當前位置：安全 → 行業動態 → 正文

醫療隱私泄露是誰的錯？

責任編輯：editor005 作者：歪哥 |來源：企業網D1Net 2015-10-28 11:01:35 本文摘自：雷鋒網

隱私信息安全從來就不是什么新鮮的事物，它主要有這幾個方式：

源頭信息安全：被攝像頭直播（親眼看過360水滴直播活春宮的，倒也不是攝像頭有安全問題，而是用戶壓根不知道被全網直播了）、被拍攝、被監聽；

介質信息安全：手機、U盤丟失、電腦送修；

網絡信息安全，賬戶被盜、網站被強行脫褲（拖庫，數據庫被黑客下載）；

更高級的就是社工了，通過收集你的生活、網絡行為習慣，偽裝身份獲得你的信任或猜解、撞庫獲得你更多信息……

這些都不是駭人聽聞，實話告訴你，你生活在一個被黑客虎視眈眈盯著的世界。

信息安全的范圍太廣，恰好我所學的專業（醫學信息工程）可能可以扯上一兩句（雖然我大學學的什么東西基本全忘了……），我們今天就來聊一聊 醫療信息安全。

醫療隱私信息是個人隱私信息里極為重要的一部分，僅次于金融信息安全，或者有時候更高于金融信息安全，比如艷照門事件，花多少錢也沒法讓負面影響消失。

　　首先問一個問題，你眼里的“醫療信息安全”是什么？

你的第一反應可能跟醫院有關。嗯，是的， 大部分的醫療行為跟醫院、診所都有關系，但又不僅僅限于醫院和診所。你看，微信上的城市生活服務不是也能掛號嘛，百度搜一搜你是啥毛病啥關鍵詞百度可知道的一清二楚，還有各類的在線問診網站、App……互聯網給人們生活帶來許多便利，無論是自身的醫療行為，還是社區交流，都有長足的進步。但這一切，無形中可能帶來另外一個問題 —— 隱私信息安全。是的，有可能某天有個陌生的人給你打電話，知道你從A罩杯整到了C罩杯，在哪個醫院整的，整前整后是怎樣的……

最早的醫療信息都集中在醫院的局域網中，形態大概就是我們通常所說的 HIS系統（Hospital Information System，中文譯醫療信息系統）。

那么問題來了：醫院安全嗎？

不安全，或者說安全只是相對的，要看信息泄漏到什么程度。

比如大部分醫院的叫號系統，顯示“xxx名字請到xx科xx診室”，比如“請10號黃曉明（純屬雷同巧合的名字）請到男性生殖科1號診室”，如果恰好有熟人看到說：“啊，黃曉明是不是有什么問題啊，跑到男科去看，還是看的生殖……”

或者是醫院的網站被入侵，滲透到內網，被黑客批量獲取了數據，這是真事兒，我親測幾個醫院的網站，各種SQL注入、弱口令安全漏洞；

又或者是醫生之間的病例討論，直接把你的病例或者影像掃描結果發到網站、App或者是聊天群里 —— 這也是真事兒，我待過幾個醫療群，病例求助的醫生把病人的病例發上來，個人信息沒有打碼（醫生并非有意，大部分是時間緊迫，或者無意識的；

觸目驚心是不是？躺槍是不是？

　　現在很多醫院的看診也還依舊是這個形式，你覺得有隱私可言嗎？

移動醫療安全嗎？

除了醫院/機構，這兩年風頭正旺，屢屢獲得巨額融資的移動醫療領域，安全的問題也是讓人頭疼。廠商們一方面在大肆宣揚“云服務”，如何加密如何安全，但大部分都是說的比做的多。當然也有做得比較好的，比如丁香園、掛號網，雖然多少有安全問題，但響應快，也足夠重視，絕大部分的中小廠商都存在著嚴重的安全漏洞，比如xx林、x美、xx牙醫……

除了你的姓名、頭像、手機號等信息，還有你所發布的咨詢、病例（如果是醫生）、賬號密碼……都有可能泄露。也許有一天，你正在愉快地自拍著，忽然有個陌生人打電話給你，他不僅知道你的姓名、性別、生日、電話，還知道你的確切地理位置，知道你臉上哪個部位整過，屁股和胸左邊還是右邊是假的，找你要錢消災或者是有更好的變美促銷活動問你要不要。如果接到這樣的電話，千萬不要覺得震驚，這一切可能是你的錯，也可能是廠商無作為的錯，也可能是國家的錯。

　　為什么是你的錯？

那是因為你經常使用重復的密碼注冊、登錄各種各樣的網站；那是因為你過度信任廠商的安全技術能力，毫無保留把自己的信息交給廠商；那是因為沒有安全意識，可能上了釣魚網站或者因為大意電腦、手機感染了病毒。總之就是你的不小心，讓信息暴露在光天化日之下。

　　那么對于這一切，你可以做些什么？

不要在多個醫療網站上使用相同的密碼；

不要在醫療網站/App上留過多的個人私密信息；

勤換密碼；

如果要在這些網站/App自拍，最起碼打個碼！！！

使用小號（比如手機號用阿里小號……）；

多留個心眼，不要輕易相信中獎、釣魚信息，不要讓一個來路不明的App/應用程序輕易住到你的電腦里；

百度疾病的時候，把隱私模式開啟（如果不會，百度一下怎么開啟）；

買了東西（藥/充氣娃娃），快遞地址如果沒有用，撕碎，扔掉；

網上問診在不是太熟悉對方的時候，真不要太毫無保留，有病得去正規醫院看，即便是難言之隱；

醫生們的學習熱情是毋庸置疑的，發病例討論的時候，記得要把個人隱私信息打碼或者去掉哦；

……

那為什么又是廠商的錯呢？

應用程序的漏洞無非就幾種，xss、弱口令、SQL注入、任意文件上傳提權getshell、越權、CSRF等，這些問題只要廠商研發人員平時多點安全意識，多關注安全平臺，危害就會小一些；即便發生了安全漏洞，快速響應修補把危害降到最低也可以原諒。

但移動醫療領域里，許多中小廠商是沒有這些安全意識的。他們大部分精力在業務層面，在安全方面不作為、不重視、投入不夠。烏云上有多少醫療信息安全相關的漏洞是無人認領的，大家可以上去搜一搜 “醫療、醫生、醫院”等關鍵詞。

　　為啥國家可能也有錯呢？

除了技術漏洞、道德問題以及監管責任之外，今日信息安全問題泛濫的一個重要的原因是 法律規范模糊導致違法成本過低。事實上，我國自上世紀90年代以來，先后出臺多部涉及互聯網個人信息安全的法規、條例、辦法，如《中華人民共和國計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》、《互聯網網絡安全信息通報實施辦法》……但是，縱觀專門涉及互聯網個人信息安全的法規、條例、辦法，有幾方面特點：

從頒布者來看，多為國務院、工業和信息化部、公安部等行政部門，這種部門法規的效力和權威要低于國家法律；

從內容來看，對侵害互聯網個人信息安全的行為的界定、處置依據尚比較模糊，對各類互聯網參與主體的責任劃分不夠清晰明確，特別是對互聯網信息企業在信息安全方面人員、設備投入沒有明確的規定，難以適應當前嚴峻的互聯網個人信息安全形勢。