首页 > 信息安全 > 正文

医院信息化会成为“黑客乐园”吗?

2016-04-15 14:42:16  来源:比特网

摘要:大量的患者信息被窃取,个人利益严重受损。这也在提醒管理者:如何平衡医学创新和监管之间的关系,已经成为一个不可忽视的课题。
关键词: 黑客 信息安全
  美国大力推进电子病历记录项目,医疗系统的病历档案全部联网,这为黑客们向医院下手提供了便利。2016年2月5日洛杉矶的好莱坞长老会医疗中心就遭遇这样悲催的事情。其系统被黑客成功入侵。所有的运营资料和病人信息都被他们掌握在手里。他们加密了所有数据,导致医院信息化系统无法使用,严重影响了医院的日常运营。这家拥有434张床位、近百年历史的医院乱作一团,侵入服务器的黑客在屏幕上留言:拿出9000个比特币,我就还你资料。经过一番讨价还价,医院最后向黑客支付40个比特币(约合1.7万美元),拿到密钥。大量的患者信息被窃取,个人利益严重受损。这也在提醒管理者:如何平衡医学创新和监管之间的关系,已经成为一个不可忽视的课题。毫不夸张地说,黑客可在绝大多数医院的信息系统来去自由,医院甚至察觉不到数据失窃。黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。 黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的人。
 
  更加智能的医疗存有隐忧
 
  随着3G、4G通讯等移动通讯技术和移动互联网技术进一步成熟,移动互联已经进入并改变着医疗业务的各个环节,远程医疗、个性化健康服务、健康管理等移动医疗应用也越来越受到重视,移动医疗在整合区域医疗资源、简化就医流程、实现医院精细化管理的同时也存在着诸多安全相关问题亟待解决,[1]尤其是随着大数据、移动互联网、云计算、物联网等新技术被广泛的运用与医院,必将对医院进行深刻的变革,医疗将被颠覆,将会迈向更加智能的医疗。移动互联网时代工业被智能化颠覆创新,很多行业也在智能化颠覆,医疗也将被智能化颠覆。一些医疗器械也开始与互联网相连接,以期为病人带来更好的医疗体验。医疗信息化所带来的便利是不言而喻的,患者也能够明显的感受到变化和便利,以前必须现场挂号的,现在可以在手机上完成,以前必须手写的病历,手写的各种单据,现在只需要在电脑上操作,患者按照流程就可以到下一个点进行相关的诊疗,诊间缴费,检查报告查询,都可以在网上实现了。智慧医院,让患者体会到了真实的便利,医疗的各个流程逐渐被信息化,与此同时,与网络世界的连接也为医疗行业带来了一系列的安全威胁。新的“+互联网”使医院在信息化方面更加开放,这同时也意味着遭受黑客攻击的几率大为增加。相对于黑客强大的计算机技术,医院在反攻击和防范方面显然具有天然的弱势,这样的攻击,对于任何医院,尤其是有着巨大数据量的医院来说,恐怕都是难以承受之痛。
 
  黑客为啥喜欢攻击医院
 
  信息化增加了医院信息泄漏的风险:信息化的安全性和稳定性非常重要,尤其是对于一个有着巨大敏感信息的医院,黑客可利用系统漏洞进行非法入侵,造成信息泄露、系统瘫痪,给用户带来巨大损失。2010年11月,波耐蒙研究所(Ponemon Institue)发布的调查报告显示,每年美国医院因患者资料丢失而承担的经济损失约60亿美元。该研究所在其针对美国医疗领域IT专业人士的调查中发现,51%的人坦陈自己并未在研发环节对患者的数据加以保护,而38%的人则表示在研发工作中有主动泄漏数据的行为。[2]相对美国,我国无论从信息科技整体水平,信息保护意识以及相关法律法规等诸多方面都存在不同程度的差距[3]。因此可以预见,国内医院在信息泄漏方面所面临的形势更加严峻,近期屡屡曝光的统方事件可能只是冰山一角。统方是医院信息泄漏的一种表现形式,近几年公立医院违法统方案件已成为国家和媒体关注的社会焦点问题。[4]
 
