8000萬條公民資料洩漏,駭客與醫療機構之戰愈演愈烈
駭客對於醫療資料的興趣愈發濃厚,獲利之道是將資訊賣給相關產品銷售商;而醫療機構也在不斷夯實數據安全保護之牆,兩者間的攻擊與反攻擊戰役愈演愈烈。
(資料圖)
《財經》記者 張利 張瑤/文 王小/編輯
近日,《法制日報》刊文《超過7億條公民資訊遭洩露,8000余萬條公民資訊被販賣》,曝出駭客入侵了某部委的醫療服務資訊系統,大量孕檢資訊遭到洩露和買賣。
在全球範圍內,醫療行業面臨的網路安全威脅趨於嚴峻。資料分類好、使用價值高、安全保障和風險管理措施較落後等因素,
尤其最近幾年,病歷電子化、醫院上雲、遠端問診等在醫療界轟轟烈烈展開,患者資訊、病歷等也從紙面轉化為電子版,通過互聯網醫療、遠端問診等新型醫療模式,醫院內網的資料走向公網,於是安全問題接踵而至。
“協和、華西、301等大醫院有很多明星、政要的資訊,所以駭客會感興趣。
網路安全公司HEIMDAL發佈《2016年中回顧:2016年網路安全威脅分析報告》,總結了2015年4月到2016年3月全球範圍內的網路安全事件。其中,醫療行業是勒索軟體在世界範圍內投入最多的行業,占第二季度勒索軟體統計總量的88%。
從防守方來看,無論是醫療機構,還是政府部門,對資訊安全益發重視。“曾經一段時間醫院的資訊安全做得很差,但過去兩年來已經有很大的改善,
上述資訊科主任也表示,如果醫院出現大規模的資訊洩漏,第一責任人為院長,第二責任人是資訊科主任,這無疑也給醫療機構的資訊安全優化提供了動力。
進攻的駭客與防禦的醫療機構之間,這場攻擊與反攻擊戰役愈演愈烈。
事發
2017年8月31日,浙江省松陽縣人民法院一審判決,
這是一個專門買賣資訊的團夥,其資訊來源特別複雜。據本案判決書顯示,2016年2月至3月,王某輝在學習駭客技術時,獲取了大量孕檢類型的公民個人資訊,同年7月起,其用名為“哈佛校長”等的QQ號,將這些資訊出售。
該案主審法官葉永青告訴《財經》記者,
這不是第一次婦產資訊被洩露,深圳也發生過同類事件。《南方都市報》去年一篇報導稱,一份數量高達萬條產婦資訊的清單再度流入市場,除了電話、出生日期、姓名,還包括居住位址、出生醫院等資訊,“出生醫院”更是涵蓋深圳近50家醫院。
基於不同類型資訊的重要程度,於今年5月發佈的《最高人民法院、最高人民檢察院關於辦理侵犯公民個人資訊刑事案件適用法律若干問題的解釋》規定,非法獲取、出售或者提供行蹤軌跡資訊、通信內容、征信資訊、財產資訊五十條以上的,“情節嚴重”的入罪標準為50條。而諸如健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊被非法獲取、出售等五百條以上的,構成入罪標準。
“總體來說,進行精准行銷的企業和電信詐騙集團是公民個人資訊的兩大主要買家。” 葉永青介紹,在浙江省松陽縣一案中,許多孕檢資訊被賣給婦幼保健用品銷售商。
事實上,被銷售給相關企業是危害程度相對較低的行為。大量精准特定的公民個人資訊被電信詐騙集團掌握後,圍繞資訊編造“話術”“劇本”,並偽冒公檢法等進行精准詐騙,已有大量導致重大經濟損失的案例。
一位長期偵辦相關案件的警方人員向《財經》記者介紹,駭客攻擊和資訊持有企業或員工非法提供,是近年來刑事案件中涉案資訊的最重要的兩大洩露源頭。由於侵害公民個人資訊行為多為上游犯罪,危害往往等到更大經濟損失出現時,才能被發現。
在司法環節,執法和司法機關也在不斷加強對這一類型犯罪的懲處力度。刑法意義上,違反相關規定向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑。構成情節特別嚴重,則可處以最高刑為七年的有期徒刑。
防護級別
“醫療行業資訊安全保護起步比較晚,目前我們是業內流行什麼技術,用什麼技術,整體來看,處於中等水準”上述資訊科主任對《財經》記者分析,“其實重視以後,技術的問題很好解決。”
隨著患者資訊、病歷等資料從紙質版轉化為電子版,互聯網醫療、遠端問診等新型醫療模式,醫院內網的資料隨之走向公網,醫療機構對資料安全性益發看重。“病歷電子化以後,資料安全性問題不重視也要重視,駭客十幾分之內就把數據全抱走了。”上述資訊科主任說。
據醫療媒體動脈網統計,截止2016年11月,在國內某知名網路安全網站上以“醫院”為關鍵字進行搜索,查找出超過600條漏洞。三分之一的漏洞都在近兩年內為“白帽子”發現並上報。據大多數發現漏洞的“白帽子”反映,造成這些漏洞的技術問題相對較為低級,在其他成熟的互聯網行業已經很難遇到這麼低級的錯誤了。
