亚城的你有没有想过,其实医院诊所并不安全,随时可能成为受害者!
今年下旬,美国征信机构Equifax就2017年一起大规模数据泄露事件与美国联邦贸易委员会(FTC)达成和解。在当年的事件中,1.43亿人的社保号码及出生日期等重要信息被泄露。后期事件持续发酵,舆论哗然、公众愤慨……
今天要告诉你的消息,与Equifax事件相比,也许有过之无不及。
曾获普利策奖的调查新闻编辑室ProPublica和德国广播公司Bayerischer Rundfunk近日披露:美国500多万患者以及全球数百万患者的医学图像和健康数据,包括X射线、核磁共振成像和CT扫描,在互联网上不受保护,任何拥有基本计算机专业知识的人都可以使用。其中,确定了美国187台用于存储和检索医疗数据的计算机服务器,没有受到密码或基本安全预防措施的保护。
与最近一些臭名昭着的安全漏洞不同,黑客在这些漏洞中规避了公司的网络防御,这些记录通常存储在缺乏安全预防措施的服务器上。但具有讽刺意味的是,这些安全预防措施很久以前就已成为企业和政府机构的标准。网络安全专家表示,“医疗数据泄露事件甚至都称不上黑客攻击,这就如同你走进一扇敞开的大门一样容易。”
调查发现,数据泄露的程度因健康提供者和他们使用的软件而异。例如:为养老院、康复医院、临终关怀机构和监狱提供成像服务的美国公司MobilexUSA的服务器泄露了超过一百万名患者的姓名,所有这些都是通过输入一个简单的数据查询便可获取的出生日期、医生和手术等数据。
另一个与洛杉矶医生关联的成像系统则是任何人都可以看到患者的超声心动图。对于ProPublica的询问,该系统没有回复。
还算庆幸的是,当一些医疗机构得知自己的数据泄露后已亡羊补牢,提高了系统的安全性。“我们迅速减少了ProPublica发现的潜在漏洞,并立即开始了持续地彻底调查,”MobilexUSA的母公司在一份声明中表示。
总而言之,全球超过1600万次扫描的医疗数据可在线获取,包括姓名、出生日期以及一些人的社会安全号码。值
专家表示,很难确定谁应该为泄露医学影像隐私负责。根据美国法律,医疗服务提供者及其业务伙伴必须确保患者数据不外泄。
也有专家表示,这种患者数据的暴露可能违反了1996年颁布的HIPAA(Health Insurance Portability and Accountability Act/1996,Public Law 104-191),该法案旨在要求医疗保健提供者保护美国人健康数据的机密和安全。
虽然ProPublica没有发现患者数据被复制后挪为他用的证据,但未经授权访问此类信息的后果可能是毁灭性的。数字权利组织电子前沿基金会的安全研究员兼高级技术专家Cooper Quintin说:
“医疗记录是最重要的隐私领域之一,因为它们非常敏感。如果这些数据被用恶意的羞辱、讹诈,后果将不堪设想。 ”
隐私问题可追溯到医学界从模拟技术向数字技术的转变。影视剧中的x光片在荧光灯板上显示的日子早已不复存在。今天,成像研究可以立即上传到服务器,并由办公室的医生通过互联网查看。医院,甚至其他医疗机构和设备的数字化在近些年来已经成为了大趋势,特别AI技术的应用,利用大数据辅助诊断确实可以提升诊疗效率。随着移动医疗、AI医疗影像、电子病历等等数字化程序的普及,医疗数据被泄露似乎变得稀松平常。
ProPublica的最新发现还涉及其他几个主要漏洞。例如:2015年,美国健康保险公司Anthem Inc. 透露,超过7800万的私人数据暴露在缺乏保护的医疗系统中。根据美国卫生和公共服务部的记录分析,在过去两年中,大约超过4000万人的医疗数据曾受到不同程度的泄密。
而最近发生的一起私人信息泄露事件则再次暴露了医疗数据的安全问题。
在一起勒索软件攻击后,阿拉巴马州(Alabama)三家医院被迫停止接受新患者。10月6日的新闻称,DCH Health旗下的Tuscaloosa医疗中心、Northport 医疗中心和 Fayette 医疗中心被黑客限制了使用计算机系统的能力,医务人员开始用笔和来跟踪记录重症的病情。医院方面称尽管已经恢复了一些程序,但在系统恢复期间,医院将继续转移除重症患者以外的所有患者,新患者将被送往相邻几个州的医院。
DCH Health Systems的声明并没有说明三家医院系统如何恢复使用程序。但是媒体表示,医院系统向黑客支付了赎金,并没有透露具体的金额,但发言人Brad Fishe指出,公司有团队一直在努力修复损失,没有病人的信息被泄露。
此前,美国联邦调查局(FBI)警告称,针对企业、州和地方政府的复杂攻击数量正在继续攀升。据报道,此次事件涉及的特定勒索软件变体是“Ryuk”。英国国家网络安全中心在2019年7月警告称,该病毒已成为全球威胁。在过去几年里,针对要求巨额赎金的企业有针对性的勒索软件攻击,已经成为美国最让人担忧的网络安全问题之一。
网络安全公司Emsisoft曾发布了一份报告指出,在2019年的前9个月,至少有621个“政府实体、医疗服务提供商、学区和大学”遭受了勒索软件攻击,491起攻击针对的是医疗服务提供商。
Emsisoft写道,由于缺乏公开数据,这些攻击造成的损失“无法估计”,也许是数千万美元或数亿美元。
如何知道我的医学成像数据是否安全?
如果是患者:
如果进行了医学成像扫描(例如:X-ray、CT扫描、MRI、超声等),请询问进行扫描的机构或医生。访问资料是否需要登录名和密码。同时,提醒医生,设备和医院是否按照HIPAA的要求进行定期安全评估。
值得一提的是,据小娅了解在诊所填表时,即使表格里有社会安全号码这个空项,这并不代表你必须填写你的社会安全号码。建议大家尽可能少的将自己的社会安全号码写在任何表格上,除非是政府部门强迫你,需要检查你的信用之类的时候。例外:租房时,房东需要你提供社会安全号码以便查你的信用分,这个时候可以提供一下。
关于享受医疗数字化的安全性,亲爱的读者有哪些更好的经验,不妨留言给我们。