數(shù)字化時代，醫(yī)療服務質(zhì)量和效率在數(shù)據(jù)可供中得到提升，從醫(yī)療數(shù)據(jù)的采集、存儲，到分析和再次應用，全鏈條的數(shù)據(jù)服務成為一種基礎設施和技術(shù)底座嵌入了醫(yī)療健康行業(yè)。

　　Verizon發(fā)布《2024年數(shù)據(jù)泄露調(diào)查報告》中顯示，在所計算事件當中，有1/3的泄漏事件涉及勒索軟件或其他形式的敲詐手段，報告還顯示，這些事件確認占比中，醫(yī)療健康行業(yè)占88.5%，主要攻擊方式為雜項錯誤、特權(quán)濫用、系統(tǒng)入侵，其中70%來自內(nèi)部威脅，30%來自外部威脅；驅(qū)動因素分別為98%的經(jīng)濟利益和1%的間諜活動；泄露數(shù)據(jù)包括75%的個人信息、51%內(nèi)部數(shù)據(jù)、25%其他和13%憑證。

　　故而，保障醫(yī)療數(shù)據(jù)安全是一件需要醫(yī)療行業(yè)和技術(shù)廠商共同支持且不容懈怠的事情。數(shù)據(jù)顯示，2023年奇安信95015平臺受理的醫(yī)療行業(yè)應急響應事件中，數(shù)據(jù)安全相關(guān)事件占了將近50%。同時，奇安信威脅情報中心監(jiān)測結(jié)果表示，2023年國內(nèi)醫(yī)療衛(wèi)生行業(yè)泄露數(shù)據(jù)超9.02億條，約合344.7GB。

　　無論國內(nèi)外，醫(yī)療數(shù)據(jù)泄露事件的影響都很嚴重。國外僅2024上半年醫(yī)療行業(yè)被泄露的數(shù)據(jù)量高達10億條，3月美國聯(lián)合健康集團支付勒索贖金2200萬美元，大量私人醫(yī)療健康數(shù)據(jù)被竊?。?月愛沙尼亞連鎖藥房系統(tǒng)遭破壞導致全國一半人口數(shù)據(jù)被泄露；同月法國戛納某醫(yī)院系統(tǒng)遭受攻擊導致醫(yī)護被迫紙上辦公。再看國內(nèi)，今年10月8日國家醫(yī)保局通報的江蘇省無錫虹橋醫(yī)院騙保事件，涉及了全鏈條專業(yè)化造假、篡改病歷等行為；2023年底，周海媚的電子病歷截圖在社交媒體流傳。諸如此類的醫(yī)療數(shù)據(jù)安全事件眼下比比皆是。

　　面對這些，筆者不禁想起泰戈爾曾寫道“生如夏花之絢爛，死如秋葉之靜美”，放到數(shù)字化時代的背景之下，真想感嘆一句“醫(yī)療數(shù)據(jù)遍地開花，這讓秋葉還怎么靜美”？美好的生命祈愿在醫(yī)療行業(yè)內(nèi)似乎因數(shù)據(jù)安全事故的頻繁發(fā)生而受到侵犯，醫(yī)療數(shù)據(jù)安全的隱私邊界因數(shù)據(jù)技術(shù)的參與而不斷模糊。不容置喙的是數(shù)字技術(shù)在醫(yī)療行業(yè)內(nèi)的融合風頭正盛，醫(yī)療行業(yè)因此而產(chǎn)生的利弊呈兩極分化。

　　救死扶傷是醫(yī)療行業(yè)亙古不變的終極使命。因此，下文所指的醫(yī)療數(shù)據(jù)安全的隱私邊界將從操作和倫理兩個層面來做出稍加限定，具體為：醫(yī)療數(shù)據(jù)安全的隱私邊界被讓渡，一方面指醫(yī)院對己方醫(yī)療數(shù)據(jù)部分管理權(quán)力的讓渡，另一方面又意指“人的生命健康被技術(shù)過度量化”導致人的社會性隱私更易被泄露。這既是表現(xiàn)，也是影響，根源在于醫(yī)療數(shù)據(jù)安全受到威脅。

　　實際上，醫(yī)療行業(yè)為了避免數(shù)據(jù)泄露等問題會優(yōu)先選擇私有云服務，或者混合云模式，那“為什么選擇主打安全的私有云后仍無法保障數(shù)據(jù)安全”？下文將通過解析“日本賽諾菲數(shù)據(jù)泄露事件”和“上海某醫(yī)療科技公司泄露大量數(shù)據(jù)，被網(wǎng)信部門依法處罰事件”，來剖析醫(yī)療健康行業(yè)發(fā)生數(shù)據(jù)安全事故的原因。

