医疗行业数据泄露惊人，提高医疗信息安全刻不容缓

近日，Verizon发布的一篇网络安全报告显示，在全世界范围内，医疗行业是内部威胁高于外部威胁的唯一一个行业，内部从业人员对医疗数据的泄漏达到了惊人的程度。

该报告称，内部人员泄漏信息的原因主要有三个：一是受经济利益驱使，比如偷税漏税或利用偷来的信息开放信用额度（48%）；二是出于好奇或娱乐心理而窥视名人及其家人的隐私信息（31%）；三是纯粹因为这些信息触手可及（10%）。

当然，除了“内鬼”，医疗信息的另一个安全隐患就是黑客攻击。

有统计表明，2017年仅在美国出现的重大医疗信息泄露事件就有15次，保守估计，共有约300万名病人的信息被泄露。而在我国，这一问题同样十分严重。比如2017年9月《法制日报》就报道了一家医院的服务信息系统遭到黑客入侵，被泄露的公民信息多达7亿多条，8000多万条公民信息被贩卖。近些年来，这样的安全事件频频发生。

 

医疗数据：黑产香饽饽

毫无疑问，医疗数据有着很高的价值，其中包含的患者姓名、年龄、居住地址、电话、病史、银行账户等信息，蕴含着重要的财富价值，这也使得医疗数据成为黑产的香饽饽。

 

在利益等因素的驱使下，医疗系统“内鬼”泄漏信息的事件才频频发生。另外，黑客对这些数据也一直虎视眈眈。

近年来，病历电子化、医院上云、远程问诊等业务的开展，患者的病历等信息也逐渐转为电子版，越来越多的个人健康信息连入网络。虽然这在很大程度上提升了便捷性，但同时也增加了病人信息数据泄露的风险。

首先，医护人员的安全意识较为薄弱：有调查显示，21%的内部人员表示，登录医疗相关系统的用户名和密码记录就放在自己的电脑旁；而且，医护人员共用账号的现象也非常严重，如果出现安全事故，很难进行安全追溯；

其次，医疗机构对内部工作人员的管理不够严谨，导致“内鬼”有机可乘；

再次，医疗系统账号安全等级低，很容易遭到黑客的暴力破解、撞库、钓鱼邮件、木马病毒、SQL注入等攻击，然后窃取医疗数据进行倒卖牟利，甚至控制医院关键信息系统，勒索巨额赎金，严重影响医院的正常秩序。

层出不穷的安全事件时刻提醒着我们，安全线就是生命线，其中的第一道防线就是身份认证。根据Verizon发布的《2017年数据泄露调查报告》，81%的数据泄露都与身份被窃取有关。

因此，提升医疗信息系统的安全性刻不容缓。除了必须要加强员工的安全意识之外，还需要通过技术手段提高身份认证的安全性，并做到安全追溯、责任到人。

 

锦佰安科技SecID智慧医疗解决方案

（1）     多因素身份认证将“内鬼”和黑客拒之门外

SecID多因素身份认证技术在用户所知的密码基础上，通过用户所持的可信设备（手机）以及个人生物特征（指纹、人脸等）完成一键确认、图片密码、指纹识别、人脸识别、OTP动态口令等身份认证。实现由以往单因子认证到多因素认证的转变，建立多层次的安全机制确保可信身份访问，避免了弱口令和密码泄漏导致的安全隐患。

 

（2）    安全审计功能实现责任到人

SecID身份识别管理后台的日志包括管理员操作日志以及用户登录认证日志，日志中记录了用户、应用、操作时间、事件、安全设备等信息，方便安全审计和追溯，实现责任到人。

 

SecID在医疗领域的使用场景

 

在医疗领域，锦佰安科技能从身份认证、访问控制、内容/数据安全、监控审计备份、安全培训等诸多方面，打造全方位的智慧医疗安全体系。未来，锦佰安科技将与更多医疗领域的客户深入合作，为医疗信息系统的数据安全保驾护航。