超出想象的医疗数据安全问题

信息技术的发达在某种程度上彻底改变了人们的生活和思想，对网银账号非常不信任、只认存折现金的老人们已经学会了使用社保卡系统，认为“网络购物都是骗人”的如今也已经学会了淘宝和微店。几年前坚持“病历必须手写”的老医生们也随着大流渐渐习惯了电子病历，学会了使用医疗信息系统。医疗信息化的突飞猛进改变着固有的医疗方式，医疗大数据的采集、分析、共享显得愈加重要，与此同时，医疗数据安全的问题也逐渐凸显。

银行以牢固的防火墙系统给予用户安全感，淘宝微店以稳定的支付系统让用户安心地“买买买”，在人的固有思维里，金钱往往比其他信息要重要得多，这导致了医疗信息系统与“金钱系统”比起来，显得十分不牢固，而医疗信息泄露的代价却在其含金量不断的提升中超出了人们的想象。

Part  1

针对医疗数据的犯罪攻击成倍上升

电影《阿甘正传》中有一句名言，“生活就像一盒巧克力，你永远不知道下一块会是什么味道”，用浅显的语言道出了未来的无限可能。而在2015年5月美国独立研究机构波莱蒙研究所（Ponemon Institute）举办的第五届年度医疗数据隐私及安全基准研究会上，给人们带来的惊诧却远远超过了一盒美味的巧克力。研究其中一项重要的发现是，目前针对医疗数据的犯罪攻击已经上升了125%，且已成为医疗数据泄露的主要原因。除此之外，其他的研究结果也同样令人不安。

三大惊诧结果，

医疗数据安全堪忧

惊诧1

65%的医疗机构没有为信息丢失或被盗的患者提供任何保护服务。随着医疗数据网络威胁的愈演愈烈，这种情况无疑是不可取的。讽刺的是，Ponemon研究还发现，同样亦有65%的医疗机构相信，信息丢失或被盗的患者更易受医疗身份被盗之苦。

惊诧2

医疗数据泄露的平均成本在过去五年中一直保持着一致，为210万美元。而与之相对的是，根据Ponemon最近的另一份报告，《2015年数据泄露成本研究：全球分析》显示，数据泄露的平均成本在过去两年中已经上涨了23%，达到379万美元。网络责任保险覆盖通知成本、更好的身份监控手段、更多能提供帮助的隐私律师等等措施，在一段时间后能减少医疗数据泄露的成本。

惊诧3

很多医疗机构采取专门方法来进行事故风险评估。研究中，只有50%的医疗机构依据HIPAA Final Rule的要求，对每个安全事件执行四大因素的风险评估。在另50%中，34%的机构使用专门的风险评估程序，而27%使用的是内部开发的手动程序或工具。

黑客比以往更为青睐

医疗数据

若论近年美国的科技热点事件，无疑是索尼影业被黑一案，并且这一事件也在不断地发酵，波及的范围也越来越广，许多机密邮件、敏感信息都被泄露。这也可能是近年来引起关注最多的黑客事件。那么，黑客的目标是不是已经转向了电影行业呢？答案不太明确，更多的，索尼影业被黑的导火索是在政治上有些敏感的《刺杀金正恩》。

黑客们的行为难以琢磨，谁都不知道下一个遭殃的是谁。不过根据MIT Technology review的消息，在2015年，黑客们的目光将会集中在医疗数据这块领域。这一结论的来源出自多位安全研究人员的调查。

Carl Leonard是Websense的资深安全分析师，Websense是著名的信息和数据安全防护解决方案提供商，他表示，黑客侵入医疗保健机构的计算机网络，窃取有价值个人信息的可能性越来越高。去年八月，Websense 研究人员报告称，之前的十个月里，医院遭受的网络攻击增长了600%，这是一个非常显著的信号，预示着在2015年，医疗保健相关机构的数据信息安全正面临这前所未有的挑战。

这种数据安全受威胁程度的提高的原因是双向的，一方面是黑客的攻击更为频繁，另一方面，世界范围内，医疗机构的病历，数据等等信息在电子化，但是对于一般医疗机构而言，对计算机安全的重视程度还不够。许多人的想法是，更快更容易地访问医疗数据要比繁琐的安全步骤更为重要。