　　數(shù)據(jù)在流通交易和機構(gòu)內(nèi)部的使用過程中會產(chǎn)生經(jīng)濟利益的甜頭，使高價值的醫(yī)療健康數(shù)據(jù)成為不法分子攻擊的主要目標之一。

　　先來看下“日本賽諾菲數(shù)據(jù)泄露事件”和“上海某醫(yī)療科技公司泄露大量數(shù)據(jù)，被網(wǎng)信部門依法處罰事件”兩起真實案例：

　　2024年8月28日，賽諾菲（日本）宣布，外部有人未經(jīng)授權(quán)訪問其部分數(shù)據(jù)庫，存儲的個人信息可能已被泄露。被非法訪問的信息包括733,820名醫(yī)療專業(yè)人員的姓名、性別、出生日期、電子郵件地址、醫(yī)療機構(gòu)名稱和地址等，以及1,390名員工的姓名等信息。事件起因是一名海外外包顧問違反規(guī)定將數(shù)據(jù)庫ID保存在自己的個人電腦上，導致該電腦感染惡意軟件。被非法訪問的個人信息不包括信用卡或銀行賬戶信息，且已確認不存在泄露或未經(jīng)授權(quán)使用等二次損害。

　　外包人員隨意能夠隨意保存數(shù)據(jù)到私人電腦PG電子官網(wǎng)上的行為能夠輕易發(fā)生，意味著該公司對數(shù)據(jù)庫“身份認證與訪問控制環(huán)節(jié)”管理不夠嚴格。而且，數(shù)據(jù)作為公司的核心內(nèi)容，理應采用強加密算法（如AES-256、RSA等），并對敏感數(shù)據(jù)進行加密存儲，顯然該公司并未完全做到，或是加密存在漏洞。最后，該事件發(fā)生過程中未被發(fā)現(xiàn)，則表明該公司安全系統(tǒng)在日志分析和審計環(huán)節(jié)中存在問題，如能提前發(fā)現(xiàn)，也許尚可阻止。

　　賽諾菲作為知名企業(yè)，其選擇的外包顧問對數(shù)據(jù)安全的認識不足、在數(shù)據(jù)安全方面的內(nèi)部監(jiān)管不到位，致使大量醫(yī)療數(shù)據(jù)泄露造成嚴重隱私泄露，還可能給自己帶來信任危機導致影響品牌形象和市場信任度，面臨來自監(jiān)管機構(gòu)的處罰和個體的法律訴訟。

　　2024年10月，據(jù)上海網(wǎng)信辦消息，所屬地某醫(yī)療科技公司（民營）所屬系統(tǒng)存在網(wǎng)絡安全漏洞，致使系統(tǒng)大量個人信息數(shù)據(jù)發(fā)生泄漏被境外IP訪問竊取。該公司主要從事醫(yī)療領域教育培訓的技術(shù)開發(fā)服務，涉事系統(tǒng)為該企業(yè)內(nèi)部生產(chǎn)測試系統(tǒng)，部署于云服務平臺，系統(tǒng)數(shù)據(jù)庫內(nèi)存儲大量個人信息數(shù)據(jù)，包含姓名、單位名稱、所屬省市、所在鄉(xiāng)鎮(zhèn)/街道、手機號（已采取加密措施）等。

　　在該事件中，首先是數(shù)據(jù)存儲安全缺失，所屬系統(tǒng)未采取有效網(wǎng)絡安全防護措施，存在未授權(quán)訪問漏洞，存儲的云環(huán)境一旦被破壞，數(shù)據(jù)將直接暴露給攻擊者；

　　其次是管理問題，網(wǎng)絡和數(shù)據(jù)安全管理制度不完善，網(wǎng)絡日志留存不足6個月，造成數(shù)據(jù)泄漏，違反了《數(shù)據(jù)安全法》第二十七條規(guī)定。

　　對于上述，上海市網(wǎng)信辦依據(jù)《數(shù)據(jù)安全法》第四十五條規(guī)定對該醫(yī)療科技公司給予警告，并處以罰款的行政處罰。

　　醫(yī)療行業(yè)內(nèi)的數(shù)據(jù)安全事件仍然有很多，2023年底“周海媚電子病歷（EMR）泄露事件”在社會上泛起軒然大波，在當事人EMR截圖中其年齡、病狀、病史等個人信息都清晰可見。病例已經(jīng)是患者的敏感信息，一旦泄露將對患者的隱私造成嚴重侵害，電子病歷泄露可能源于內(nèi)部人員的不當操作或外部黑客的攻擊。

