近日,《法制日报》刊文《超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖》,曝出黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖。
一石激起千层浪。微博上不少用户担忧,“说不定就有我。”医疗数据安全,这个略显老套的话题再次成为焦点。
在全球范围内,医疗行业面临的网络安全威胁趋于严峻。数据分类好、使用价值高、安全保障和风险管理措施较落后等因素,使医疗行业数据成为黑客们钟爱的攻击目标。
尤其最近几年,病历电子化、医院上云、远程问诊等在医疗界轰轰烈烈展开,患者信息、病历等也从纸面转化为电子版,通过互联网医疗、远程问诊等新型医疗模式,医院内网的数据走向公网,于是安全问题接踵而至。
“协和、华西、301等大医院有很多明星、政要的信息,所以黑客会感兴趣。”一位三甲医院信息科主任对记者说。
网络安全公司HEIMDAL发布《2016年中回顾:2016年网络安全威胁分析报告》,总结了2015年4月到2016年3月全球范围内的网络安全事件。其中,医疗行业是勒索软件在世界范围内投入最多的行业,占第二季度勒索软件统计总量的88%。
从防守方来看,无论是医疗机构,还是政府部门,对信息安全益发重视。“曾经一段时间医院的信息安全做得很差,但过去两年来已经有很大的改善,现在总体还不错。”国内网络安全公司奇虎360副总裁兼首席隐私官谭晓生告诉记者。
上述信息科主任也表示,如果医院出现大规模的信息泄漏,第一责任人为院长,第二责任人是信息科主任,这无疑也给医疗机构的信息安全优化提供了动力。
进攻的黑客与防御的医疗机构之间,这场攻击与反攻击战役愈演愈烈。
事发
2017年8月31日,浙江省松阳县人民法院一审判决,王某辉、陈某亮等7人非法搜索、交换、买卖公民个人信息总计约8000万条,构成侵犯公民个人信息罪,获刑三至五年不等。
这是一个专门买卖信息的团伙,其信息来源特别复杂。据本案判决书显示,2016年2月至3月,王某辉在学习黑客技术时,获取了大量孕检类型的公民个人信息,同年7月起,其用名为“哈佛校长”等的QQ号,将这些信息出售。
该案主审法官叶永青告诉《财经》记者,这些孕检信息来自某部委下属某妇幼保健医院的网站数据,辐射范围遍布全国。
这不是第一次妇产信息被泄露,深圳也发生过同类事件。《南方都市报》去年一篇报道称,一份数量高达万条产妇信息的清单再度流入市场,除了电话、出生日期、姓名,还包括居住地址、出生医院等信息,“出生医院”更是涵盖深圳近50家医院。
基于不同类型信息的重要程度,于今年5月发布的《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》规定,非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的,“情节严重”的入罪标准为50条。而诸如健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息被非法获取、出售等五百条以上的,构成入罪标准。
“总体来说,进行精准营销的企业和电信诈骗集团是公民个人信息的两大主要买家。”叶永青介绍,在浙江省松阳县一案中,许多孕检信息被卖给妇幼保健用品销售商。
事实上,被销售给相关企业是危害程度相对较低的行为。大量精准特定的公民个人信息被电信诈骗集团掌握后,围绕信息编造“话术”“剧本”,并伪冒公检法等进行精准诈骗,已有大量导致重大经济损失的案例。
一位长期侦办相关案件的警方人员向《财经》记者介绍,黑客攻击和信息持有企业或员工非法提供,是近年来刑事案件中涉案信息的最重要的两大泄露源头。由于侵害公民个人信息行为多为上游犯罪,危害往往等到更大经济损失出现时,才能被发现。
在司法环节,执法和司法机关也在不断加强对这一类型犯罪的惩处力度。刑法意义上,违反相关规定向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑。构成情节特别严重,则可处以最高刑为七年的有期徒刑。
防护级别