林更新看病上热搜,医疗信息安全该如何防护?
神州明达专注信息安全领域13年,上万家政府单位 军工单位 企业 家庭的的共同选择,为国内及全球客户提供反窃听反偷拍服务和产品,如果您担心您的信息已经被窃听,并想解决安全隐患,请联系我们,寻求帮助。我们专业的反窃听团队将为您提供一系列个性化定制服务,随时回复您的任何要求。
近日,艺人林更新去中日友好医院看病,结果一不小心,上了热搜!其中的婚姻状况一栏登记为“已婚”,病历信息也遭到了曝光。
8月12日,林更新通过微博怒斥“个别无良医务人员公开病人病历资料”。
8月13日,林更新工作室发出声明,澄清称林更新目前未婚,“相关不实言论纯属个别人员不负责任的错误填写、违法泄露住院记录、手术麻醉系统所涉个人信息造成”。
8月14日,中日友好医院在官网发表对林更新隐私泄露事件的声明。声明中称,“近日,林更新先生在我院就诊过程中,病历资料被泄露,给林更新先生造成了伤害与困扰。事件发生后,医院密切关注,高度重视,内部立即进行调查核实,目前仍在进一步调查中。”对于病历上的婚姻状况也给予说明,称:“现经与林更新先生本人核实,其婚姻状况为:未婚。”
8月15日晚,林更新工作室官方微博转发此声明,并对中日友好医院表示感谢,称:“首先感谢@中日友好医院 的医生、护士们在林更新先生入院和手术期间的关心与照顾,使病情得到了很好的治疗。同时也感谢贵院对由于个别人员泄露病历及录入病历模版未完善等问题给林更新先生造成影响事件的高度重视和恰当处理。在此一并感谢此次纷扰中一直支持和安慰林更新先生的粉丝及朋友们。”
其实此次事件的问题不在于林更新结没结婚,关键在于医院的职业道德底线缺乏,病人的隐私成为医护人员博取眼球取乐工具。在这个大数据时代,医疗信息泄露事件比比皆是:
2016年一名女患者在四川某妇幼保健院做27日妇检时,一名护士用手机拍下检查的私密照片发布到自己做微商的微信群,还在群中与其他人嘲笑讽刺患者,严重地损害了患者的名誉,对其工作生活造成了难以挽回的影响。
2016年,国内某三甲医院隆重上线“互联网医院”业务,但次日就被用户反馈患者信息保护不严格,使用过程可以看到其他患者的联系信息。稍后有安全人员检查,发现这套系统问题不少,还存在管理后台弱密码、用户订单遍历漏洞,可以查看所有患者的个人资料、医嘱、处方等信息。
2018年,武汉某整形医院发现客户信息遭泄露,内部排查后认为不是内鬼作案,但医院内管理系统端口也没有数据导出痕迹。警方破案后发现,黑客假扮客户向院方咨询,在整形需求图片中藏匿木马病毒。工作人员打开图片时,服务器被植入木马,从而盗取客户资料。
现在的医疗信息都集中在医院的局域网中,形态就是我们通常所说的HIS系统(Hospital Information System,中文译医疗信息系统)。HIS是覆盖医院所有业务和业务全过程的信息管理系统。按照学术界公认的定义,应该是:利用电子计算机和通讯设备,为医院所属各部门提供病人诊疗信息和行政管理信息的收集、存储、处理、提取和数据交换的能力并满足授权用户的功能需求的平台。HIS系统中很重要的一个部分就是安全子系统,主要包括:包括网络管理、防病毒防护、防火墙、入侵检测统、备份容灾等系统模块。但在实际部署时安全子系统往往是最不为人重视的。
网络架构不合理,系统漏洞修补不及时,管理人员水平参差不齐……这些都是很多医院HIS系统的通病,医院的网站被入侵渗透到内网,被黑客批量获取了数据的事例层出不穷。神州明达信息安全实验室曾评测过好几个医院的网站,大多都存在着各种SQL注入、弱口令安全漏洞。就是国外医疗机构信息安全保护现状也不乐观:据披露,暗网黑客组织TDO通过三次非法侵入,盗取并公布了18万份患者病历,其中包括3400余份纽约地区牙科美容诊所Aesthetic Dentistry的病历,3.41万份加州的牙科护理诊所OC Gastrocare的病历,以及14.2万分佛罗里达州坦帕湾地区Tampa Bay Surgery Center病历。TDO通过推特账号公布了可供任何人下载病人资料库的网页链接。
神州明达曾经做过某知名医院网络系统病患信息泄露安全强固项目,信息安全师现场考察时,环境设施温馨舒适,护士妹妹温柔可亲,24小时免费Wifi,一个字:赞!然后,还没开始网络安全网络测试,光是考察信息系统部署情况时,就令人大跌眼镜了。首先是HIS系统服务器安装在楼顶的一个无锁简易房内,落满了灰尘,无人维护;其次,全院所有的业务用计算机和来客无线路由都接在一个网络里,内外网不分;再次,网络出口连一个防火墙都没有,整个网络直接暴露在外界面前;另外,没有专职的网络系统管理员,几次人员交接后,系统管理口令都不知道了;最后,所有终端都没有任何保护手段,医生为了方便口令基本全是姓名拼音缩写加“123”。面对这样的信息系统让人哭笑不得,如果不出信息安全事故就见鬼了。
针对医疗机构这样涉及人群广、隐私信息多的信息系统,有什么好的方法来进行防护吗?根据神州明达相关保护案例经验,可以从以下几个方面着手:
一、完善网络安全组织机构和管理体系,加强信息安全人才队伍建设和从业人员医德意识;
二、纵深防御信息系统,合理规划网络结构,应用安全防护设备,建立监控报警机制;
三、细分层级管理进行,界定各层用户权限,使用户对信息的接触,处于有效的监控之下;
四、采用数据加密、内网管控、虚拟桌面等安全防护技术,防止信息外泄,尽最大限度地保障数据的安全。
今年4月,针对保护个人医疗隐私的问题,国家卫生健康委员会规划与信息司司长于学军表示,“根据“互联网+医疗健康”的新特点,要严格执行信息安全和医疗健康数据保密的规定,建立完善个人隐私保护体制,严格管理患者的信息、用户的信息,特别是对于像基因、生物的这样一些特别重要的信息,要特别加以严格管理,对于非法买卖泄露信息的行为,要依法依规进行严肃的处理。”
在这里真心地呼吁:医疗机构、医生护士、医务厂商能够真正把树立信息安全的意识,广泛应用信息安全技术,重视患者的隐私和医院的商业秘密,让医疗信息泄露事件不再发生。