近日有媒体曝出,全国30省份275位艾滋病感染者称接到诈骗电话,该群体的个人信息疑似被大面积泄露。医疗保健数据已经成为全球黑客的首要目标,这次信息泄露并不是个例。去年,全美被盗医疗数据量占被盗数据总量的67%超过一亿例,这还仅仅是美国一个国家的数量。今年形势未见改观其数量已达总量的34%,仅次于政府类信息泄露案例数量。
患者信息意味着金钱
黑客为何瞄准医疗机构?金钱便是重要原因之一。在美国的黑市上,每份健康保险凭证可卖20美元,一份病历信息至少可卖50美元,而信用卡信息则只能卖一两美元。假如换做是你,有人出价10美元买你从沙发上捡到的花生,你会选择满足自己的胃还是卖了它?毫无疑问,卖了它!
而病案信息为何如此受追捧?一是其数据具有长期性,二是其信息的复杂性。对于金融数据,多数黑客最多偷到所涉及账户的信息,而一旦受害者或银行发现并注销账户,其所盗信息便失效。而患者信息中的许多相关数据则无法更改,如身高、体重、疾病、处方、社会保险号及财务信息。一直以来,大家都认为私密病史被公之于众是件丢脸的事,因此不法分子抓住这一软肋,利用病案信息中的相关数据进行经济诈骗、敲诈勒索等违法活动。
医疗机构安保措施滞后
另一方面,医疗领域的安保措施存在滞后性。医疗机构的网络本就不堪重负,而应用软件、云、智能医疗设备等新科技层出不穷使其更加应接不暇。种种原因累加,导致恶意钓鱼软件猖獗,引发一系列勒索。用户(特别是有管理员权限的用户)会无意间下载并打开一些会对整个医疗机构的网络产生危害的附件。
医疗机构需加强认证管理
要想解决这一问题,医疗机构仅仅按照《健康保险流通与责任法案》(HealthInsurancePortabilityandAccountabilityAct,HIPAA)行事远远不够,还需要有能力确保患者数据100%安全。例如,医疗机构的特权账户及管理员账户应当采取安全措施,以完全确定另一终端用户的身份。普通用户至少要采取多因素认证方式以避免电子诈骗。仅这两项措施便能极大程度上阻碍勒索软件兴风作浪。而且,还要对相关人员进行适当培训,避免发生失误引发恶意软件感染或数据泄露。另外,由于医疗保健领域保存着大量数据宝藏,且必须有人来管理,因此必须对这些管理者进行严格的身份验证。
患者应频繁更换密码
患者自然可以一如既往寄希望于医疗机构保护隐私,但其实自身也可以采取一些简单方法保护自身隐私。由于黑客并非总是黑入后端获得患者数据的,只要有正确的认证信息,他们就可以通过正常途径登录。因此,不依托于短信的多因素认证、频繁更换密码等措施都能有效降低信息被盗风险。
互联网威胁不断出新,医疗机构防盗之路任重道远。但也并非只能坐以待毙,上述措施的确行之有效,若能积极执行并开展适当的教育培训,形势或将大有好转。
