“医疗行业信息安全保护起步比较晚,目前我们是业内流行什么技术,用什么技术,整体来看,处于中等水平”上述信息科主任对《财经》记者分析,“其实重视以后,技术的问题很好解决。”
随着患者信息、病历等数据从纸质版转化为电子版,互联网医疗、远程问诊等新型医疗模式,医院内网的数据随之走向公网,医疗机构对数据安全性益发看重。“病历电子化以后,数据安全性问题不重视也要重视,黑客十几分之钟内就把数据全抱走了。”上述信息科主任说。
据医疗媒体动脉网统计,截止2016年11月,在国内某知名网络安全网站上以“医院”为关键词进行搜索,查找出超过600条漏洞。三分之一的漏洞都在近两年内为“白帽子”发现并上报。据大多数发现漏洞的“白帽子”反映,造成这些漏洞的技术问题相对较为低级,在其他成熟的互联网行业已经很难遇到这么低级的错误了。
2017年2月17日,浙江大学医学院附属第一医院正式启动“浙一互联网医院”的第二天,知乎上即出现了浙一互联网医院泄露患者信息的讨论帖。网友“培根Bacon”称其在注册、安装软件过程中看到了其他患者信息,包括了患者手机号码;2016年10月,有网友爆料,手机浏览器打开临沂市人民医院网站显示却为色情内容,随后,网友找到了黑客攻击的代码。
启明星辰副总裁,知乎上黑客、网络安全、信息安全话题的优秀回答者shotgun称,“真的入侵案例新闻一般不会报,因为记者也不会知道。”
整体看,全国三甲综合医院安全水平存在较大差异。上述信息科主任介绍,到目前为止,其所在医院在信息安全方面的累积投入约100万元,“三甲医院投入100万起步,每年都对针对新情况做升级,每年投入约几十万”。
另一方面,在他看来,因为医疗数据大都在内网,安全性可以保证。至于与微信/支付宝合作的互联网医院,医院的原则是谁提供服务谁负责安全,“到目前为止,我们医院没有出现大范围的泄漏”。
一个典型的案例是,某地疾控中心委托公司建设网站,后者在网站后台设置权限,可以下载患者数据,包括了姓名、年龄、手机号码、地区和登记的疾病信息,随后偷偷倒卖给母婴用品店、药店。
经手这一案件的民警对记者说:“只要建站公司想这么搞,一般人防不住。”因此,一般医院更倾向于选择声誉好、靠谱的大公司合作。