2017年2月17日,浙江大學醫學院附屬第一醫院正式啟動“浙一互聯網醫院”的第二天,知乎上即出現了浙一互聯網醫院洩露患者資訊的討論帖。網友“培根Bacon”稱其在註冊、安裝軟體過程中看到了其他患者資訊,包括了患者手機號碼;2016年10月,有網友爆料,手機流覽器打開臨沂市人民醫院網站顯示卻為色☆禁☆情內容,隨後,網友找到了駭客攻擊的代碼。
啟明星辰副總裁,知乎上駭客/網路安全/資訊安全話題優秀回答者shotgun稱,“真的入侵案例新聞一般不會報,因為記者也不會知道。”
整體看,全國三甲綜合醫院安全水準存在較大差異。上述資訊科主任介紹,到目前為止,其所在醫院在資訊安全方面的累積投入約100萬元,“三甲醫院投入100萬起步,每年都對針對新情況做升級,每年投入約幾十萬”。
另一方面,在他看來,因為醫療資料大都在內網,安全性可以保證。至於與微信/支付寶合作的互聯網醫院,醫院的原則是誰提供服務誰負責安全,“到目前為止,我們醫院沒有出現大範圍的洩漏”。
一個典型的案例是,某地疾控中心委託公司建設網站,後者在網站後臺設置許可權,可以下載患者資料,包括了性命、年齡、手機號碼、地區和登記的疾病資訊,隨後偷偷倒賣給母嬰用品店、藥店。
經手這一案件的民警對《財經》說:“只要建站公司想這麼搞,一般人防不住。”因此,一般醫院更傾向於選擇聲譽好、靠譜的大公司合作。
非法獲取、出售或者提供行蹤軌跡資訊、通信內容、征信資訊、財產資訊五十條以上的,“情節嚴重”的入罪標準為50條。而諸如健康生理資訊、交易資訊等其他可能影響人身、財產安全的公民個人資訊被非法獲取、出售等五百條以上的,構成入罪標準。“總體來說,進行精准行銷的企業和電信詐騙集團是公民個人資訊的兩大主要買家。” 葉永青介紹,在浙江省松陽縣一案中,許多孕檢資訊被賣給婦幼保健用品銷售商。
事實上,被銷售給相關企業是危害程度相對較低的行為。大量精准特定的公民個人資訊被電信詐騙集團掌握後,圍繞資訊編造“話術”“劇本”,並偽冒公檢法等進行精准詐騙,已有大量導致重大經濟損失的案例。
一位長期偵辦相關案件的警方人員向《財經》記者介紹,駭客攻擊和資訊持有企業或員工非法提供,是近年來刑事案件中涉案資訊的最重要的兩大洩露源頭。由於侵害公民個人資訊行為多為上游犯罪,危害往往等到更大經濟損失出現時,才能被發現。
在司法環節,執法和司法機關也在不斷加強對這一類型犯罪的懲處力度。刑法意義上,違反相關規定向他人出售或者提供公民個人資訊,情節嚴重的,處三年以下有期徒刑。構成情節特別嚴重,則可處以最高刑為七年的有期徒刑。
防護級別
“醫療行業資訊安全保護起步比較晚,目前我們是業內流行什麼技術,用什麼技術,整體來看,處於中等水準”上述資訊科主任對《財經》記者分析,“其實重視以後,技術的問題很好解決。”
隨著患者資訊、病歷等資料從紙質版轉化為電子版,互聯網醫療、遠端問診等新型醫療模式,醫院內網的資料隨之走向公網,醫療機構對資料安全性益發看重。“病歷電子化以後,資料安全性問題不重視也要重視,駭客十幾分之內就把數據全抱走了。”上述資訊科主任說。
據醫療媒體動脈網統計,截止2016年11月,在國內某知名網路安全網站上以“醫院”為關鍵字進行搜索,查找出超過600條漏洞。三分之一的漏洞都在近兩年內為“白帽子”發現並上報。據大多數發現漏洞的“白帽子”反映,造成這些漏洞的技術問題相對較為低級,在其他成熟的互聯網行業已經很難遇到這麼低級的錯誤了。
2017年2月17日,浙江大學醫學院附屬第一醫院正式啟動“浙一互聯網醫院”的第二天,知乎上即出現了浙一互聯網醫院洩露患者資訊的討論帖。網友“培根Bacon”稱其在註冊、安裝軟體過程中看到了其他患者資訊,包括了患者手機號碼;2016年10月,有網友爆料,手機流覽器打開臨沂市人民醫院網站顯示卻為色☆禁☆情內容,隨後,網友找到了駭客攻擊的代碼。
啟明星辰副總裁,知乎上駭客/網路安全/資訊安全話題優秀回答者shotgun稱,“真的入侵案例新聞一般不會報,因為記者也不會知道。”
整體看,全國三甲綜合醫院安全水準存在較大差異。上述資訊科主任介紹,到目前為止,其所在醫院在資訊安全方面的累積投入約100萬元,“三甲醫院投入100萬起步,每年都對針對新情況做升級,每年投入約幾十萬”。
另一方面,在他看來,因為醫療資料大都在內網,安全性可以保證。至於與微信/支付寶合作的互聯網醫院,醫院的原則是誰提供服務誰負責安全,“到目前為止,我們醫院沒有出現大範圍的洩漏”。
一個典型的案例是,某地疾控中心委託公司建設網站,後者在網站後臺設置許可權,可以下載患者資料,包括了性命、年齡、手機號碼、地區和登記的疾病資訊,隨後偷偷倒賣給母嬰用品店、藥店。
經手這一案件的民警對《財經》說:“只要建站公司想這麼搞,一般人防不住。”因此,一般醫院更傾向於選擇聲譽好、靠譜的大公司合作。