隱私信息安全從來就不是什么新鮮的事物,它主要有這幾個方式:
源頭信息安全:被攝像頭直播(親眼看過360水滴直播活春宮的,倒也不是攝像頭有安全問題,而是用戶壓根不知道被全網直播了)、被拍攝、被監聽;
介質信息安全:手機、U盤丟失、電腦送修;
網絡信息安全,賬戶被盜、網站被強行脫褲(拖庫,數據庫被黑客下載);
更高級的就是社工了,通過收集你的生活、網絡行為習慣,偽裝身份獲得你的信任或猜解、撞庫獲得你更多信息……
這些都不是駭人聽聞,實話告訴你,你生活在一個被黑客虎視眈眈盯著的世界。
醫療隱私信息是個人隱私信息里極為重要的一部分,僅次于金融信息安全,或者有時候更高于金融信息安全,比如艷照門事件,花多少錢也沒法讓負面影響消失。
醫療隱私泄露,是誰的錯?
首先問一個問題,你眼里的“醫療信息安全”是什么?
你的第一反應可能跟醫院有關。嗯,是的,大部分的醫療行為跟醫院、診所都有關系,但又不僅僅限于醫院和診所。你看,微信上的城市生活服務不是也能掛號嘛,百度搜一搜你是啥毛病啥關鍵詞百度可知道的一清二楚,還有各類的在線問診網站、App……互聯網給人們生活帶來許多便利,無論是自身的醫療行為,還是社區交流,都有長足的進步。但這一切,無形中可能帶來另外一個問題 —— 隱私信息安全。是的,有可能某天有個陌生的人給你打電話,知道你從A罩杯整到了C罩杯,在哪個醫院整的,整前整后是怎樣的……
最早的醫療信息都集中在醫院的局域網中,形態大概就是我們通常所說的HIS系統(Hospital Information System,中文譯醫療信息系統)。
那么問題來了:醫院安全嗎?
不安全,或者說安全只是相對的,要看信息泄漏到什么程度。
比如大部分醫院的叫號系統,顯示“xxx名字請到xx科xx診室”,比如“請10號黃曉明(純屬雷同巧合的名字)請到男性生殖科1號診室”,如果恰好有熟人看到說:“啊,黃曉明是不是有什么問題啊,跑到男科去看,還是看的生殖……”
或者是醫院的網站被入侵,滲透到內網,被黑客批量獲取了數據,這是真事兒,我親測幾個醫院的網站,各種SQL注入、弱口令安全漏洞;
又或者是醫生之間的病例討論,直接把你的病例或者影像掃描結果發到網站、App或者是聊天群里 —— 這也是真事兒,我待過幾個醫療群,病例求助的醫生把病人的病例發上來,個人信息沒有打碼(醫生并非有意,大部分是時間緊迫,或者無意識的;
又或者是國家系統或者醫療廠商出了事,比如:慢性病遠程檢測管理數據中心弱口令(涉及部分醫院,醫生,以及病人信息)。
觸目驚心是不是?躺槍是不是?
醫療隱私泄露,是誰的錯?
現在很多醫院的看診也還依舊是這個形式,你覺得有隱私可言嗎?
移動醫療安全嗎?
除了醫院/機構,這兩年風頭正旺,屢屢獲得巨額融資的移動醫療領域,安全的問題也是讓人頭疼。廠商們一方面在大肆宣揚“云服務”,如何加密如何安全,但大部分都是說的比做的多。當然也有做得比較好的,比如丁香園、掛號網,雖然多少有安全問題,但響應快,也足夠重視,絕大部分的中小廠商都存在著嚴重的安全漏洞,比如xx林、x美、xx牙醫……
除了你的姓名、頭像、手機號等信息,還有你所發布的咨詢、病例(如果是醫生)、賬號密碼……都有可能泄露。也許有一天,你正在愉快地自拍著,忽然有個陌生人打電話給你,他不僅知道你的姓名、性別、生日、電話,還知道你的確切地理位置,知道你臉上哪個部位整過,屁股和胸左邊還是右邊是假的,找你要錢消災或者是有更好的變美促銷活動問你要不要。如果接到這樣的電話,千萬不要覺得震驚,這一切可能是你的錯,也可能是廠商無作為的錯,也可能是國家的錯。
醫療隱私泄露,是誰的錯?
