五大維度透視醫療數據安全

五大維度透視醫療數據安全

2019-05-27 09:55    原創  作者: 柳遵梁 編輯:
0購買

在當今日益開放的網絡環境下,醫療行業的數據安全問題日益凸顯。本文將從數據價值、網絡環境、人的安全、數據流動和雲驅動等五個方面進行深入分析。

  一、醫療數據的特殊價值

  1.高度敏感的數據泄露帶來巨大的個人、家庭和社會影響

 

健康信息的全方位滲透決定了健康數據的利用範疇非常廣泛,使用不當會嚴重影響人們的生活、工作、家庭甚至社會和政治。其廣泛的社會影響性使得個人健康信息(PHI)成為人們最為核心的隱私內容。PHI泄露具有兩大典型特徵:單體病案對於個人及家庭的巨大影響和海量信息的巨大社會影響,而且極易轉變為巨大的財富。那麼,有哪些高度敏感的數據泄露場景呢?

  (1)惡性腫瘤、尿毒症、糖尿病等慢性病

這類患者在未來的支付能力往往很可能會急劇惡化,信用水平會快速降低。因此,保險、銀行及所有金融機構都為了提高風控水平而對這類信息趨之若鶩。

而且,由於相關疾病的震懾作用會給相應的保險銷售帶來很大的說服力及便利性。部分醫院、藥店、藥廠、保健機構不斷瞄準這些患者以獲得最大收益,彷彿是“移動的印鈔機”。同時,這類病人也是各種詐騙機構的主要目標,假藥、假保健品不斷地輸送給這類患者。處於絕望中的惡行腫瘤患者,只要前方給予了一絲希望就會毫不猶豫地抓住,結果是賠錢又賠人。即使不需要金融服務,也沒有被詐騙,也會給生活和工作帶來極大不便,社會交往受阻。

  (2)ED、性冷淡、大小便失禁、吸毒等涉及個人尊嚴的疾病

此類疾病讓人喪失了一些基本能力,無疑讓人自卑。這些隱私信息的泄露會極大地影響個人工作和生活。所以,出於身心的打擊,使得這類人群特別容易受到各路騙子的誘惑。

  (3)性病、艾滋病等傳染病

此類疾病屬於絕對隱私。除了病急亂投醫造成的巨大財產損失和身體損失之外,家庭和社交關係被破壞等幾乎無一倖免。另外由於這種疾病的絕對隱私性,導致患者極易被勒索。

  (4)傳染病、中毒、血鉛等社會性疾病

此類區域性疾病或者突發性衛生事件,配合社會謠言很容易引起社會混亂。特別是處於保密期的重大衛生事件的一旦泄露,會讓有關政府機構極為被動。

  (5)老人、孕產婦、嬰幼兒、兒童等弱勢群體

此類群體由於相對脆弱的心理和防範,非常容易受到誘惑。保險及各種金融機構,以及各種保健機構和詐騙機構也會不斷地誘惑和欺騙他們,並給造成極大傷害。

  (6)社會重要人士和公眾人物的病案

比如,“希拉里事件”精確地演示了患者疾病如何影響政治生態。國家主要領導的病案屬於國家安全範疇,一旦泄露顯然會影響政治生態,甚至直接終結政治生涯。公眾人物在某種程度也類似,不當的健康隱私泄露可能會直接終止公眾人物的職業生涯。

  (7)有待推敲的治療方案和居高不下的誤診率

醫學診斷本質上屬於經驗科學,缺乏精確性,存在大量的謬誤。無論是美國還是中國,誤診率始終居高不下。甚至很少有治療方案可以經受得起嚴密的推敲,治療方案只有合理性說法而沒有正確性說法。倘若治療方案泄露且被別有用心的人利用,勢必會造成大量的醫患糾紛,最終導致醫院遭受巨大損失。

  (8)具有很高精確度的個人信息

醫療機構個人信息擁有極高的精確度和社交關係屬性。例如:姓名、身份證、社保卡、電話號碼、住址、職業以及親屬關係等。出於患者對於醫療機構的期待,個人信息往往比任何其他機構具有更高的精確性。醫療個人信息即使是普通信息在黑市的價格也居高不下,是普通信用卡信息價格的10倍以上。更不用說精確的職業信息了,它可以使個人信息的價值成倍上升。

  (9)醫囑、處方和檢查結果的巨大價值

醫院持續運營的核心成果除了醫生水平的不斷成長之外,就是醫囑和處方等病例信息的不斷積累。一家大型醫院多年積累的主要病種的病案醫囑和處方內容的價值往往以百萬價值計算。除了巨大的學習和成長價值之外,藥品供應商對這些數據更是趨之若鶩,完成真實案例之上的臨床試驗。