　　經(jīng)過深入剖析上兩個經(jīng)典的醫(yī)療數(shù)據(jù)安全事件后，可以發(fā)現(xiàn)目前此類醫(yī)療數(shù)據(jù)安全事故原因通常都來自技術(shù)和管理兩個大的層面。當從數(shù)據(jù)安全和醫(yī)療健康行業(yè)相結(jié)合的視角出發(fā)，歸因大致如下。

　　訪問控制機制出現(xiàn)漏洞：私有云系統(tǒng)中的訪問控制機制如果設計不當或?qū)嵤┎粐栏瘢赡軐е挛唇?jīng)授權(quán)的用戶能夠訪問敏感數(shù)據(jù)。如果權(quán)限分配過于寬松，或者身份認證機制存在缺陷，黑客就可能利用這些漏洞進行攻擊。

　　加密技術(shù)不足：數(shù)據(jù)加密是保護數(shù)據(jù)安全的重要手段，如果采用的加密技術(shù)不夠先進或?qū)嵤┎划敚涂赡軣o法有效防止數(shù)據(jù)泄露。一旦加密算法被破解，或者加密密鑰管理不善，數(shù)據(jù)就容易被篡改、竊取。

　　網(wǎng)絡安全架構(gòu)缺陷：私有云系統(tǒng)的網(wǎng)絡安全架構(gòu)存在缺陷，就可能被黑客利用進行攻擊。防火墻配置不當和存在未打補丁的安全漏洞，也都為黑客提供了可乘之機。

　　技術(shù)更新和維護不足：醫(yī)療健康行業(yè)高度依賴第三方服務和系統(tǒng)，但新的安全威脅和漏洞不斷涌現(xiàn)。醫(yī)院不及時更新私有云系統(tǒng)的技術(shù)和安全措施，可能無法有效應對那些新的威脅。

　　一種是私有云系統(tǒng)中可能存在內(nèi)部人員惡意訪問或篡改數(shù)據(jù)的風險。這些人員可能具有不當?shù)脑L問權(quán)限，并出于某種目的而故意破壞數(shù)據(jù)。

　　另一種是管理不善或疏忽大意，如果醫(yī)院的IT系統(tǒng)存在管理不善或疏忽大意的情況，員工隨意將敏感數(shù)據(jù)存儲在不受保護的設備上，或?qū)⒚艽a泄露給未經(jīng)授權(quán)的人員，都會對數(shù)據(jù)造成威脅。

　　私有云相對于公有云的優(yōu)勢體現(xiàn)在安全性方面，但這反倒可能會引發(fā)更多來自黑客的“挑戰(zhàn)”，對醫(yī)療機構(gòu)服務器進行非法訪問，竊取敏感數(shù)據(jù)。曾經(jīng)某知名醫(yī)科大學附屬醫(yī)院就曾發(fā)現(xiàn)境外某IP地址對醫(yī)院服務器進行了3000余次的非法訪問。

　　他們也可能利用釣魚攻擊、勒索軟件等手段來攻擊醫(yī)院的私有云系統(tǒng)，進而竊取或篡改敏感數(shù)據(jù)。例如，通過發(fā)送偽造的電子郵件或鏈接，誘騙員工點擊并下載惡意軟件，從而侵入私有云系統(tǒng)并竊取數(shù)據(jù)。此外，還有一些外部威脅是來自專門從事數(shù)據(jù)泄露和販賣的黑色產(chǎn)業(yè)鏈。

　　硬件來看，私有云系統(tǒng)通常使用專用硬件并配備專人管理，硬件故障也會導致漏洞，如硬盤損壞、服務器故障等都可能丟失或損壞數(shù)據(jù)。

　　私有云使用的軟件也可能存在漏洞，被黑客利用進行攻擊，不及時更新排查就會面臨更大的數(shù)據(jù)安全風險。

　　數(shù)據(jù)業(yè)務的蓬勃發(fā)展往往與安全風險相伴相生，技術(shù)發(fā)展催生新攻擊手段，同時開源渠道又增加了漏洞暴露風險。因而全鏈條的數(shù)據(jù)安全需要從被動安全保護轉(zhuǎn)向主動風險控制，以確保對數(shù)據(jù)的有效保護和合法利用。

　　國家、機構(gòu)層面的相關(guān)法律法規(guī)和廠商的技術(shù)專攻，成為目前應對醫(yī)療數(shù)據(jù)安全事件的主要操作方式。近幾年的這些法律法規(guī)（如下圖）共同構(gòu)成了醫(yī)療數(shù)據(jù)安全保護的法律框架和制度保障，旨在確保醫(yī)療數(shù)據(jù)的安全性、完整性和可用性，同時促進醫(yī)療數(shù)據(jù)的合法使用和合規(guī)流通。