  医院信息安全可提升的空间很大:就医疗行业机构而言,其对于网络安全的防范远远不如金融、政府等敏感行业做得到位。比较而言,医疗行业的信息系统要脆弱得多。虽然医疗信息系统和设备被黑客攻击的机率目前看来还非常之小,但这并不意味着医疗行业便可以高枕无忧。而随着越来越多的就诊信息逐渐从纸质档案过渡成电子档案,如今的医疗行业无疑在保护患者数据信息方面面临着巨大的挑战。曾准备用现行的网络上的模板做一份方便使用和统计的满意度调查表,看上去确实很方便,可以收集患者的就诊信息、意见和满意度,还能够帮你做好统计,做出表格,自己再加过简单的加工,就能够做出一份满意度报告。这用在商业上,用来调查消费者满意度,问题不大,但是在医疗行业,要考虑其信息的特殊性敏感性,万一其后台,利用了这些数据,做了非法的事情,医院将会承受巨大的损失,对患者难免也会造成损害。为此,这样的方法,还不能简单的利用到医院,最少需要医院自己的开发团队,来开发自己满意度系统。
 
  医院数据信息量大:一份健康数据所包含的信息量无疑是巨大的,除了个人的身份信息,银行卡、健康数据、就诊数据,用药信息等都可能涵盖其中。医院每天都会产生大量的数据,这些数据,我们医院往往没有很好的分析整理挖掘利用。分析患者情况,指导和修正战略规划,分析科室运营情况,对科室进行精细化考核,分析疾病谱情况,可以写出有深度的文章,数据要么浪费了,要么残缺不全。医院在意识上和技术上都还有的提升空间,导致了大量数据的浪费。尤其是在推动建立患者个人健康档案,海量的人群健康信息,无疑会成为黑客施展的舞台。对于黑客而言,一份健康数据的价值远比一张单纯的信用卡信息要值钱得多。在国外一些地下市场,一份医疗保险证明便可以带给网络犯罪分子20美元的收益,而相比之下,一张信用卡只能带来1~2美元的收入。获取了大量的医疗记录信息后,黑客们还可以利用这些信息进行不同类型的犯罪活动,如:把信息高价卖给某种药物/器械/设备的研发部门、生产部门销售部门,还可能冒充病人获取管制药物,凭借银行卡信息进行金融欺诈等。各式各样的可穿戴医疗设备业已进入到日常的医疗诊断与健康监测中来,这些可穿戴设备都面临着成为黑客攻击的目标的威胁。心脏起搏器连接网络后遭到了黑客攻击,黑客便可能通过控制起搏器夺走患者的生命。
 
  未雨绸缪 防范于未然
 
  随着医疗改革的不断深化和信息技术的飞速发展,信息化已经深入医疗、服务、管理等各个节点和环节,成为贯穿医院管理全过程的重要引擎,数字化医院已经成为医院建设的重要组成部分。信息安全是数字化医院建设的关键环节,决定着以信息化为手段的医院各项业务的顺利开展。当前,医院信息安全问题主要体现在安全防护体系不完善、技术支持能力弱、制度落实不严格等方面,严重制约和影响着医院信息化乃至医疗工作的进一步发展[5]。医疗信息安全风险很大,尽早采取预防性措施、加强安全防范意识成为医疗行业急需采取的措施。在卫生资源共享与业务支持的迫切需求牵引下,加拿大以全国协同一致的卫生信息组织体系和筹资机制为保障,以全国标准统一、可共享的电子健康档案为核心,多种方式推进卫生信息化建设,使卫生信息化发展水平逐渐步入世界前列。医疗信息安全保障问题是国际性难题。加拿大在发展卫生信息化之初就高度重视信息系统安全与患者隐私保护,在组织机构的演变和战略规划发展过程中始终将其作为重要内容,采取一系列有效措施确保信息安全保存、共享与应用。[6]安全风险并非是依靠一己之力便能解决,针对技术层面的诸如漏洞、入侵等,还需安全厂商反馈、安全团队、医疗机构等通力协作,才能尽量将医疗行业面临的入侵攻击风险扼杀在“摇篮”里。更重要的还有意识层面,医院在“+互联网”的时候,要把信息安全做为一个非常重要的考虑点。精益管理有14条核心原则其中一条就是“只采用可靠的、经过充分验证的技术”,如果选择的技术还不成熟,还有很多漏洞,那就需要慎重,不成熟的技术,运用在和人健康生命直接相关的工作上,是否合适。

第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:pingxiaoli

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。