支撑Carl Leonard看法的还有他的同行们，The Ponemon Institute（波耐蒙研究所），一家隐私问题智库，他们的研究发现，2014年里，研究中有 40% 的医疗机构遭受了恶意软件的侵扰，试图盗窃其中的数据。而在2010年，这一比例为 20%。另一个专门追踪计算机安全漏洞的机构The Privacy Rights Clearinghouse发现，今年已经有400万条记录被盗窃，这比往年都要多。

为何黑客们比以往更为青睐医疗数据呢？只是因为集体兴趣改变了吗？

安全公司PhishLabs的威胁情报总监Don Jackson发现，以往黑客们爱好的信用卡信息盗窃正在降温，市场开始饱和，这是因为有些信用卡对不上用户个人信息，没什么价值。

而医疗数据则不一样，我们去医院看医生的时候，往往会透露社保帐号、个人财务信息等等关键信息，黑客们通过这些信息的拼凑，就可以勾画出一幅完整的个人信息图谱来。在黑市中，这些信息如果能够让不法分子侵入到个人银行帐号，那么这些信息卖出个几百美元也很正常。

与此同时，还有一个值得注意的趋势是，手机、平板等等设备在接入互联网的同时，也在配合一些医疗保健设备将医疗数据上传到医疗机构，或者其他机构的云端，这种趋势让医疗数据安全变得更为漏洞百出。

安全专家们的预测和目前大热的“量化自我”等概念也有着不可割裂的关系，很难说我们在互联网上分享的各种自身数据不会被用来构建个人信息图谱。

Part  2

医疗数据泄露造成什么？

今年以来，医疗保健行业发生了多起“毁灭性”的数据泄露事件，比如美国第二大医疗保险服务商Anthem公司信息系统被黑客攻破，超过7800万客户信息泄露，而美国健康保险公司“Premera Blue Cross”的信息系统遭到网络攻击，则造成了1100万客户信息泄露。根据美国卫生部民权办公室的数据，单单在今年第一季度全美就报告发生了87起数据泄露事件，受影响医疗机构达500多家，共计9230万个人信息泄露，同比上升了3709%。无怪乎有专家把今年称为“黑客之年”。

论成本：

会损失多少银子？

根据美国独立研究机构波莱蒙研究所（Ponemon Institute）一份有关数据风险的最新研究报告，医疗保健信息泄露的补救成本最高，而且这一情况逐年加剧。在《2015年数据泄露成本研究》报告中，波莱蒙研究所研究人员下结论说，全世界范围内医疗保健信息泄露的平均成本是每条记录363美元，而在美国这一数字为398美元。波莱蒙研究所开展的该最新研究由IBM公司资助，共涵盖11个国家的350家公司，涉及到16个行业。该研究在2014年从美国、英国、德国、澳大利亚、法国、巴西、日本、意大利、印度、阿联酋和沙特收集到的数据基础上进行的。

形成对比的是，全球范围内各行业数据泄露的平均成本为每条记录154美元，而公共部门每条信息记录泄露的平均成本为68美元，各行业最低。零售行业数据泄露的平均成本居中，达165美元，比前年的105美元骤增57%。所有国家各行业的人均数据泄露成本同期内上升了12%。

《2015年数据泄露成本研究》是波莱蒙研究所推出的第五本数据泄露年度研究报告。该研究所指出，由黑客和作者所称的"内部犯罪者"所导致的数据泄露占到今年报告中数据泄露总起数的47%，而去年报告中这一数字为42%。而和犯罪相关联的数据泄露的修补费用从159美元上升至170美元。根据该最新报告，美国的数据泄露成本最高，各行业数据泄露的平均成本为每条记录217美元，其次是德国，为211美元。

目前，美国对丢失病人个人信息和医疗数据课以重罚，并要求所有医疗健康机构遵守HIPAA的隐私和安全规定，对所有员工进行安全培训以保护患者隐私数据，并向用户及时通报数据泄漏事件。

论个人信息：

会有多大影响？

医疗大数据的建立的确给居民健康和医疗研究带来了极大的便利，但是，同时必须考虑由此带来的一系列隐私保护问题。随着医疗数据采集、加工和应用，数据泄露时有发生，进而带来患者隐私的泄露。数据泄露会危及患者个人隐私，如孕妇个人信息的泄露，可能带来的一系列推销、诈骗等问题。