為什么是你的錯?
那是因為你經常使用重復的密碼注冊、登錄各種各樣的網站;那是因為你過度信任廠商的安全技術能力,毫無保留把自己的信息交給廠商;那是因為沒有安全意識,可能上了釣魚網站或者因為大意電腦、手機感染了病毒。總之就是你的不小心,讓信息暴露在光天化日之下。
那么對于這一切,你可以做些什么?
不要在多個醫療網站上使用相同的密碼;
不要在醫療網站/App上留過多的個人私密信息;
勤換密碼;
如果要在這些網站/App自拍,最起碼打個碼!!!
使用小號(比如手機號用阿里小號……);
多留個心眼,不要輕易相信中獎、釣魚信息,不要讓一個來路不明的App/應用程序輕易住到你的電腦里;
百度疾病的時候,把隱私模式開啟(如果不會,百度一下怎么開啟);
買了東西(藥/充氣娃娃),快遞地址如果沒有用,撕碎,扔掉;
網上問診在不是太熟悉對方的時候,真不要太毫無保留,有病得去正規醫院看,即便是難言之隱;
醫生們的學習熱情是毋庸置疑的,發病例討論的時候,記得要把個人隱私信息打碼或者去掉哦;
……
那為什么又是廠商的錯呢?
應用程序的漏洞無非就幾種,xss、弱口令、SQL注入、任意文件上傳提權getshell、越權、CSRF等,這些問題只要廠商研發人員平時多點安全意識,多關注安全平臺,危害就會小一些;即便發生了安全漏洞,快速響應修補把危害降到最低也可以原諒。
但移動醫療領域里,許多中小廠商是沒有這些安全意識的。他們大部分精力在業務層面,在安全方面不作為、不重視、投入不夠。烏云上有多少醫療信息安全相關的漏洞是無人認領的,大家可以上去搜一搜 “醫療、醫生、醫院”等關鍵詞。
為啥國家可能也有錯呢?
除了技術漏洞、道德問題以及監管責任之外,今日信息安全問題泛濫的一個重要的原因是法律規范模糊導致違法成本過低。事實上,我國自上世紀90年代以來,先后出臺多部涉及互聯網個人信息安全的法規、條例、辦法,如《中華人民共和國計算機信息系統安全保護條例》、《計算機病毒防治管理辦法》、《互聯網網絡安全信息通報實施辦法》……但是,縱觀專門涉及互聯網個人信息安全的法規、條例、辦法,有幾方面特點:
從頒布者來看,多為國務院、工業和信息化部、公安部等行政部門,這種部門法規的效力和權威要低于國家法律;
從內容來看,對侵害互聯網個人信息安全的行為的界定、處置依據尚比較模糊,對各類互聯網參與主體的責任劃分不夠清晰明確,特別是對互聯網信息企業在信息安全方面人員、設備投入沒有明確的規定,難以適應當前嚴峻的互聯網個人信息安全形勢。
文章:轉載 雷鋒網
天坦小編評論:目前患者信息的安全性一直是大家所擔憂的問題,但如果害怕信息泄露醫院依然進行“閉關鎖國”,那么我們將繼續面對“”看病難
、“一票難求”‘“哭訴無門”的醫療窘相。真正的移動醫療是不會泄露信息的,而是讓患者與醫生之間實現互通,小病醫生一人看,大病一群醫生看,這樣不僅提高了治療的質量還節省的治療的時效。逐漸與國際醫療模式接軌,那么我們將不再“一票難求”。天坦人目前正在進行的移動醫療本初是將“讓天下沒有難看的病”,早日實現,加速與國際醫療接軌!移動是病患的有效溝通,并不等于信息泄露。天坦移動護理和天坦移動查房都有數據接口加密、防盜處理,信息可以安全的存儲于云端。