新年以来,美国医疗行业遭受勒索软件攻击事件已经有所增加。美国国会电脑系统安全中心负责人克利福德纽曼称,这样的网络攻击正变得越来越普遍,勒索软件通常不会锁定具体的攻击对象,但是会通过病毒、链接、电子邮件附件等形式来攻击医疗机构的网站。
视野放回国内,早在 2011 年 11 月,深圳市发生了一起女贩子贩卖母婴信息的事件,更骇人听闻的是该女贩竟然掌握了深圳 15 万名新生婴儿的详细资料。事件曝光后,这名女贩子是如何获得这些母婴数据成为大家关注的焦点,深圳市各大医院、深圳市医学信息中心也成为媒体争相采访报道的对象,但他们均否认数据是从自家系统流出。
那么这些数据究竟是从哪儿流出的呢?除了被人为导出之外,也不排除信息系统遭受黑客攻击的可能。
2015,美国医疗数据不安全年
根据美国卫生和福利部办公室旗下「羞耻之墙网站」自 2009 年开始统计的 1470 件重大医疗数据泄漏事件中,有 11% 是由黑客袭击导致的,而这些看似比重相对较少的黑客袭击事件却导致了 1.156 亿人的医疗数据遭到暴露,其中将近 97% 的数据泄漏发生在 2015 年的黑客袭击事件中。
据统计,美国历史上最严重的 5 次医疗数据泄漏事件有 4 次就发生在 2015 年,分别是:美国第二大医疗保险服务商 Anthem 公司 7880 万保险用户的医疗数据遭泄漏;美国健康保险公司 Premera Blue Cross1100 万用户的医疗数据遭泄漏;美国保险公司 Excellus Health Plan 有 1000 万用户的医疗数据遭泄漏;加利福尼亚大学洛杉矶部 450 万用户的医疗数据遭泄漏。
在 2015 年,美国卫生护理部的官员也看到了勒索软件再次现身。位于加州的好莱坞长老会医疗中心的电子健康记录系统被挟持长达一周之久,直到该中心支付了 17000 美元的比特币给一个控制了该中心电子健康记录系统的黑客后,该中心的电子健康记录系统才恢复正常。
就在 2016 年 2 月底,洛杉矶县健康服务部门的电脑也成为网络攻击中勒索软件的目标。这次网络攻击是勒索软件首次以政府健康服务部门为目标,因为涉及范围比较小,洛杉矶县健康服务部门的电脑操作系统没有受到感染,但有五台工作用的电脑遭受到匿名的威胁。
美国医疗数据泄漏频发,改变了什么?
美国现代医疗网站最近的一项年度调查发现,由于多年以来医疗信息安全一直不受重视,因此在保护医疗信息安全方面的预算也不足,而刚刚过去的一年成为历史上医疗数据泄漏最严重的一年后,也促使许多医疗卫生组织将会在数据保护方面投入更多的资源来阻止黑客攻击。
该调查发现,因为医疗数据受到黑客攻击事件时有发生,所以有 75% 的医疗机构领导者表明公司的信息技术安全花费在 2016 年将会增加,只有剩下的 25% 领导者认为这项花费会维持不变,当然所有接受调查的领导者一致认为公司不会削减信息技术安全的花费。
尽管很多医疗机构在医疗数据保护上的预算会有所增加,但可能也达不到机构在数据保护方面实际需要的预算规模。并且,医疗机构也要在「增加数据保护预算」与「维持信息技术部其他功能正常运转」之间达到一个平衡。
美国医疗数据泄漏频发,给国内医疗行业带来什么启发?
当下我国互联网医疗、移动医疗发展得如火如荼,医疗数据共享也呼之欲出,各大医疗机构为了健康长远的发展,保障医疗数据安全性也必然会是他们面临的一个难题。目前,在我国除了患者医疗数据所属权应当属于患者还是医疗机构尚无定论外,还缺少针对医疗大数据共享和相关隐私保护的顶层设计。因此,在借鉴美国在这方面的经验教训之外,结合我国医疗行业在数据保护的现状、所面临的问题,未雨绸缪早做准备,加快相关医疗大数据立法的出台,适当增加在医疗数据安全保护方面的预算、设置相应的专业岗位,提高医疗数据的安全性。
在今年的两会上,全国人大代表、扬州市政协副主席、苏北人民医院院长王静成就建议,对诸如在线医生资质审核、患者信息安全管理、医疗风险的防范与监管等加以规范,特别要加强医疗大数据背景下的患者隐私保护,明确患者电子诊疗档案归属权问题。在搭建基于大数据应用的区域医疗信息平台和居民健康档案平台时,卫生行政主管部门首先应做好网络安全的保护措施,同时在技术层面上利用标识隐私匿名、医疗数据的分级保护制度、基于访问控制的保护策略等技术和手段,保护医疗数据和个人隐私。