  (10)處方葯和受管制的藥品

處方葯,特別是受到管制的藥品,比如麻醉葯,市民必須持有處方才可進行購買。任何具有許可的物品和服務都會在市場上具有很大的價值,而入侵者通過盜取這些處方,從市場上“合法”地購買處方藥品,然後出售以獲利,擾亂了藥品管控市場。

  (11)數據統方

數據統方是醫療回扣腐敗案件的核心環節之一,是實現醫療回扣的關鍵媒介和憑證。醫療腐敗關係到每一位百姓生活,具有廣泛的社會影響力。

  2.高度精確性要求已上升到生命安全的級別

醫院的醫囑、處方、醫療器械都把人作為處理對象。醫療數據的不當更新可能會危害患者的生命安全,而生命安全則是生活中的最高安全級別。

(1)醫囑和處方數據的變更

醫囑和處方是醫生按照積累的知識和經驗作出的最佳判斷,總是在療效和危害之間進行平衡。由於絕大部分藥品的副作用以及部分藥品的禁忌性,醫囑和處方便成為某些別有用心的人“借刀殺人”的最佳利器。電影作品乃至現實生活中都存在眾多案例提示我們這種危險的存在。而不斷演示的黑客遠程操控醫療器械則更加活生生地提示着生命安全的脆弱性。無論是何種傷害,本質上只需要修改數據而已,在程序上與交通違章消分沒有任何區別。

  (2)歸檔病案的變更

當一樁醫療糾紛案如果出現了歸檔病案的變更,則意味着醫院無法自證清白,在醫療糾紛中會先天處於不利位置。

  (3)管製藥品的購買

麻醉品、鴉片、大麻等各種具有高度危險性的藥品只有在醫院可以合法購買,以至於在市場上自由流通具有很高的價值。當然也會對社會造成巨大影響,入侵者可以通過處方修改來獲得其合法購買管製藥品的權利。

  (4)出生醫學證明

出生醫學證明是黑戶洗白的關鍵憑證。內外勾結或者盜取出生憑證是出生醫學證明地下黑產鏈的關鍵環節。

 (5)勒索威脅

勒索病毒是醫療行業最為嚴重的外部威脅之一,在已知的外部威脅中高達85%是由勒索病毒引起的。開放的網絡環境和相對脆弱的安全措施是勒索病毒持續發作的溫床。

  二、不夠安全的網絡環境

  1.開放或半開放的網絡環境

開放或半開放的網絡環境是醫療行業的典型特徵,很少有行業像醫療行業一樣是一個非安全的開放環境。開放的網絡環境使入侵者可以輕易地進入醫院網絡,輕易地進行物理攻擊。

  (1)開放的醫生工作環境

無論是門診醫生還是住院醫生的工作電腦,幾乎都處於人人可以接觸的開放環境。入侵者較易合法地進入醫生的工作場所、親切地和醫生進行溝通、接近醫生和醫生工作終端,甚至可以很容易假冒醫院IT工作者對醫院電腦進行全權操作。

  (2)大量不安全的自助服務設備

自助服務設備是醫院服務患者的主要工具之一。大量的自助設備在給患者帶來便利性的同時,也給入侵者有機可乘。他們可以很容易接觸醫院網絡,也可以假借維修名義對自助服務終端進行任何操作。

  (3)廣泛使用的無線網絡

移動終端的廣泛使用是醫院信息化發展的主要方向。當無線網絡缺乏嚴格的安全管控時,意味着入侵者隨時可以進入醫院網絡。

  2.相對混亂的互聯網接入服務

除了自助服務終端之外,互聯網接入是當前醫院的主要努力方向。為了趕上互聯網醫療的快車,只有極少部分醫院獨立建設互聯網醫院,更多醫院採用外部服務接入的方式來連接互聯網。事實上,在接入互聯網服務時,大部分醫院就已經把主動權交付至互聯網服務提供商,缺乏統一的業務和安全規劃。

  (1)互聯網服務授權過大

大部分醫院在互聯網服務建設過程中,由互聯網服務提供商來整理醫療數據,自主獲取服務需要的數據。醫院缺乏統一的互聯網服務網關,讓醫療數據處於極度危險的境地。

  (2)數據安全考慮相對缺乏

互聯網服務的焦點目標是提供相應的服務,並不會過多考慮數據安全性。由於缺乏有效的驗證和隔離措施,入侵者很容易通過互聯網服務網絡進入醫療網絡。

 三、人的安全無處不在

由於醫院患者單體數據的巨大價值,使人的安全成為醫院安全的最大問題所在。Verizon 報告揭示醫療行業是唯一一個內部威脅遠大於外部威脅的行業,內部威脅高達60%,外部威脅只有40%。