　　國內(nèi)的很多廠商致力于保障醫(yī)療健康行業(yè)數(shù)據(jù)安全，該行業(yè)務復雜，不同廠商的主攻方向也各有不同。

　　比如在醫(yī)療方面較為出色的東軟集團官網(wǎng)顯示，醫(yī)院現(xiàn)階段面臨的安全需求主要包括安全合規(guī)需求和業(yè)務保障需求，他們的業(yè)務難點和關(guān)鍵在于建立整體的網(wǎng)絡安全防護體系，消除安全孤島，提高醫(yī)院的安全防護水平，同時在關(guān)鍵需求和核心風險上加強防護。東軟將信息等級保護標準作為醫(yī)院網(wǎng)絡安全建設的基礎，深入解讀等級保護體系，編制了《醫(yī)院等級保護合規(guī)性方案》，為醫(yī)院建設基礎的全面的網(wǎng)絡安全防護體系。

　　棧略數(shù)據(jù)則是專攻醫(yī)療保險業(yè)務，開發(fā)的“棧衛(wèi)?醫(yī)保智能風控平臺”軟硬件一體部署，基于棧略風控引擎，為醫(yī)保提供事前、事中和事后醫(yī)保報銷反欺詐和合規(guī)識別服務，利用人工智能多維分析和反欺詐。

　　奇安信數(shù)據(jù)安全事業(yè)部在2023年為國內(nèi)25家重點醫(yī)療行業(yè)衛(wèi)生機構(gòu)進行了數(shù)據(jù)安全風險檢測試點工作，并啟動“百家醫(yī)院數(shù)據(jù)安全免費體檢計劃”，這一計劃將會將持續(xù)進行至2024年底，為全國至少100家大型醫(yī)療機構(gòu)進行為期7天的數(shù)據(jù)接口暴露面檢查、數(shù)據(jù)接口安全風險檢查、敏感數(shù)據(jù)違規(guī)傳輸檢查，為其開展數(shù)據(jù)安全規(guī)劃建設工作提供科學的參考依據(jù)。

　　在奇安信2023年度網(wǎng)絡威脅安全報告中預測了2024年高級持續(xù)性預測，包括全球局勢動蕩催生更加頻繁的APT攻擊活動、移動端將繼續(xù)受到攻擊者關(guān)注、軟件供應鏈仍是常用攻擊途徑、人工智能技術(shù)被攻擊者濫用、網(wǎng)絡威脅呈現(xiàn)更復雜的生態(tài)。面對這些威脅，整體來看，可以從以下幾個方面做出應對：

　　1、在入口端：加強數(shù)據(jù)安全風險評估，加強身份認證與訪問控制。采用多因素認證、生物識別等更安全的身份認證方式，并嚴格限制數(shù)據(jù)庫ID的保管和使用。盡快識別、分析信息系統(tǒng)中的威脅與脆弱性，量化潛在的數(shù)據(jù)泄露風險，為醫(yī)療機構(gòu)提供定制化的防護策略藍圖。

　　2、在存儲端：強化數(shù)據(jù)加密與存儲，如采用數(shù)據(jù)加密、訪問控制等技術(shù)手段，防止數(shù)據(jù)泄露和非法訪問；對敏感數(shù)據(jù)進行加密存儲，并采用強加密算法和密鑰管理策略。

　　4、在終端：健全內(nèi)部管理和外包安全管理制度，醫(yī)療機構(gòu)應建立完善的內(nèi)部管理制度。同時也可以尋求專業(yè)的第三方安全服務機構(gòu)的支持，但仍要加強對外包人員的背景調(diào)查和安全培訓，并適當限制外包人員的權(quán)限和訪問范圍。

　　通過上述分析，可以明顯發(fā)現(xiàn)，只要是有價值的數(shù)據(jù)就可能潛在數(shù)據(jù)安全風險，盡管許多醫(yī)療機構(gòu)為了保障數(shù)據(jù)安全，傾向于選擇私有云服務或混合云模式，但事實卻表明，私有云主推的“安全性”并未能完全筑起數(shù)據(jù)安全的銅墻鐵壁。無法有效保障醫(yī)療數(shù)據(jù)安全既是對醫(yī)療健康行業(yè)利益的侵犯與損傷，也是對被量化的一部分生命的物化。廠商們?nèi)匀豢梢岳^續(xù)選擇模擬具有“高保密性、低可用性”特點的真實應用場景，采用泛化技術(shù)、替代等方式處理、保留數(shù)據(jù)結(jié)構(gòu)的方式來提升醫(yī)療數(shù)據(jù)安全保障系統(tǒng)的嚴密性，將被讓渡的部分隱私權(quán)、管理權(quán)歸至原位，撥開醫(yī)療數(shù)據(jù)安全頻繁被擾的迷霧。