而在大数据环境下隐私泄露的危险，不仅仅限于泄露本身，还在于在此数据的基础上对于下一步行为的预测与判断。例如，成功入侵意味着犯罪分子可以利用这些数据破坏受害者医疗记录，试想一下：一个不知自己医保ID号被盗的受害者突发疾病，需要紧急切除胆囊，而病人病历上写的却是胆囊已于去年切除掉了。那么问题来了，是医生误诊还是有其他的情况呢？医生会出于安全考虑重新检查，这样就会延误手术时间，对病人生命带来一定的危害。当然，情况还可能会更糟糕——如果攻击者把病人病历上的血型和过敏药物也涂改掉的话，就会造成更为严重的后果，甚至危及生命。

前车之覆，后车之鉴。在多数国人的眼里，安全管理并不能带来直接的利润收入，因此非IT互联网公司中，IT系统和网络部门乃至前后端开发往往被边缘化。但有些地方的成本是容不得压缩的，特别是当公司成长起来以后，对安全的漠视可能致命。可以想象，一旦黑客们开始把目光转向中国医疗市场，现有的多数互联网+医疗系统将毫无招架之力，造成巨大经济损失和社会负面影响，甚至出现毁灭性的信息安全事故。

今年全国两会期间，多位全国人大代表呼吁应加强医疗大数据背景下的隐私保护，正在推进中的分级诊疗、社区医疗，更加凸显患者隐私保护的重要性。医疗行业必须觉醒，同时意识到他们正在面临与金融服务行业相同的威胁，及时发现数据库危机，采取有效的解决机制是十分必要的。

论数据库：会有多恐怖？

案例一：

2014年，泽西城医疗中心的患者非常诧异的收到了一封邮件，告知他们医院丢失了一个载有未加密患者敏感信息的光盘。

邮件中称被发现的丢失信息包括医保患者的社会保险号、支付信息以及入院日期。任何人都有可能获取这些信息。

无独有偶，新泽西的一家媒体对患者信息泄露事件进行了调查，发现即使加密、数据完整性以及安全措施越来越高端，医疗健康行业还是在保护患者敏感信息方面一次又一次遇挫。

美国卫生和公众服务部存档数据显示，从2009年开始，新泽西医疗机构约有一百万患者的数据泄漏。

2013年泄漏信息的患者总数为850000——这是自2009年强制申报以来最多的一次。

从2009年开始，新泽西发生了14起患者敏感信息泄密事件，包括17个不同的机构，影响了将近一百万患者。

新泽西最大的医疗数据泄漏事件于2013年11月发生在Horizon Blue Cross Blue Shield，两台未加密的笔记本电脑从其纽瓦克总部被盗。该医疗健康供应商在2008年经历了一次相似的数据泄密事件。

州际卫生部门也不能幸免。新泽西公众服务部也遭受过一次泄密，第三方供应商的一位雇员丢了个U盘，可能包含超过9000名医疗补助计划患者的姓名和社会保险号。

利文斯顿的巴拿马健康医疗集团儿科分支以及瓦恩兰的印斯皮瑞医疗中心在2013年也出现过泄密时间。巴拿马健康系统的8个机构也有过类似遭遇，而纽瓦克贝斯以色列医疗中心在过去四年经历了三次泄密。

小型医疗机构也容易泄漏数据。11月，韦恩的足病医生Paul G. Klein办公室报告丢失了一台笔记本电脑，其中包含了2500名患者的信息。

12月，当Jor Rodriguez收到Blue Cross Blue Shield的邮件时感到很震惊：他的信息泄漏是由于笔记本电脑被盗造成的。

在新泽西医疗数据泄漏案件统计显示，5年影响百万患者。

案例二：

2014年，医疗部门看到在内部滥用类别中自身第二高的数字：基于内部滥用而发生的医疗安全事件高达15%，这个数字也高于其他13个行业。只有行政、矿业、公共部门、房地产和交通运输行业比例更高一点。

威瑞森风险小组高级分析师Suzanne Widup说，他们目睹了“不少”的内部滥用，尤其是与有组织的犯罪团体相关，比如他们中或者有人被招募为内部人员，或者专门被送到医疗机构工作，最终帮助获得易被货币化的敏感信息，正如社会保险号与患者病历相关一样。

