cookieOptions = {...}; ‧ 互聯網醫療火熱的背後,醫療資訊安全問題如影隨形 - 3S Market「全球智慧科技應用」市場資訊網

3S MARKET

3S MARKET
2016年5月18日 星期三

 leiphone 動脈網

:本文作者蛋殼研究院,來自動脈網。

無論在哪個市場,互聯網醫療都是當前關注度最高的創業和投資領域。美國Mercom資本認為遠端醫療、大數據分析和可穿戴設備將是2016年醫療投資最火熱的領域。

 

我們也看到了越來越多的美國保險機構,攜手醫療機構和研究機構,利用各類互聯網技術來完善服務流程和提高服務水平。但同時,部分人可能還沒有意識到頭上懸著的達摩克利斯之劍——醫療資訊安全問題

20152月,美國第二大醫療保險公司Anthem宣佈,駭客盜取了公司超過8000萬客戶的個人資訊,包括了用戶家庭住址、生日、社保號和個人收入資訊。此次洩露成為美國有史以來最嚴重的醫療資訊洩露事件。

20155月,美國聯邦醫療服務商Blue Cross Blue ShieldBCBS)旗下的CareFirst保險公司宣佈因為黑客攻擊,1100萬用戶資訊洩露。20159月,一家名為Excellus保險商被駭客入侵,近千萬用戶資訊遭到洩露。

 

根據美國衛生與公民服務部(HHS)的統計:近3年來,影響超過500人次的醫療資訊洩露事件發生次數沒有大幅度增長,但是受洩露所影響的人數呈現出「爆發式」增長。

2015年因各種原因導致的醫療資訊洩露事件,累計影響達到了驚人的1.1億人,是之前五年洩露人數總和的2.7倍,相當於三分之一的美國人的醫療資訊出現了安全問題。2016年前三個月,已經發生了51起洩露事件,牽扯人數達到347萬。


IBM下屬的長期關注網路資訊安全的X-Force研究機構,將2015年稱之為「醫療資訊安全爆發之年」。
互联网医疗火热的背后,医疗信息安全问题如影随形
此刻我們也處在「互聯網+醫療 」概念爆發的階段。一時間無數醫療健康類APP、網頁等產品蜂擁上線。我們先不去探討如此眾多的產品,究竟能給用戶帶來多少有價值的醫療服務,首先來關注能否確保用戶的個人資訊安全。

我們在中國知名的網路安全網站「烏雲」上,以「醫院」為關鍵詞進行搜索,查找出超過600條漏洞。三分之一的漏洞都在近兩年內被「白帽子」發現上報的。

這些安全漏洞,有的是醫院資訊系統建設漏洞,有的是互聯網醫療公司網站漏洞,幾乎涵蓋了當前所有與互聯網醫療相關的方方面面。洩露的內容也頗為驚人,包含了大量的患者基本資訊和病歷資訊。

更加讓人擔憂的是,絕大多數發現漏洞的「白帽子」反映,造成這些漏洞的技術問題相對較為低級,在其他成熟的互聯網行業已經很難遇到這麼低級的錯誤了。

這也從一個側面反應了目前醫療資訊安全防護意識和能力都急待提高。


互联网医疗火热的背后,医疗信息安全问题如影随形
互联网医疗火热的背后,医疗信息安全问题如影随形

某社區居民疾病登記管理系統賬號密碼洩露,暴露大量用戶敏感資訊
互联网医疗火热的背后,医疗信息安全问题如影随形互联网医疗火热的背后,医疗信息安全问题如影随形互联网医疗火热的背后,医疗信息安全问题如影随形
某医院在线随访系统可以随意注册,查看患者有关信息。 
互联网医疗火热的背后,医疗信息安全问题如影随形

蛋殼研究院通過對20102015年美國醫療資訊洩露事件,總結分析後發現了以下三個明顯趨勢:

保險公司成為醫療資訊洩露主要來源。個人醫療資訊主要從以下三大類機構中洩露:醫療保險商、醫療機構和商業合作公司。

商業合作公司的醫療資訊洩露事件,從次數和影響人數上都呈下降趨勢。醫療保險商和醫療機構洩露事件和影響人數卻在不斷上升。


特別值得注意是,醫療保險商服務用戶數眾多,一旦發生洩露事件將導致「毀滅性」災難。
互联网医疗火热的背后,医疗信息安全问题如影随形
駭客入侵成為主要的直接洩露原因。洩露的原因主要有以下五大類:駭客入侵、使用者處置不當、非法登陸、丟失和被竊。中國地區稱駭客為黑客


近兩年以來,駭客入侵和非法登陸事件次數明顯增多,已經取代了被竊成為最主要的洩露原因。從洩露的人數上來看,駭客入侵也在近兩年內洩露人數快速增長的主要原因。

互联网医疗火热的背后,医疗信息安全问题如影随形
伺服器是造成資訊大量洩露的主要管道。資訊洩露主要有以下幾種管道:桌上型電腦、筆腦、伺服器、電子醫療檔案、電子郵件和傳統紙質檔案。


紙質病歷洩露事件次數雖然較多,但影響的人數相對有限。因伺服器洩露所影響的人數佔到了總人數的89%,這與之前所發現的駭客入侵事件逐年增多有關。
互联网医疗火热的背后,医疗信息安全问题如影随形