  1、單體數據的巨大價值使醫生和護士每天都受到誘惑

除了情報之外,很少有數據會像醫院一樣,單體數據具有巨大的價值,形成了醫療數據的黑市,明碼標標價。這使醫務人員並不需要太高深的技術就可獲得巨大的收益機會,必然會受到誘惑。

  2、好奇、虛榮心和可以任意查詢的醫療數據

由於好奇產生的越權操作問題在醫院是廣泛存在的客觀現實。譬如醫生會因為對某種疾病感興趣,進而查詢和閱讀非授權病歷,DBA會因為礙於情面幫助朋友查詢他人隱私數據。

  3、外部資源依賴

近幾年醫療業務發展極為迅速,各種新業務形態不斷湧現。為了支持快速業務迭代,醫院對於開發商等外部資源的依賴性非常高。這種高依賴性和高昂的數據價值帶來了巨大的數據安全風險。

 4、相對頻繁的手工操作

由於業務軟件系統無法跟上醫療業務的快速發展,很多時候相關人員需要直接數據庫操作來完成相關業務,存在潛在的誤操作和越權訪問風險。

  5、部分醫院甚至受到開發商要挾

許多開發商把醫院數據當作自己的私有財富,甚至醫院要使用數據需要獲得開發商的許可。顯然,這種生態下是很難做到患者數據安全。

  6、DBA和開發商的超級訪問權

DBA(數據庫管理員)和開發商的超級訪問權限普遍存在於各行業中。但是由於醫療數據較高的單體價值,DBA 和開發商會接收到來自各方面的數據獲取訴求,更容易受到更多的誘惑,導致其犯錯概率大幅增加。

 7、患者隱私數據的不當泄露

很多醫院為了降低成本,會重複利用檢查指引、處方單等紙質媒介。這種紙質媒介的重用顯然會泄露患者隱私。檢查報告的隨意處置,讓有心人更容易獲得相關數據。

 8、入侵者的樂園

開放的網絡環境和相對脆弱的安全防禦,使醫療機構成為了入侵者的樂園。入侵者可以輕易進入醫院網絡,盜取訪問憑證,訪問和破壞敏感數據並施加勒索。

  四、敏感數據的流動剛需

  1.眾多的數據交換業務和急劇上升的互聯互通需求

醫院作為一個受到嚴格管制的行業,需要和眾多機構進行數據交換和彙報。

  (1)醫保機構

醫院和醫保機構的數據交換是醫院核心業務之一。由於歷史原因,醫保數據交換可能會出現不必要的敏感數據交換,使敏感數據失控。

  (2)衛健委和疾控

醫院作為一個受監管機構,需要向衛健委、疾控等相關部門彙報相關數據。由於歷史原因,相關數據上報可能會存在一些失控的敏感信息。

 (3)心衰中心等

醫院還需將特殊病種相關數據上報到心衰中心等機構。由於歷史原因,相關上報數據可能存在着不必要出現的敏感數據。

(4)遠程醫療的興起

遠程醫療作為一種醫療資源下層的主要手段,正受到醫療主管部門和各大醫院的青睞。在遠程醫療過程中如何保證患者隱私數據的安全成為其中的一個關鍵環節。

  (5)病歷攜帶

病歷攜帶是患者的核心訴求之一。雖然目前基本沒有實現,但是在患者服務不斷加強的今天,病歷攜帶必然會成為醫療機構之間的核心交換科目。

 (6)病案交換

一家醫療機構的醫療水平提高,很大程度上依賴於歷史病案的積累和質量。醫療機構為了豐富自己的病案庫,有足夠的動力和同等水平的醫療機構進行病案交換。而衛生主管機構為了提高所有醫療機構的醫療水平,也有足夠動力讓所有醫療機構共享這些高質量的醫療病案。

  2.測試、培訓以及臨床數據中心

嚴格來講,醫生只可以查看自己處理的病歷,其他患者隱私數據只有患者授權才可被訪問。但是這種原則性安全在實踐中很難被貫徹。

  (1)測試和開發環境

IT系統幾乎每天都在日新月異的醫療業務發展中變更。為了軟件順利上線,需要使用生產數據進行測試以提供更好的兼容性。顯然,測試開發系統中的生產數據是完全失控的,這是一個最好的數據泄露源頭。還有更糟糕的情況,部分醫院沒有充足的設備來提供開發和測試,軟件開發商會把數據帶離醫院進行測試。