Widup指出，税务欺诈也在这一类，特别是在佛罗里达州。她说：“佛罗里达处于这种攻击的最前沿。”

此外，还有员工窥探问题，Widup表示该问题实际上是被低估了，因为它缺乏像税务欺诈那样的财务支持。

Widup表示，控制这些事情发生最有效的方法是审计你的用户和数据。“你需要知道谁有这些数据，谁能访问这些数据，而且你需要监控它。当你看到某机构实施某种形式的审计计划，突然之间他们就能开始找到很多以前看不到东西。”

医疗行业在混杂错误分类中也很“突出”，该类别在行业安全事件中占到12%。

这种一般在以下情况发生：员工把文件或电子邮件发错了收件人，或发布了他们认为是受到保护的数据，但事实证明，这些数据通过简单的谷歌搜索就能找到。

去年在three-hospital Cottage医疗机构发生了一起典型案例，由于电子安全保护的移除，患者数据在谷歌中被发现，导致近3.3万名患者健康信息被盗用。

最近，田纳西州纳什维尔为基地的Cogent Healthcare也报道了一次类似事件，该医院正在使用的储存的患者数据网站防火墙倒塌，使约3.2万名患者受保护的健康信息被泄露。

Widup强调，通过一个简单的质量抽样过程通常就能避免这种类型事件的发生。在启动整个系统之前先抽查一下。这种类型的质量保险事件对很多行业来说都是最基本的，但他们就不考虑这样的事情。”

Widup指出，销售点入侵是该行业的另一种安全失败，大概会有 9%的发生率。

Widup说：“虽然很多医疗机构高管和医护人员确实意识到保护患者隐私非常重要，但在他们心目中，这还没有达到像保护财务信息那样的重要程度。”其实他们查看每天的收入、甚至在医院食堂买东西的时候就能看到很多电脑设备处于危险状态。Widup表示，通常医疗机构会将销售网点系统外包，而销售商一般都能对此通过互联网访问，而密码方案也是“非常简单”。

【编后】

泽西城的医疗数据泄露事件在整个数据安全中只是冰山一角。此事发生后，甚至有患者表示“你甚至都不会想到这种事会发生在自己身上，但它真的发生了。”整个数据库的泄露和被攻击造成的后果会有多恐怖，大部分信息在库中的患者能直接想象到的最终后果可能仅止于泽西城事件，并不会考虑更深层的内容。

相对于美国来说，我国的医疗数据库在管理上的基本漏洞更大：基层的数据混乱，真假难辨，即使是三甲的数据也有不少错误，健康管理的数据挖掘没有统一标准，各系统互联共享难度大，大量的离散数据无法有效分析和利用，在病人的电子信息库中甚至会有张冠李戴的情况出现。

现有的医疗大数据已不仅仅是数据的采集，还包括数据的分析和共享，在这类分析共享资料中，势必会有很大一部分有关全民的健康信息，甚至是我国疾病的分布、遗传病的特性等，这部分数据若泄露，造成的影响也许远超泽西城事件的百万患者。

再者，当患者的信息大量泄露时，患者对医院系统的信任度会迅速降低，这种不信任感难免会使患者“讳疾忌医”，对医院进行采集数据的行为怀有抵触心态，一旦患者不合作，必将为大数据的采集和分析增加许多不必要的难度。

Part  3

防止医疗健康数据“云”变“霾”

健康管理行业正在向信息化、移动化方向迈进，健康数据云悄然形成，如何有效保护个人隐私、加强信息安全，如何形成统一的信息挖掘标准，保证数据有效、可用，是该行业面临的主要问题。加强信息安全和数据挖掘标准化工作，云平台、大数据等信息技术才能真正有效共享，服务公众健康，数据“云”才不会变成“霾”。

医疗信息安全问题

仍未得到足够重视

医疗信息的安全为什么重要，有两方面原因：第一，只有安全的数据才能提供更好的价值，医院里面有存量的数据、电子病历、健康档案，还有远程医疗过程中的会诊信息。例如，对于制药公司来说，临床研究的数据在存储、使用过程中如果不是安全的，就不能提供更好的价值。第二，有了安全性的保障，数据才能够高效的流通。比如远程医疗中，数据一定有发送方和接收方。如果两者之间没有一个信任的关系，没有一个安全的措施保障，发送方对接收方不了解不信任，这将导致数据不能有效的流通。

