亞城的你有沒有想過,其實醫院診所並不安全,隨時可能成為受害者!
今年下旬,美國徵信機構Equifax就2017年一起大規模數據泄露事件與美國聯邦貿易委員會(FTC)達成和解。在當年的事件中,1.43億人的社保號碼及出生日期等重要信息被泄露。後期事件持續發酵,輿論嘩然、公眾憤慨……
今天要告訴你的消息,與Equifax事件相比,也許有過之無不及。
曾獲普利策獎的調查新聞編輯室ProPublica和德國廣播公司Bayerischer Rundfunk近日披露:美國500多萬患者以及全球數百萬患者的醫學圖像和健康數據,包括X射線、核磁共振成像和CT掃描,在互聯網上不受保護,任何擁有基本計算機專業知識的人都可以使用。其中,確定了美國187台用於存儲和檢索醫療數據的計算機伺服器,沒有受到密碼或基本安全預防措施的保護。
與最近一些臭名昭著的安全漏洞不同,黑客在這些漏洞中規避了公司的網路防禦,這些記錄通常存儲在缺乏安全預防措施的伺服器上。但具有諷刺意味的是,這些安全預防措施很久以前就已成為企業和政府機構的標準。網路安全專家表示,「醫療數據泄露事件甚至都稱不上黑客攻擊,這就如同你走進一扇敞開的大門一樣容易。」
調查發現,數據泄露的程度因健康提供者和他們使用的軟體而異。例如:為養老院、康復醫院、臨終關懷機構和監獄提供成像服務的美國公司MobilexUSA的伺服器泄露了超過一百萬名患者的姓名,所有這些都是通過輸入一個簡單的數據查詢便可獲取的出生日期、醫生和手術等數據。
另一個與洛杉磯醫生關聯的成像系統則是任何人都可以看到患者的超聲心動圖。對於ProPublica的詢問,該系統沒有回復。
還算慶幸的是,當一些醫療機構得知自己的數據泄露後已亡羊補牢,提高了系統的安全性。「我們迅速減少了ProPublica發現的潛在漏洞,並立即開始了持續地徹底調查,」MobilexUSA的母公司在一份聲明中表示。
總而言之,全球超過1600萬次掃描的醫療數據可在線獲取,包括姓名、出生日期以及一些人的社會安全號碼。值
專家表示,很難確定誰應該為泄露醫學影像隱私負責。根據美國法律,醫療服務提供者及其業務夥伴必須確保患者數據不外泄。
也有專家表示,這種患者數據的暴露可能違反了1996年頒布的HIPAA(Health Insurance Portability and Accountability Act/1996,Public Law 104-191),該法案旨在要求醫療保健提供者保護美國人健康數據的機密和安全。
雖然ProPublica沒有發現患者數據被複制後挪為他用的證據,但未經授權訪問此類信息的後果可能是毀滅性的。數字權利組織電子前沿基金會的安全研究員兼高級技術專家Cooper Quintin說:
「醫療記錄是最重要的隱私領域之一,因為它們非常敏感。如果這些數據被用惡意的羞辱、訛詐,後果將不堪設想。 」
隱私問題可追溯到醫學界從模擬技術向數字技術的轉變。影視劇中的x光片在熒光燈板上顯示的日子早已不復存在。今天,成像研究可以立即上傳到伺服器,並由辦公室的醫生通過互聯網查看。醫院,甚至其他醫療機構和設備的數字化在近些年來已經成為了大趨勢,特別AI技術的應用,利用大數據輔助診斷確實可以提升診療效率。隨著移動醫療、AI醫療影像、電子病歷等等數字化程序的普及,醫療數據被泄露似乎變得稀鬆平常。
ProPublica的最新發現還涉及其他幾個主要漏洞。例如:2015年,美國健康保險公司Anthem Inc. 透露,超過7800萬的私人數據暴露在缺乏保護的醫療系統中。根據美國衛生和公共服務部的記錄分析,在過去兩年中,大約超過4000萬人的醫療數據曾受到不同程度的泄密。
而最近發生的一起私人信息泄露事件則再次暴露了醫療數據的安全問題。
在一起勒索軟體攻擊後,阿拉巴馬州(Alabama)三家醫院被迫停止接受新患者。10月6日的新聞稱,DCH Health旗下的Tuscaloosa醫療中心、Northport 醫療中心和 Fayette 醫療中心被黑客限制了使用計算機系統的能力,醫務人員開始用筆和來跟蹤記錄重症的病情。醫院方面稱儘管已經恢復了一些程序,但在系統恢復期間,醫院將繼續轉移除重症患者以外的所有患者,新患者將被送往相鄰幾個州的醫院。
DCH Health Systems的聲明並沒有說明三家醫院系統如何恢復使用程序。但是媒體表示,醫院系統向黑客支付了贖金,並沒有透露具體的金額,但發言人Brad Fishe指出,公司有團隊一直在努力修復損失,沒有病人的信息被泄露。
此前,美國聯邦調查局(FBI)警告稱,針對企業、州和地方政府的複雜攻擊數量正在繼續攀升。據報道,此次事件涉及的特定勒索軟體變體是「Ryuk」。英國國家網路安全中心在2019年7月警告稱,該病毒已成為全球威脅。在過去幾年裡,針對要求巨額贖金的企業有針對性的勒索軟體攻擊,已經成為美國最讓人擔憂的網路安全問題之一。
網路安全公司Emsisoft曾發布了一份報告指出,在2019年的前9個月,至少有621個「政府實體、醫療服務提供商、學區和大學」遭受了勒索軟體攻擊,491起攻擊針對的是醫療服務提供商。
Emsisoft寫道,由於缺乏公開數據,這些攻擊造成的損失「無法估計」,也許是數千萬美元或數億美元。
如何知道我的醫學成像數據是否安全?
如果是患者:
如果進行了醫學成像掃描(例如:X-ray、CT掃描、MRI、超聲等),請詢問進行掃描的機構或醫生。訪問資料是否需要登錄名和密碼。同時,提醒醫生,設備和醫院是否按照HIPAA的要求進行定期安全評估。
值得一提的是,據小婭了解在診所填表時,即使表格里有社會安全號碼這個空項,這並不代表你必須填寫你的社會安全號碼。建議大家儘可能少的將自己的社會安全號碼寫在任何錶格上,除非是政府部門強迫你,需要檢查你的信用之類的時候。例外:租房時,房東需要你提供社會安全號碼以便查你的信用分,這個時候可以提供一下。
關於享受醫療數字化的安全性,親愛的讀者有哪些更好的經驗,不妨留言給我們。