  (2)培訓和教育環境

可以認為,醫院的核心產品和服務是高水平的醫生。醫生和護士是一個高技術職業,需要不斷通過學習和培訓以提高技術水平。多數情況下,醫療培訓和教育會建立在犧牲患者隱私的基礎上。另外,培訓和教育環境的安全措施不完善使入侵者更易獲取醫療隱私數據。

  (3)CDR(臨床數據中心)

向數據索取價值、以數據驅動醫療是所有醫院的努力方向。臨床數據中心需要為臨床提供服務,就需要為所有醫生提供訪問病例的能力。但如果患者數據沒有進行脫敏處理,這種任意訪問病例的權利顯然會為患者的隱私帶來巨大風險。另外由於臨床數據中心的靈活使用特徵,安全措施難以落實到位,自然就會成為入侵者的寶地。

  3.終端、人的眼睛和拍照

在傳統業務之中,敏感信息會不斷通過運維和業務程序流動到桌面和人的眼睛,給敏感數據的安全帶來巨大挑戰。

  (1)運維訪問攜帶大量的敏感數據

運維賬戶具有很高的訪問權限,如特權賬戶可進行一系列的越權訪問:訪問不該訪問的數據和訪問過多的數據。

  (2)運維訪問下載敏感數據

運維訪問獲得海量數據並下載到客戶端,無論是惡意的還是業務需要,都會給敏感數據流動帶來風險。

  (3)業務訪問返回敏感數據

隱私和敏感數據的價值在這幾年才得以被重視,需要被嚴格保護。但歷史性的業務應用程序往往沒有隱私和敏感的概念,很容易泄露敏感數據,甚至被記錄、截屏或者拍照。

  (4)業務系統缺陷導致非預期大量數據返回

任何業務系統都存在缺陷,缺陷容易被利用,使敏感數據大批量地從安全數據中心流動到缺乏安全性控制的個人終端。

 (5)業務系統漏洞導致非預期數據獲得

醫療各類業務程序的 SQL 注入漏洞易被利用拖庫。

 五、雲端業務不分內外

當前國家鼓勵“互聯網+醫療健康”發展,一方面推動着醫療業務不斷互聯網化和雲化,另一方面也會給雲端業務帶來特殊的數據安全挑戰。

  1.雲環境的非受控性和上帝之手

  (1)用戶沒有設備採購和部署權利

在雲環境中,用戶只能租賃雲服務公司的設備,無法改變雲環境的網絡結構,也無法在雲環境中部署硬件設備。這種方式帶來了幾個困難:

  (2)雲環境是一個不受信任的非安全環境

不同於線下數據中心較為完整的安全措施,雲環境具有以下非安全特徵:用戶在雲上擁有最為重要的業務和數據,但機房場地、安保不屬於用戶,場地、設備和環境運維都不受控制,基礎平台也不受控制。本質上說,用戶需要把極為重要的數據存儲在不受信任的環境之中。

 (3)上帝之手的挑戰和制約

雖然在線下數據中心也存在着具有無限權力的 DBA。但是在線下,DBA 被醫院管理和教育,無限的技術權力在現實中會受到制約。但是在雲環境中,雲服務商和雲服務商的運維員工則完全遊離在醫院管理之外,是真正意義上的上帝之手。

 2.雲環境的開放性和權力等同性

  (1)網絡安全措施的不同

線下環境中的網絡安全機制與雲環境不盡相同。譬如部署在線下的防火牆設備可實現惡意入侵檢測功能,並可根據需求啟用白名單配置功能以完成MAC地址綁定等准入機制,即防火牆還可完成部分內控功能。但是在雲環境中,內控機制面臨更多挑戰,網絡安全設備只能完成惡意入侵檢測。

  (2)網絡開放度的不同

線下環境中,網絡僅向部分人員開放。即使存在互聯網接口,也存在受限制的通道。但在雲環境中,網絡向所有人開放,包括員工、合作夥伴、黑客以及各種不法分子。所有人都可以無限制接觸雲環境的開放服務。例如:在線下環境中,數據庫會放置在網絡核心深處,只有少數人可以接觸。但是在雲環境中,全世界所有人都可以到達你的數據庫。

  (3)用戶權力的不同

在雲計算環境中,無論是是員工還是入侵者,所有用戶的權力是等同的。也就是說,雲環境中的人已經沒有內外之分。

網站內容來源http://safe.it168.com/網站內容來源http://safe.it168.com/

【精選推薦文章】

智慧手機時代的來臨,RWD網頁設計已成為網頁設計推薦首選

想知道網站建置、網站改版該如何進行嗎?將由專業工程師為您規劃客製化網頁設計及後台網頁設計

帶您來看台北網站建置台北網頁設計,各種案例分享

廣告預算用在刀口上,網站設計公司幫您達到更多曝光效益

五大維度透視醫療數據安全