医疗信息的安全有三个要素：第一个是实现安全的技术。在实现安全的过程中，这些技术规范就像是战争中的坚固城墙，抵挡黑客的进攻。第二是有关医疗信息安全的法律法规，作为有据可依的根本内容。第三则是实现安全的意识，因为即使有更好的硬件，更好的法律法规，如果使用这些技术和执行这些法规的人员的意识缺失的话，仍然是非常不利于医疗信息安全的保护的。举例来说，如果用以发送重要信息的邮箱密码设的是123456，或者设的是某一个人的生日，这样的安全意识下，技术和法律显然并不能起到多大的作用。

医疗行业在数据安全保护方面非常落后，在很多医疗机构高管和医护人员心目中，保护患者隐私还没有达到像保护财务信息那样的重要程度。

2014年美国排名第一的运营商威瑞森（Verizon）曾发布2014数据泄密报告。这份报告显示，医疗行业在安全方面“落后于形势”。

医疗行业在隐私和安全领域有几件不同的事情要做，其中之一就是必须认真对待医疗隐私安全——这是根据威瑞森2014年度数据泄密报告得出的结论。

2014年新的威瑞森数据泄密调查报告凸显了很多行业在隐私和安全方面的粗心大意，其中尤以医疗行业为甚。

威瑞森风险小组高级分析师Suzanne Widup在接受Healthcare IT News 网站采访时，就报告中提到的问题谈到：“医疗行业在安全意识上似乎有些落后，比如我们目睹的其他行业早已实施有关安全的各种管制，而医疗行业现在才开始着手应用。”

国外的经验

新泽西的应对

在泽西城事件发生后，相关专业人士认为，医院通常是一个巨大的医疗健康网络，其中有无数的科室、员工和销售商每日与成千的患者打交道。这就是为什么有时候系统的缺陷很难抓住。

Carr 说：“为了给你的雇员和医生充电、再充电，你费尽全力，但只消一个雇员做了件蠢事，你就要变熊猫眼了。”

这就是为何很多机构一直致力于帮助医院解决保持安全工具随时升级的问题，以确保数据安全的最佳措施长久有效。他表示，这是个长青话题。

位于莫里斯敦、萨米特和牛顿的大西洋健康系统（Atlantic Health System），2013年再次被医院和网络杂志（Hospitals & Networks magazine）评为“年度最安全健康系统”，这也是该机构连续四年荣膺此项荣誉。该机构拥有几种靠谱的数据安全工具，其中包括患者数据加密术。

使用该系统的医院没有一家遭受过影响超过500人的电子数据泄密事件。而且，该健康系统的首席信息官Linda Reed有一个简单法则：

道高一尺魔高一丈。对Reed来说，仅仅拥有最新的防泄密技术是不够的。培训员工和医生，让其掌握处理患者数据的最佳措施——特别是存在很多泄密事件都是由于设备从员工手上丢失或被盗的情况下，医院就应该更加重视员工与医生的安全培训。最终总结就是医疗设施保证患者隐私足够专业，以及手上的资源足够充分。

HHS的OCR发言人Rachel Seeger 表示：“技术业已成为医疗健康的中坚，医疗设施必须采取有意义的措施来保护其患者信息，他们在确保患者身体安全方面谨慎和勤勉，在保护信息安全上也是如此。”

个人隐私的法律制定

每每谈到医疗信息安全隐私的时候，绕不过的一个话题就是1996年美国的HIPAA（《健康保险可携带性和责任法案》）。健康保险隐私及责任法案分为两个部分，其中第二个部分之中详细描述了医疗保险的提供方、医疗保险的运营方以及雇员在保护个人健康隐私中的一些责任。2009年美国通过的新法案包含了三个方面：向上报告和向下告知的一些义务，还有个人健康信息隐私之间的分享，如哪些场合是能分享，哪些场合是不能分享的界定。美国的HIPAA在实际执行过程中是非常严格的，违反HIPAA的后果非常严重。如果是由于有意且造成严重后果的，对于这个单位的罚款每年可以达到150万美元。如果违法意图是想出卖或者是转售这样一些商业信息的话，个人最高罚款可以达到25万美元，十年监禁。这些细则，都是HIPAA和HITECH的法案中明确规定的内容。

