隱私保護，其中許多規定針對的是數據擁有者同意和分享數據的權利。儘管這在美國並不普遍，但GDPR的許多數據隱私要求對歐盟來說並不陌生。

GDPR的絕大多數要求都基於英國1998年的數據保護法案。因此，對於那些不了解GDPR的人來說，回頭看看過去的法案能起到很大的幫助。

2.制定計劃

與大多數監管要求一樣，醫療企業或機構必須制定相關的計劃。雖然GDPR來源於歐盟，但僅僅滿足嚴格的指導方針並為歐盟提供政策框架是遠遠不夠的。

醫療機構還必須通過有效性證明GDPR已經開始執行。此外，計劃必須顯示組織正在朝著GDPR中詳細規定的合規方向邁進。由於GDPR非常模糊，目前尚不完全了解需要哪種文件或證據，但歐盟將在第一個合規期結束前提供更多的細節以供機構參考。

3.分類數據

醫療企業或機構將被迫對其數據進行分類。

與已經確定電子保護健康信息定義的HIPAA不同，GDPR在這一點上仍然較模糊，但我們可以預期個人數據保護的範圍很大，其中包括照片、IP地址、社交媒體帖子、瀏覽器的Cookies、個人喜好、生物識別等等。

4.數據保護官員（DPO）

絕大多數受GDPR影響的人都需要一位數據保護官員。被任命為這個職位的人與HIPAA安全官員不太一樣。因為任何人都可以扮演HIPAA安全官的角色。

DPO更像是一個角色，而不是一個全職的職位。GDPR規定DPO必須是具有「數據保護法律和實踐的專業知識」的人。這項要求本身並不是問題，有很多律師符合該法案。但問題是DPO還需要人員成為安全專家，這就大大提高了通過門檻。

5.舉報個人資料違規行為

GDPR定義包括個人數據的丟失、破壞、變更和訪問，必須在識別後的72小時內報告其違規行為。

6.提供主體「訪問權」

GDPR將要求機構根據要求提供詳細信息，收集哪些數據以及如何處理數據。

然而，GDPR還要求機構提供刪除權或被遺忘權。這意味著如果數據擁有者請求刪除他們的數據，則必須刪除所有數據，並且還要證明數據已不再存在。麻煩的是，機構很難證明一個否定事物的不存在性。

7.實施「設計保護」

網路安全往往是事後才考慮的，並且通常在網路和流程已經建立之後實施。而GDPR不會發生這種情況。該條例規定組織必須實施「合理」的數據保護措施，以支持用戶的安全和隱私。

我國的網路安全法

在數據安全保護方面，我國自然也不甘落後。

2017年6月1日，萬眾矚目的《中華人民共和國網路安全法》正式開始實施。作為我國第一部全面規範網路空間安全管理的基礎性法律，《網路安全法》標誌著我國網路安全從此有法可依，這對保障我國網路安全、維護國家總體安全具有深遠而重大的意義。

對於醫療行業來說，《中華人民共和國網路安全法》的實施，將使醫院的信息化建設從此邁入新的發展階段。

隨著國內醫療機構參與JCI、HIMSS、電子病歷分級評價測評、醫院信息互聯互通標準化成熟度、智慧醫院評價等標準越發積極。由此產生的數據安全問題也越來越成為行業的核心問題。

雲計算、大數據、人工智慧等一系列新技術的落地應用，也給醫療數據的安全管理帶來了新的挑戰。

作為醫療大數據的管理者，醫療機構應當根據《中華人民共和國網路安全法》和現行的安全等級保護基礎上履行數據保護義務，不得泄露患者醫療數據信息。

在互聯網診療活動規則方面，對於醫療衛生人員和醫療衛生機構明確要求建立可信醫學數字身份、電子實名認證、數據訪問控制信息系統，積極推進電子簽名應用，實現服務留痕、診療數據安全運行。

在剛剛結束的2018年CHINC大會上，新出台的《電子病歷應用管理規範（試行）》針對現有數字簽名存在的兩大隱患也提出了解決方案：

1、簽名內容的專屬性。現階段，尚未出台電子病歷簽名內容的標準，這導致CA（證書授權中心）在簽名時不考慮提交簽名的內容是否存在問題，這到這患者存在「被掉包」的可能性。

2、簽名內容完整性。由於醫院簽名次數較多，CA在驗簽時無法發現醫院是否每次提交內容中有包含不利信息。

以上兩種隱患，均可以通過簽名+時間戳的方式進行解決。如此一來，就能保證每次的操作人員和操作時間可查詢、可追溯。

或許永遠都不會出現絕對安全的網路，但毫無疑問，在新技術出現和新制度推行下，醫療數據的共享安全正在逐漸走向成熟。從世界範圍來看，大家都在加速這一進程。

文|郝雪陽

添加時請註明：姓名-公司-職位

後台發送關鍵詞即可獲得相關好文

網站、公眾號等轉載請聯繫授權

近期推薦

聲明：動脈網所刊載內容之知識產權為動脈網及相關權利人專屬所有或持有。文中出現的採訪數據均由受訪者提供並確認。未經許可，禁止進行轉載、摘編、複製及建立鏡像等任何使用。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！