從殺毒軟件免費(fèi)到移動(dòng)互聯(lián)網(wǎng),再到大數(shù)據(jù)、萬(wàn)物互聯(lián)時(shí)代,安全的定義也在逐漸演變。病毒竊取銀行卡等密碼,移動(dòng)互聯(lián)網(wǎng)及大數(shù)據(jù)時(shí)代的用戶照片、個(gè)人信息數(shù)據(jù)的泄露,而到萬(wàn)物互聯(lián)時(shí)代,作為切入口的健康數(shù)據(jù)的泄露可能首當(dāng)其沖。
健康是可穿戴設(shè)備的試驗(yàn)田,隨之而來(lái),一些平臺(tái)也試圖構(gòu)建包含各類健康數(shù)據(jù)的一站式入口。如,聚合展示用戶的肺活量、喝水量、運(yùn)動(dòng)數(shù)據(jù)、體重?cái)?shù)據(jù)等健康信息,并可基于健康數(shù)據(jù)與好友間產(chǎn)生互動(dòng)。
對(duì)于用戶而言這是利好之事。筆者在肯定此事之時(shí)想從數(shù)據(jù)安全方面談下自己的隱憂。
攻:健康信息泄露不可忽視
在信息盤踞交錯(cuò)的當(dāng)下,萬(wàn)千受眾被互聯(lián)網(wǎng)連接成為一個(gè)個(gè)信息的個(gè)體、數(shù)據(jù)的個(gè)體,精彩紛呈的社會(huì)活動(dòng),燦爛的信息堆積帶給人們的除了無(wú)窮盡的新鮮與刺激,還有看似無(wú)止境的數(shù)據(jù)名詞,云計(jì)算、大數(shù)據(jù)、物聯(lián)時(shí)代……
但卻忽略了人類最根本問(wèn)題——健康。
健康永遠(yuǎn)止于傳統(tǒng)的去醫(yī)院排隊(duì)看病?帶著沉重的醫(yī)療設(shè)備,只為力保一命?其實(shí)大數(shù)據(jù)下的個(gè)人健康可以十分精準(zhǔn)與便利。但同時(shí)人們也會(huì)考慮到,如果個(gè)人健康信息系統(tǒng)真正走入互通有無(wú)的互聯(lián)網(wǎng)時(shí)代,那勢(shì)必會(huì)造成健康信息泄露,從而潛在無(wú)底洞式的可怕危險(xiǎn)。
當(dāng)手機(jī)號(hào)碼、QQ號(hào)、個(gè)人資料及一些關(guān)鍵生理健康數(shù)據(jù)等都保存在同一部手機(jī)上,如果發(fā)生信息泄露問(wèn)題,會(huì)對(duì)個(gè)人生活產(chǎn)生巨大的影響。因此移動(dòng)端個(gè)人健康數(shù)據(jù)的安全性是一個(gè)大問(wèn)題。
試想下,你的體重愿意暴露給外人么?你愿意接到保健品推銷、私營(yíng)醫(yī)院的短信電話么?
醫(yī)療健康信息如果泄露,首先是個(gè)人名譽(yù)的受損,二是財(cái)產(chǎn)蒙受損失。“一老人因糖尿病出院回家后,不斷遇到騷擾電話,并被忽悠去購(gòu)買了近6000元的’特效藥’”。這樣的事件屢屢發(fā)生。
就連蘋果也更新了健康管理平臺(tái)HealthKit的隱私政策,讓用戶數(shù)據(jù)遠(yuǎn)離廣告商和數(shù)據(jù)經(jīng)紀(jì)人之手。
周鴻祎說(shuō)過(guò),隨著IoT(Internet of Things)萬(wàn)物互聯(lián)時(shí)代的到來(lái),任何設(shè)備都將接入互聯(lián)網(wǎng),由此帶來(lái)的信息安全挑戰(zhàn)前所未有。
以健康數(shù)據(jù)為例,數(shù)據(jù)遭污染、篡改之后,反饋到數(shù)據(jù)處理平臺(tái),將直接導(dǎo)致錯(cuò)誤的醫(yī)療診斷,后果不堪設(shè)想。
未來(lái)學(xué)家塔克爾在《赤裸裸的未來(lái)》一書中曾調(diào)侃了這樣一個(gè)場(chǎng)景:某一天早上醒來(lái),你的智能手機(jī)給你發(fā)送了一條信息“下午您將在某街區(qū)遇到15年前的女友××,記得要假裝驚訝哦”。而類似健康數(shù)據(jù)的后果,并不是過(guò)于遙遠(yuǎn)的事情。
防:如何有效遏制健康信息泄露?