世界上现在大约有80个国家已经有通过法律详细规定了个人信息和个人隐私保护方面的法律。美国、加拿大和一些拉丁美洲国家，所有的欧洲国家以及亚洲也一些国家都有这方面的法律。美国最大的连锁药店去年在印地安纳州被罚140万美元，东得克萨斯州有一个医院因为不当获取了并且透露了医疗信息的隐私，导致可能面临最高十年的刑期，所以违反法律的后果是非常严重的。需要注意的是，即使有非常严格的法律界定，泄漏数据的事件还是非常多。

反观中国还没有专门保护个人信息和个人隐私保护方面的法律，在此方面需要完善的条款仍然非常多。虽然在宪法的第38、39、40条有关于公民的隐私不受侵犯的法律精神;在民法通则140条里面规定公民的隐私权，侵权责任法里面有一些相关规定;但是当涉及到具体的情况并没有足够详尽的法律条款支撑，例如在医疗数据隐私问题中，几乎没有明确的条款可循。

应同时解决技术、法律、

意识三方面的问题

在泽西城事件中，行业内最大的失误是什么？加密、加密、还是加密。但是是否提高加密技术就够了？

参与应对报告的威瑞森研究人员考察了大约6.3万个安全事件，同时还审查了50个数据共享合作伙伴身上超过 1300起泄密事件，最终他们发现46%的数据泄露事件源于物理盗窃或加密设备的丢失。这是该报告19个行业分析中最高的百分比。值得一提的是，不仅各医疗机构未能加密移动设备和笔记本电脑，医疗员工也对如何加强这些设备的安全性显得特别随意，比如让设备毫无安全性的留在个人住宅或私人车辆中。

在很多人还没意识到的时候，物理盗窃和数据丢失竟然已经成为医疗领域最大、最常见的问题。这个事实让研究人员感到了惊诧，因为其他行业对此已经相当熟悉了，而且这件事情做起来非常简单。然而医疗行业却对此相当疏忽。

“虽然联邦政府让各医疗机构强制执行HIPAA（《健康保险可携带性和责任法案》）中有关隐私和安全漏洞的通知要求，但这并不能改变以下现实，即这些机构仍然未能实施基本的加密实践。”

经过多个前车之鉴，医疗数据安全的技术方面已经有了初步的探索和尝试，并且已经取得一定的效果，但是法律意识方面仍然薄弱，法律法规方面还有很多需要完善，同时医疗界对医疗数据安全的保护意识仍然不够强，需要政府和行业的共同重视和协作。

移动医疗的快速普及中，医疗数据逐渐实现了在云端取、在云端读，甚至计算也在云端，在此形势下，更加注重云数据的安全性是移动医疗能够进一步顺利发展的重要内容。“当前信息安全是最敏感的话题，健康信息化涉及面广、信息量大，且信息共享需求高、隐私保护要求高，亟须建立健全的数据采集、使用、管理和保护相关制度，建立信息安全审查机制等。”国家卫生计生委规划信息司副司长张锋指出，政府需要不断完善信息规范标准，加强系统互联共享以及隐私保护等方面的标准制定和修订工作，健全标准测试、安全审查，加强等级保护，优化电子认证服务体系，切实提高信息安全防护能力、隐患发现能力和应急处置能力。

同时，在医疗数据的规范问题上，政府需要不断完善信息规范标准，加强系统互联共享以及隐私保护等方面的标准制定和修订工作，健全标准测试、安全审查，加强等级保护，优化电子认证服务体系，切实提高信息安全防护能力、隐患发现能力和应急处置能力;充分发挥规划职能，制定数据挖掘标准，并做好监管;健康服务机构则应多方协同，遵循市场规律，形成可持续发展的、具有内生动力的协作机制，突破数据挖掘和整合的障碍。

此外，要防止“云”变成“霾”，数据挖掘具体实施中也需要机制创新，如何建立各机构间的授权机制，保证数据共享和交换顺畅;如何做好用户随访管理，保证数据的连续性;如何加强移动终端app采集数据的适配性和粘性等，都是需要思考的问题。

来源：动脉网、健康界、中国数字医疗网、健康报