網(wǎng)絡(luò)安全在近期成為了受眾關(guān)注的熱頻詞匯,如今這股戰(zhàn)火燒到了移動醫(yī)療。
5月17日,廣州市越秀區(qū)人民法院開庭審理了一起侵犯個人信息案件,該案件中包括前“杏仁醫(yī)生”前員工武某在內(nèi)的三名犯罪嫌疑人,為“發(fā)信息推介借貸業(yè)務(wù)”,通過黑客手段圖謀竊取醫(yī)患溝通管理工具杏仁醫(yī)生數(shù)據(jù)庫中約35萬醫(yī)生個人信息。
至此,隨著近幾年移動醫(yī)療行業(yè)的不斷發(fā)展,其不斷壯大的患者和醫(yī)生數(shù)據(jù)安全也伴隨著這起案件再次站上風(fēng)口浪尖。
杏仁醫(yī)生方面在給第一財經(jīng)的回應(yīng)中表示,該事件案情基本屬實(shí),但慶幸的是由于公司本身存在的權(quán)限設(shè)置和數(shù)據(jù)安全系統(tǒng)及時告警,報警處理后,在警方的協(xié)助下,采取凍結(jié)用于竊取的服務(wù)器和攔截數(shù)據(jù)的行動保全了35萬數(shù)據(jù)免遭泄露。另外,數(shù)據(jù)庫采取的防止惡意抓取和盜竊數(shù)據(jù)的數(shù)據(jù)保護(hù)手段,犯罪嫌疑人最終竊取的基本是無效數(shù)據(jù)。
黑客可擋,內(nèi)鬼難防。其實(shí),與本次案件類似的近年來公安機(jī)關(guān)為打擊整治網(wǎng)絡(luò)侵犯公民個人信息問題,抓獲的大量犯罪嫌疑人中有相當(dāng)一部分都是行業(yè)“內(nèi)鬼”。
“用戶需要在軟件后臺設(shè)置嚴(yán)格的審計,當(dāng)所有后臺的行為都有詳細(xì)記錄,越權(quán)操作就可快速被攔截。”騰訊云安全首席架構(gòu)師周斌對此表示,“也正因此,對于本次案件中數(shù)據(jù)庫里的幾十萬醫(yī)生來講,這條信息黑產(chǎn)鏈才得以在第一級階段就被嚴(yán)密的保護(hù)措施所切斷,后續(xù)數(shù)據(jù)也才能免遭泄露。”
據(jù)他透露,相關(guān)數(shù)據(jù)泄露問題之所以內(nèi)鬼頻出,其直接原因還是在于數(shù)據(jù)買賣灰色產(chǎn)業(yè)鏈的誘惑。這個產(chǎn)業(yè)鏈共分四級,第一級是黑客或內(nèi)鬼盜取公民個人信息;第二級是信息批發(fā)商,他們從黑客手中獲取大量信息,并通過互相交換,像滾雪球一樣不斷增加自己的信息數(shù)據(jù)庫;第三級則為信息購買人或者中間商,他們從批發(fā)商那里購買各種數(shù)據(jù),再根據(jù)需要轉(zhuǎn)手賣給他人;第四級是信息使用者,包括業(yè)務(wù)推銷、詐騙盜竊等人員,他們拿到信息后,進(jìn)行電話營銷,或者利用偽基站實(shí)施電信詐騙。
“一般來說管理后臺都需要有嚴(yán)格的權(quán)限限制,不能查看無權(quán)限的信息或者進(jìn)行無權(quán)限的操作。另外,對于賬號、密碼、個人信息等相關(guān)內(nèi)容,企業(yè)也要有嚴(yán)格的數(shù)據(jù)分級機(jī)制,從信息產(chǎn)生、存儲、傳輸、訪問、發(fā)布、銷毀等各個環(huán)節(jié)均有完整的安全運(yùn)營體系,以保證數(shù)據(jù)完整性和可靠性。”周斌表示,而對于數(shù)據(jù)極為敏感的醫(yī)療行業(yè),他還建議嚴(yán)格控制數(shù)據(jù)的使用權(quán)限和遵循最小范圍使用原則,確保醫(yī)生信息僅本人可見,以及任何用途均得到本人授權(quán)后使用的原則。存儲中的數(shù)據(jù)均進(jìn)行了高強(qiáng)度加密和匿名化處理,以保護(hù)個人信息。
“現(xiàn)在移動醫(yī)療快速普及,我們的數(shù)據(jù)在云端取,在云端讀,甚至計算也在云端,我們就需要更加注意數(shù)據(jù)安全的問題,目前我國的移動醫(yī)療在法律法規(guī)方面還是有很多可以做的。總的來說,需要政府和業(yè)界一起合作才能更加有效,才能形成一個比較有執(zhí)行力的行業(yè)共識。”此前百時美施貴寶制藥有限公司戰(zhàn)略產(chǎn)品規(guī)劃部高級經(jīng)理李逸石曾在公開場合表示,“在技術(shù)層面,由以醫(yī)院為代表的服務(wù)提供方,以及信息系統(tǒng)建立者和廣大的移動醫(yī)療、互聯(lián)網(wǎng)醫(yī)療的廠商一起合作,在現(xiàn)在技術(shù)指南的框架下,形成一定的行業(yè)共識。”
事實(shí)上,早在1996年美國的HIPAA法案就已經(jīng)設(shè)計了醫(yī)療健康隱私方面的相關(guān)規(guī)定。該法案包括健康保險隱私及責(zé)任法案分為兩個部分,其中第二個部分里面詳細(xì)描述了醫(yī)療保險的提供方、醫(yī)療保險的運(yùn)營方以及雇員在保護(hù)個人健康隱私中的一些責(zé)任。在2009年的另一個新法案中提出,醫(yī)療數(shù)據(jù)的管理者需要具備向上報告和向下告知的一些義務(wù),還有個人健康信息隱私之間的分享,如哪些場合是能分享,哪些場合是不能分享的界定。違反HIPAA的后果非常嚴(yán)重:在美國,如果是由于有意且造成嚴(yán)重后果的,對于這個單位的罰款每年可以達(dá)到150萬美元。如果違法意圖是想出賣或者是轉(zhuǎn)售這樣一些商業(yè)信息的話,個人最高罰款可以達(dá)到25萬美元,十年監(jiān)禁。