1、明確立法
據(jù)悉,在歐盟可穿戴設(shè)備制造商和供應(yīng)商要遵守法律,必須考慮隱私和安全問(wèn)題。然后在設(shè)計(jì)階段、數(shù)據(jù)捕捉階段和數(shù)據(jù)收集初期要正確的處理。
歐盟的數(shù)據(jù)保護(hù)法規(guī)定,個(gè)人必須被詳細(xì)告知自己的數(shù)據(jù)的收集情況,比如什么數(shù)據(jù),如何使用,以及個(gè)人擁有管理這些數(shù)據(jù)的權(quán)利。
在美國(guó),F(xiàn)DA(美國(guó)食品和藥物管理局)最近確認(rèn)了移動(dòng)醫(yī)療網(wǎng)絡(luò)安全監(jiān)管,確定對(duì)準(zhǔn)入市場(chǎng)的醫(yī)療設(shè)備網(wǎng)絡(luò)安全,特別是GxP云托管安全的指南。要求提供醫(yī)療設(shè)備風(fēng)險(xiǎn)評(píng)估文件。風(fēng)險(xiǎn)評(píng)估包括:標(biāo)識(shí)設(shè)備、威脅、漏洞;評(píng)估這些威脅和漏洞對(duì)設(shè)備功能和用戶/患者的影響等等。
在我國(guó),國(guó)家衛(wèi)生計(jì)生委制定的《人口健康信息管理辦法(試行)》(下稱《辦法》)近日公開(kāi)印發(fā)。《辦法》規(guī)定不得超范圍采集信息、不得泄露隱私信息、違反本辦法將追責(zé)等。
關(guān)于使用,《辦法》規(guī)定,不得對(duì)外提供涉及保密信息和個(gè)人隱私信息,保證個(gè)人隱私信息不被非授權(quán)泄露;任何建立、修改和訪問(wèn)人口健康信息的用戶,都應(yīng)當(dāng)通過(guò)嚴(yán)格的實(shí)名身份鑒別和授權(quán)控制。
2、存儲(chǔ),可靠機(jī)構(gòu)背書
我們應(yīng)該選擇什么樣的產(chǎn)品和平臺(tái)來(lái)儲(chǔ)存自己的信息?萬(wàn)一出現(xiàn)健康信息泄露,無(wú)論哪個(gè)平臺(tái)都應(yīng)該做到其行為可管理、可控制、可追溯。
首先,應(yīng)該用國(guó)產(chǎn)品牌的產(chǎn)品來(lái)監(jiān)測(cè)。往大了說(shuō),醫(yī)療健康等方面的大數(shù)據(jù),可以說(shuō)是屬于國(guó)家機(jī)密的一種。
美國(guó)的棱鏡門驚動(dòng)世界,斯諾登曾爆料,美國(guó)國(guó)家安全局NSA通過(guò)思科路由器監(jiān)控中國(guó)網(wǎng)絡(luò)和電腦,而思科幾乎參與了中國(guó)所有大型網(wǎng)絡(luò)項(xiàng)目的建設(shè)。
此外,情報(bào)人員還可以通過(guò)“后門”進(jìn)入微軟、雅虎、谷歌、蘋果等科技公司的服務(wù)器。
因此,無(wú)論是蘋果iOS上的health組件,還是谷歌、三星等推出的健康管理平臺(tái),都存在一定的數(shù)據(jù)泄露到國(guó)外隱患。
從健康數(shù)據(jù)的采集、網(wǎng)絡(luò)存儲(chǔ)到使用分析,最好與國(guó)內(nèi)的生產(chǎn)制造商、醫(yī)療機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)等等合作。
其次,選用專業(yè)的醫(yī)療機(jī)構(gòu)背書的軟件來(lái)存儲(chǔ)數(shù)據(jù),健康數(shù)據(jù)的分析評(píng)估對(duì)專業(yè)性的要求極高。
3、接入點(diǎn),嚴(yán)格防護(hù)
由于智能設(shè)備剛剛興起,由此建立的安全防護(hù)技術(shù)并沒(méi)有大的投入研發(fā)。這里安全防護(hù)邊界跟傳統(tǒng)安全防護(hù)邊界的概念有很大不同,更多設(shè)備互聯(lián)、數(shù)據(jù)平臺(tái)互聯(lián),形成了更多的接入點(diǎn),每個(gè)接入點(diǎn)都有被侵入的風(fēng)險(xiǎn)。
除了各個(gè)設(shè)備做好自身防護(hù),結(jié)點(diǎn)的防護(hù),設(shè)備間的銜接合作尤為重要。
為了避免健康數(shù)據(jù)被污染、篡改,還應(yīng)當(dāng)完善信息修改響應(yīng)及確認(rèn)機(jī)制,最大限度防止醫(yī)療誤診。
4、控制云腦,終極應(yīng)急機(jī)制
前面提到,未來(lái)通過(guò)數(shù)據(jù)的采集、加工,智能設(shè)備的自動(dòng)化,機(jī)器會(huì)產(chǎn)生自我意識(shí),就是云腦。些許的數(shù)據(jù)變動(dòng)就會(huì)導(dǎo)致機(jī)器自我行動(dòng),這是人類終將面對(duì)的,除自然、人為之外的最大的終極災(zāi)難。
如,未來(lái)不排除血壓達(dá)到限定值,機(jī)器人自動(dòng)做手術(shù),錯(cuò)誤的數(shù)據(jù)導(dǎo)致機(jī)器人誤判,將造成一場(chǎng)血腥的悲劇。這時(shí)人類需要一個(gè)按鈕,及時(shí)制止機(jī)器人的行為。
京公網(wǎng)安備 11010502049343號(hào)