网络安全在近期成为了受众关注的热频词汇,如今这股战火烧到了移动医疗。
5月17日,广州市越秀区人民法院开庭审理了一起侵犯个人信息案件,该案件中包括前“杏仁医生”前员工武某在内的三名犯罪嫌疑人,为“发信息推介借贷业务”,通过黑客手段图谋窃取医患沟通管理工具杏仁医生数据库中约35万医生个人信息。
至此,随着近几年移动医疗行业的不断发展,其不断壮大的患者和医生数据安全也伴随着这起案件再次站上风口浪尖。
杏仁医生方面在给第一财经的回应中表示,该事件案情基本属实,但庆幸的是由于公司本身存在的权限设置和数据安全系统及时告警,报警处理后,在警方的协助下,采取冻结用于窃取的服务器和拦截数据的行动保全了35万数据免遭泄露。另外,数据库采取的防止恶意抓取和盗窃数据的数据保护手段,犯罪嫌疑人最终窃取的基本是无效数据。
黑客可挡,内鬼难防。其实,与本次案件类似的近年来公安机关为打击整治网络侵犯公民个人信息问题,抓获的大量犯罪嫌疑人中有相当一部分都是行业“内鬼”。
“用户需要在软件后台设置严格的审计,当所有后台的行为都有详细记录,越权操作就可快速被拦截。”腾讯云安全首席架构师周斌对此表示,“也正因此,对于本次案件中数据库里的几十万医生来讲,这条信息黑产链才得以在第一级阶段就被严密的保护措施所切断,后续数据也才能免遭泄露。”
据他透露,相关数据泄露问题之所以内鬼频出,其直接原因还是在于数据买卖灰色产业链的诱惑。这个产业链共分四级,第一级是黑客或内鬼盗取公民个人信息;第二级是信息批发商,他们从黑客手中获取大量信息,并通过互相交换,像滚雪球一样不断增加自己的信息数据库;第三级则为信息购买人或者中间商,他们从批发商那里购买各种数据,再根据需要转手卖给他人;第四级是信息使用者,包括业务推销、诈骗盗窃等人员,他们拿到信息后,进行电话营销,或者利用伪基站实施电信诈骗。
“一般来说管理后台都需要有严格的权限限制,不能查看无权限的信息或者进行无权限的操作。另外,对于账号、密码、个人信息等相关内容,企业也要有严格的数据分级机制,从信息产生、存储、传输、访问、发布、销毁等各个环节均有完整的安全运营体系,以保证数据完整性和可靠性。”周斌表示,而对于数据极为敏感的医疗行业,他还建议严格控制数据的使用权限和遵循最小范围使用原则,确保医生信息仅本人可见,以及任何用途均得到本人授权后使用的原则。存储中的数据均进行了高强度加密和匿名化处理,以保护个人信息。
“现在移动医疗快速普及,我们的数据在云端取,在云端读,甚至计算也在云端,我们就需要更加注意数据安全的问题,目前我国的移动医疗在法律法规方面还是有很多可以做的。总的来说,需要政府和业界一起合作才能更加有效,才能形成一个比较有执行力的行业共识。”
此前百时美施贵宝制药有限公司战略产品规划部高级经理李逸石曾在公开场合表示,“在技术层面,由以医院为代表的服务提供方,以及信息系统建立者和广大的移动医疗、互联网医疗的厂商一起合作,在现在技术指南的框架下,形成一定的行业共识。”
事实上,早在1996年美国的HIPAA法案就已经设计了医疗健康隐私方面的相关规定。该法案包括健康保险隐私及责任法案分为两个部分,其中第二个部分里面详细描述了医疗保险的提供方、医疗保险的运营方以及雇员在保护个人健康隐私中的一些责任。在2009年的另一个新法案中提出,医疗数据的管理者需要具备向上报告和向下告知的一些义务,还有个人健康信息隐私之间的分享,如哪些场合是能分享,哪些场合是不能分享的界定。违反HIPAA的后果非常严重:在美国,如果是由于有意且造成严重后果的,对于这个单位的罚款每年可以达到150万美元。如果违法意图是想出卖或者是转售这样一些商业信息的话,个人最高罚款可以达到25万美元,十年监禁。