「冰凍三尺非一日之寒」醫療資訊洩露爆發式增長的原因,還得從醫療和保險機構自身內部說起。

首先,在歐巴馬政府大力推行醫療資訊化普及的大背景下,近些年美國醫療機構使用資訊化系統的比例不斷提高,機構間共享數據也更加普遍。醫療資訊數據正在以幾何倍數增長,這直接增加了洩露發生的可能。

其次,雖然美國醫療資訊化軟體代表著當前一流水平,但是由於醫療機構內和醫療機構之間,軟體「碎片化」嚴重。多數軟體在設計之初,並沒與完全考慮到未來互聯互通時,可能存在的安全問題,留下了很多安全隱患漏洞。

據調查,美國41%的醫療機構沒有對醫療數據進行加密處理,一半的醫療機構無法有效預防和應對資訊安全洩露。


還有,絕大多數醫院負責資訊系統維護的部門,都處於人員短缺的狀態,美國47%的醫療機構沒有足夠的資訊安全專家,加上長期以來醫務人員缺乏關於資訊安全的有效教育訓練。這些都增加了資訊安全洩露的風險。(台灣是否也是如此?

相比上面所提到的三大內部因素,現在來自外部的因素正在成為資訊洩露的主要驅動力。駭客們已經發現這是一條穩定的「生財之道」。

駭客利用醫療資訊安全性漏洞獲利的方式主要可以分為以下兩大類

一是利用洩露的資訊直接「變現」。在黑市上,個人醫療資訊的價值比信用卡信息要高50倍。因為它裡面包括了患者的個人基本資料、財務資訊和健康資訊等多種敏感數據。不法分子可以利用這些資訊進行詐騙、勒索等行為

二是利用安全漏洞間接「變現」。主要的手段是通過網路安全漏洞控制醫院網路系統,進而向醫院索要贖金。目前在美國,第二種「間接」的手段,正在成為主要的安全危害

今年2月份發生在洛杉磯長老教會醫院的網路安全事件,極具代表性。駭客通過利用惡意軟體滲透入醫院網路系統,對系統內的文件進行加密,使全部電子病歷數據無法使用,再以解鎖密鑰作為籌碼向醫院索取贖金。


雖然,醫院負責人聲稱患者或員工的資訊數據,沒有被駭客非法利用。但是由於醫務人員只能靠手工工作,效率明顯降低;患者也無法獲取在線病歷和化驗結果,只好轉往其他醫院。醫院在嘗試各種辦法都無法恢復系統之後,只好向駭客支付了40比特幣(一種虛擬電子貨幣,價值1.7萬美元)才得以恢復正常運行。


對於一個擁有400多張病床的醫院來說,支付1.7萬美金贖金可能並不算太多。但是這種以攻擊醫院資訊系統、要挾贖金謀利的「閉環」模式一旦成熟,必將會有更多的「黑手」伸向醫院。

互联网医疗火热的背后,医疗信息安全问题如影随形
根據美國一家名為Royal Jay軟件公司統計,因為醫療資訊洩露,帶給整個醫療行業的損失高達每年60億美元,平均每次洩露會給醫院造成350萬美元的損失,會給個人造成近400美元的損失。

在駭客眼中,醫療保險機構的安全漏洞「多如牛毛」,通過簡單的滲透破壞就能索要贖金,還能夠利用比特幣這樣的電子虛擬貨幣來隱蔽交易,讓執法者更加難以追蹤破案。

對患者和醫療機構而言,因為資訊安全「破財消災」只是「噩夢」的開始,潛在的最大危害是駭客利用網陸安全漏洞,直接對醫療設備進行控制進,而危害醫療安全和患者生命。


在「互聯網+」的浪潮中,我們為了獲取更多的用戶資訊,將許多傳統設備接入網路,相當於在原本就不牢固的屏障中,增加了許多扇不上鎖的大門。

互联网医疗火热的背后,医疗信息安全问题如影随形
羅馬不是一天建成的,建設醫療資訊安全「護城牆」任重而道遠。

美國政府有關機構已經開始與不少廠商嘗試聯手,加強網路安全防護,防範與日俱增的風險。

2013年,美國FDA向醫療設備生產廠商發出提醒,建議其評估有關產品的網路安全。


201410月,美國FDA發佈了醫療設備網路安全功能指南,提醒醫療設備廠商加強設備的安全性,防止被攻擊者利用。

2015年,各類醫療設備和醫療保險商網路安全事件頻發,甚至引起了美國國土安全部的關注。

20161月,美國FDA針對醫療設備網路安全公佈了一份指南草案,其中包括了一系列關於增強設備安全性的具體指導。從政府到醫療設備廠商、醫療保險商和醫療機構一副嚴陣以待,大敵當前的態勢。


現階段,我們還只是看到了有不法之徒利用網路安全漏洞行「謀財」一事。遲早,我們會看到有人利用漏洞乾「害命」的勾當。這才是最令人感到不寒而慄的事情。雖然我們不是網路安全專家,但在這裡還是想為醫療機構和有關廠商提幾點建議:

1、不要高估自己的網路安全防護能力;
2、加強員工網路安全培訓;
3、考慮與第三方專業機構合作進行網路安全建設
4、建立一套周全的應急方案應對資訊洩露事件。

重視數據的安全,就是重視用戶的安全。


未來,類似前面提到的洛杉磯長老教會醫院「被駭」的悲劇肯定還會出現。機構和廠商加強網路安全建設的同時,只有「祈禱」自己不會成為駭客的下一個目標。

                                                                                                                                                                                                                            

0 comments: