从美国医疗数据泄露案谈信息安全的保护

李明鲁

据美国个人信息失窃资源中心（Identity Theft Resource Center）发布的调查研究显示，2015年美国医保公司数据泄露占美国所有行业的35.5%，仅次于商业部门。[1]医疗行业的信息系统与政府部门和金融行业相比，安全防护能力较弱，容易成为黑客攻击的目标。黑客往往利用信息系统存在的漏洞，窃取患者的医疗信息，还会对与互联网连接的医疗设备进行破坏性攻击。一旦医疗信息被非法获取，不法分子很可能利用这些信息进行违法犯罪活动，例如假冒患者身份领取管制药物、通过信用卡信息进行金融诈骗等。

一、大数据背景下公民信息的安全风险

人们每天用微信记录心情，用微博分享视频，用高德地图定位地点坐标……我们的日常生活已经与数据密不可分，数据无处不在。大数据时代已悄然来临，大数据之“大”体现在数据的数量大、种类多以及蕴含的价值大。大数据是一块宝藏，蕴含着丰富的潜能正等待人们去挖掘与开发，在社会的进步和发展中起到的作用是不言而喻的。数据可以被用来预测和侦查犯罪，例如美国洛杉矶警察局对已发生的犯罪案件进行数据分析，推测出犯罪的高发地区，从而加大对该地区的巡逻密度，以减少犯罪的发生。但是社会行业的信息化发展在为公民、企业和政府部门带来便利的同时，也伴随产生了一系列数据信息的安全隐患。金融、教育、医疗等组织机构为了向公众提供更优质的服务，同时也是加强自身管理的需要，会向用户收集涉及个人隐私的数据信息。数据被收集后形成数据库，在接下来的数据存储、处理和使用过程中，数据存在被非法访问或窃取的风险，个人隐私泄露的事件频繁发生。

事实上，在大数据时代，我们的个人信息几乎全部都被存储和收录在网络中，利用这些数据信息，商家可以实施精准营销，通过消费者的消费足迹判断其消费需求，从而有针对性地推送一些商品。在大數据起步的初期，各行各业只看到了数据带来的机遇和便利，而对数据信息带来的隐私风险却缺乏足够的关注。公民个人信息安全面临的最为严峻的挑战便是数据泄露。在美国医疗数据泄露案中，黑客发现了医疗信息系统的安全漏洞，入侵网络服务器，窃取了上千万份电子医疗记录和用户的基本信息资料。公民隐私信息的泄露将造成无法预计的损失，不仅个人的生活受到影响，严重者还会危及生命健康，而且还会进一步影响社会治安。数据泄露往往会引发电信诈骗等违法犯罪案件。2016年8月的山东省学生徐玉玉电信诈骗案，就是由于考生的信息被泄露，骗子才能取得被害人的信任，骗得钱款，最后酿成被害人因被骗而猝死的悲剧。

大数据中蕴含着巨大价值，在利益的驱动下，数据很容易成为不法之徒的攻击目标，数据安全面临着前所未有的危机。美国的“棱镜门”事件令世界一片哗然，斯诺登披露了美国国家安全局对客户通信和文件资料进行秘密监听的阴谋，并且美国政府通过电信公司掌握了数百万用户的私密电话记录。在美国政府的监视计划下，公民个人的数据信息一览无余，我们在网络上进行的一切搜索和所有网络社交资料都会成为被监视的对象。美国大规模监控计划的丑闻曝光之后，越来越多的网民开始重视自己的隐私是否被泄露，政府和相关行业也在重新审视数据的安全问题。

二、美国安瑟姆公司医疗数据泄露案[2]

美国前总统奥巴马在任职期间大力推行医疗改革，让没有医疗保险的美国公民都能获得医疗保障。美国政府划拨了数百亿的预算用于扶植医疗保障行业，推行电子医疗记录以便所有医疗机构的信息共享。但在医疗行业信息化的快速发展过程中，医疗信息安全的建设没有跟上，相应的风险管理和安全保障措施还相对落后。正是因为医疗信息安全没有受到政府应有的重视，并且在维护医疗信息安全方面的预算也不足，美国医疗数据泄露事件才频频发生。

安瑟姆（Anthem）公司是美国第二大医疗保险公司，约九分之一的美国人都是该医保公司的用户。安瑟姆公司此次数据泄露事件是美国近年来发生的最严重的医疗数据泄露事件之一。2015年2月，美国安瑟姆医疗保险公司的信息系统遭遇黑客攻击，共7880万条医疗数据遭泄露，受害者包括现在和之前的保险公司员工和用户，数据内容包括用户姓名、出生日期、家庭住址、电子邮箱、工作单位以及收入情况等。安瑟姆公司发现系统被黑客攻破之后快速封锁了安全漏洞，并将数据泄露情况通知了美国联邦调查局，另外协同曼迪特（Mandiant）和克劳德（CrowdStrike）两家公司进行紧急调查。安瑟姆公司首席执行官发表声明，指出这次数据泄露是受到了外部的网络攻击，目的是窃取医疗数据。黑客在2015年1月30日实施了恶意网络攻击活动，通过一封钓鱼邮件入侵并控制了安瑟姆公司一个具有管理者权限的账户的电脑系统。黑客通过远程控制等技术操作，进一步渗透进安瑟姆公司的网络平台，控制和利用至少50名安瑟姆公司的员工账户和90台电脑系统，最终入侵并掌握了安瑟姆公司存储的用户个人信息的数据库。

黑客之所以能侵入医疗信息系统，经调查是因为安瑟姆公司没有设置严密的访问控制，这是历史上最严重的安全失误。如果该公司一开始对其数据库设置了访问限制，那么黑客根本不可能仅凭一个登录口令就能获得管理员的身份权限，进而访问整个数据库。另外一个安全失误是没有采取数据加密。在缺少访问控制的情况下，如果对数据库进行了数据加密，那么黑客即便取得了管理者权限，也无法识别和利用数据信息。所以数据加密和访问控制这两大安全技术措施的欠缺是安瑟姆公司被黑客窃取数据的主要原因。

事件发生后，安瑟姆公司通过邮件、媒体和网站告知受影响的个人用户和公众，向每位信息遭泄露的用户发送泄露情况的通知，承诺免费提供身份保护和信用监控服务，并且积极与受影响的个人签订了为期两年的信用保护协议。但是包括康涅狄格州在内的美国9个州都对该公司的通知延迟表示不满。康涅狄格州总检察长向安瑟姆公司致信，表明由于向用户发送的数据泄露通知太晚，这种不合理的做法对已经受害的用户造成了又一次困扰。

事实上，安瑟姆公司并不是第一次遭遇黑客攻击。早在2010年，该公司就曾因61.2万人的数据被盗被处以170万美元的罚款。据加利福尼亚州保险部对外发布的调查声明显示，安瑟姆公司为此次数据泄露事件已经付出了沉重的代价，其中包括1亿1500万美元改进安全设备的费用、3100万美元向受影响机构和个人通知的费用、250万美元聘请专家顾问的费用，以及为受影响用户提供的1亿1200万美元信用保护的费用。为了防范数据泄露，加强对患者的隐私保护，安瑟姆公司目前在所有远程访问系统中都实施了双要素认证措施，采取了特权账户管理和行为审计方案，还对所有特权账户密码进行了重置，暂停和关闭了所有未采取双要素认证的远程访问行为和账号，并且创建了新的网络管理员。在未来，安瑟姆公司宣称还将构建关键数据库的安全监控和审计技术。

三、安瑟姆案的启示：公民信息安全的保护机制

任何情况下“预防”都比“治疗”更有效也更重要，对数据安全的保护工作也是一样，重视数据安全的预防，防患于未然，公民的个人信息安全才能得到切实保障。在大数据时代背景下，信息化发展已呈不可逆转之势，为了让大数据更好地服务于大众，服务于社会，应当从技术层面和制度层面进行综合完善。数据安全在技术层面应该从以下三个方面进行改进，包括数据安全评估、数据脱敏以及数据加密和访问控制措施；在制度层面应对数据分级保护、加强及时告知制度。

