- 2018-02-07 15:47
- 作者:郑少丽
- 来源:中国数字医疗网
医院系统被黑,再次来袭。2月6日,据”医学界智库“消息,上海某公立医院系统被黑,黑客勒索价值2亿元以太币。
为什么黑客对医院数据感兴趣
黑客们的行为难以琢磨,谁都不知道下一个遭殃的是谁。为何黑客们更为青睐医疗数据呢?
医疗数据则不一样,我们去医院看医生的时候,往往会透露社保帐号、个人财务信息、索赔数据和临床资料等等关键信息,黑客们通过这些信息的拼凑,就可以勾画出一幅完整的个人信息图谱来。在黑市中,这些信息如果能够让不法分子侵入到个人银行帐号,那么这些信息卖出个几百美元也很正常。
另一方面,信息安全公司TrustedSEC LLC首席执行官大卫·肯尼迪(Dave Kennedy)表示,“医院的安全系统很薄弱,因此也最容易被黑客入侵,并获得大量病人信息。”这些信息包括病人的姓名、生日、保单号码、诊断结果以及账单信息等。诈骗集团会利用这些信息创建假的身份证,用以购买医疗器械或药品,并最终实现倒卖目的。
除了内外,国外医院系统遭黑客攻击现象更为普遍
2016年2月,好莱坞一家医疗中心的系统受到黑客攻击,将其内部电脑系统关闭一周。为求能够尽快顺利工作,院方缴纳40比特币(价值约为1.7万美元),系统才得以恢复正常。
2017年5月,立陶宛的一家整形外科医院系统遭到黑客攻击。黑客对在这家医院接受过整容手术(有来自德国、丹麦、英国、挪威以及其它欧洲国家)的客户索要赎金,否则将公开客户的个人信息。报道称约25000多张个人隐私照片和信息被泄露。
2017年5月12日,英国NHS,即全民医疗体系旗下,多家医疗机构遭受网络攻击。导致多家公立医疗机构的电脑系统“瘫痪”,无法查阅病例资料,预约信息及内部电话和电子邮件系统。据了解,很多电脑的屏幕突然弹出一条对话框,对话框中的信息称,电脑中所有的数据、照片、视频及其他文件都已被加密,只有支付相当于300美元的比特币到一个“钱包”链接才能恢复数据;如果七天之内没完成支付,遭到攻击的电脑中所有的数据将会永久丢失。当天,有多家医疗机构的系统受到干扰,预约信息和医院内部系统瘫痪,很多患者就医预约甚至手术都被迫取消。
黑客不死,医院CIO要做哪些准备
作为我国第一部全面规范网络空间安全管理的基础性法律,《中华人民共和国网络安全法》(以下简称《网络安全法》)于2017年6月1日正式实施,它的施行,标志着我国网络安全从此有法可依,网络空间治理、网络信息传播秩序规范、网络犯罪惩治等即将翻开崭新的一页,同时对保障我国网络安全、维护国家总体安全具有深远而重大的意义。《网络安全法》在保护社会公共利益,保护公民合法权益,促进经济社会信息化健康发展方面扮演重要角色。
所以对于CIO来说,网络安全是无法躲避的话题,必须予以重视。既要有正确的思想认识,还有要良好的工作方法。既然网络安全问题已明确定位在战略层面,那么信息部门就应从战略角度看待“网络安全”,而不应把它当作信息化建设领域里的“技术问题”。对于如何制定安全策略,对于CIO 来说,他们需要妥善的保护和维护他们的系统,一旦发生网络攻击,可能面临刑事问责。
从医疗信息安全角度来讲,同样要求建立健全网络安全监测预警和信息通报制度,建立网络应急工作机制,制定应急预案,重大突发事件等同于医疗事故,所造成的经济损失和社会影响将是无法估量的。
《网络安全法》第三十三条建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能,并保证安全技术措施同步规划、同步建设、同步使用。依据“网络安全法”的三同步原则,在目前情况下,信息部门的工作着眼点不仅追求的是系统建设,更重要的是已建系统或在建、将建系统的运转状态及运维能力,恐怕这和“自身安全”的关系更加密切。另外,就“网络安全”而言,信息部门无疑是主力军。但是,要打赢这场战争,并在战斗中生存下来,主力军决不可孤军奋战,必须与领导、医护人员、专业公司等保持良好、有效地沟通和协作。