第一，数据安全评估。美国医疗数据大规模泄露，黑客能够侵入医疗信息系统，其主要原因是医疗数据库存在安全漏洞。据统计，美国医疗机构普遍不重视对数据安全的定期检查与评估，87%的医疗机构基本上一年或者两年才对其医疗信息系统检查一次。医疗设施一旦被攻击和控制，后果不堪设想。著名黑客巴纳比·杰克就发现了麦德尼克（Medtronic）公司生产的胰岛素注射机存在的安全漏洞，而通过远程控制这台机器便可以操纵和改变胰岛素的注射剂量。网络数据安全的威胁正与日俱增，方式也在推陈出新，但企业的安全防护水平却没有相应提高，落后的防护措施已经不足以和复杂高端的安全风险相抗衡。定期对医疗信息系统的基础设施进行安全评估和漏洞检查，可以事先预测在现有环境下数据库所存在的安全风险，不给黑客以可乘之机。

第二，数据脱敏。大数据时代的特点之一在于信息共享，但在对用户数据的使用和共享过程中，可能会发生数据的无意泄露，隐私信息的保护问题也随之产生。比如医疗机构为了评估诊断结果向调查员分享病人的数据，企业允许系统管理员拷贝生产数据用来进行系统的测试与开发。但这些数据一经流入非生产环境，则很容易成为被窃取或泄露的目标。一方面要实现数据共享的高效运转，同时要确保敏感数据信息不被泄露，有必要对数据进行脱敏处理。对于个人或企业的敏感数据，如身份证号码、手机号码、银行卡卡号等信息，采取匿名化处理、数据扰动、差分隐私等技术方法进行数据变形，在尽可能保留数据分析价值的前提下，同时实现对用户敏感数据的最大化保护，从而控制数据信息泄露的风险。如果在数据传输之前进行数据脱敏处理，那么即便攻击者非法获取了数据资料，也难以推测出敏感信息的具体内容。

第三，数据加密和访问控制。数据加密技术是专门对抗数据泄露、防止攻击者窃取、篡改数据信息，用来保护敏感数据的一种可靠方法。数据经过密码技术进行加密，会以密文的形式存在，这样数据即使流入外部也无法进行识别和使用，以此达到信息隐蔽的效果。但是数据加密仅能对抗外部人员的入侵，对企业内部人员的泄密却无能为力。为了防范“内鬼”将数据流入外界，通过访问控制技术对内部人员分别设置不同的访问权限，并将访问记录纳入安全审计范围，根据审计日志可以快速精准地找到泄露人员。如果把数据比作宝藏，那么数据加密技术就好比把宝藏锁进保险箱里，而访问控制就像给堆放保险箱的仓库安装了一扇防盗门。访问控制技术作为非法侵入数据库系统的第一道防线，能够识别并拦截批量下载用户数据信息等相关窃取数据的行为。美国安瑟姆公司没有做好访问控制这一防护措施，让黑客入侵了医疗信息系统，用户的医疗数据流入外部，同时第二道防线数据加密也不牢固，才最终导致用户的敏感信息被不法之徒轻易地获取和利用。

第四，数据分级保护制度。大数据时代下的数据浩繁庞杂，如果不对其划分安全保护等级，对所有需要和不需要高标准保护的数据均采用相同的保护力度，在资源有限的前提下不利于对重要数据进行充分保护。事实上，价值越高的数据面临的被窃取或泄露的风险也就越高，因此需要依靠更高级别的防护措施来确保数据安全。为了提高数据管理的效率，加强对关键领域和重点行业数据的安全保障，有必要根据机关层级、所属类别、对数据信息权利人可能产生的影响等多种因素对数据信息进行安全保护等级分类。数据从宏观角度可以分为政府开放共享的数据、商业数据和个人数据，再进一步细分，商业数据又可以分为商业秘密和普通商业数据信息，而个人数据则分为个人隐私信息和公开信息两类。其中对商业秘密和个人隐私信息，企业在进行数据收集、存储、处理和使用的过程中，必须提供严格的安全保障。数据的保护和数据的利用本身是一对矛盾体，强调保护数据信息权利人的权利则意味着数据的利用和共享会受到限制，数据分类保护运用科学合理的分析，让信息安全得到应有的保障，同时数据也能得到最大程度的利用，缓和这两者之间的冲突。

第五，及时告知制度。在发生数据泄露事件后，出于对用户知情权的保护，为了让用户对个人信息提高安全警惕，防止数据泄露的危害进一步扩大，被泄露的企业和单位应当及时告知用户其信息泄露的相关情况，具体包括所泄露的数据种类、泄露的可能原因以及下一步计划采取的措施。如果企业向用户隐瞒了信息被泄露的事实，已经窃取或者以其他非法手段获取了用户个人信息的行为人将肆无忌惮地实施接下来的诈骗等一系列违法犯罪行为，而不知自己的信息被泄露的受害人极易受骗上当，以致财产或者人身遭到损害。如果企业及时通知了用户其数据被泄露的消息，用户可以通过修改账户密码等补救措施将危害降到最低，而且对于陌生电话的骗术也会更加谨慎。但是许多企业在数据泄露事件中选择了封锁消息，不及时告知甚至隐瞒真相，包括美国安瑟姆公司也因没有将医疗数据泄露的消息及时告知用户而受到9个州的指责。因为以电子邮件或电话逐个告知受影响的用户会产生巨大的成本费用，而且一旦将数据泄露的问题公之于众，势必会对企业的声誉造成不利的影响。基于商业性企业趋利避害的本性，数据信息权利人的权益将被置于险境，所以及时通知制度既是为了在发生数据泄露事件后对数据安全的补救，也能够迫使企业提高自身的信息保护能力，预防用户个人信息泄露的发生。

四、小结

大数据的潜在价值不可估量，搜索引擎可以通过搜索记录挖掘数据的二次利用价值，网上交易平台可以根据消费者的浏览历史和购买记录有针对性地推荐商品。大数据是一种产业，同时也是人们生活中不可缺失的一部分。人们的衣食住行和社交活动都与数据緊密相连。大数据在方便人们的生产和生活的同时，也带来了许多信息安全方面的困扰。几乎人人都收到过诈骗电话和保险推销短信，人们的电话号码、姓名和家庭住址等个人信息被泄露，甚至成为交易的对象。在大数据时代，个人的信息以电子数据的形式存储在云端，云端存储可以使数据的访问不受地理位置的约束，也减轻了本地服务器存储的硬盘负担，但是云端存储的数据可控性很弱，数据泄露也是最大的安全隐患。

数据的利用与保护如同硬币的正反两面，利用数据意味着数据的安全将受到威胁，而对数据安全的保护又会限制数据的充分利用。在保障数据安全的前提下使用和发展数据，才是保证数据产业可持续发展的方法。数据安全的保护工作应该与数据的开发利用同步进行，所以在软件设计和开发之初就应该把数据安全的保护理念嵌入其中，使数据安全从被动的补救转变为主动的维护。强调数据安全的预防，在技术方面可以采取数据安全评估、数据脱敏以及数据加密和访问控制等措施，注重个人隐私保护技术的研发。另外，数据泄露事件一旦发生后，及时告知制度可以尽可能地保障受影响用户的权益，将损害降到最低。数据安全是网络安全的核心，而数据资产是企业资产的核心，在大数据时代，对数据的管理成为企业的核心竞争力。数据分类保护制度可以提高数据管理的效率，更有效地应对大数据带来的挑战。

整体而言，我国的数据安全保护依然较为薄弱，相关的保护工作尚处在起步和探索阶段，保护水平尚未跟上数据产业发展的速度。个人信息在“互联网+”的背景下会遭遇各种不可控的风险，但是为了个人隐私的绝对安全而全面否定大数据的价值，同样不可取。笔者认为信息安全不是仅凭一家之力就能实现的，由于技术门槛高、投入成本大，需要组织相关部门共同努力，形成全面完善的数据安全解决方案，构筑牢固的数据安全防火墙。

注释：

[1]参见美国个人信息失窃资源中心报告，网址：http：//www.idtheftcenter.org/Data-Breaches/2015databreaches.html，访问日期：2017年2月18日。

[2]参见物联网安全《美国保监部门重启调查：确定Anthem网络攻击是国家支持黑客所为》，网址：http：//www.wulianaq.com/articles/804，访问日期：2017年2月18日。