五大维度透视医疗数据安全杭州美创科技有限公司总经理柳遵梁在当今日益开放的网络环境下，医疗行业的数据安全问题日益凸显。

本文将从数据价值、网络环境、人的安全、数据流动和云驱动等五个方面进行深入分析。

一、医疗数据的特殊价值1.高度敏感的数据泄露带来巨大的个人、家庭和社会影响健康信息的全方位渗透决定了健康数据的利用范畴非常广泛，使用不当会严重影响人们的生活、工作、家庭甚至社会和政治。

其广泛的社会影响性使得个人健康信息（PHI）成为人们最为核心的隐私内容。

PHI泄露具有两大典型特征：单体病案对于个人及家庭的巨大影响和海量信息的巨大社会影响，而且极易转变为巨大的财富。

那么，有哪些高度敏感的数据泄露场景呢？（1）恶性肿瘤、尿毒症、糖尿病等慢性病这类患者在未来的支付能力往往很可能会急剧恶化，信用水平会快速降低。

因此，保险、银行及所有金融机构都为了提高风控水平而对这类信息趋之若鹜。

而且，由于相关疾病的震慑作用会给相应的保险销售带来很大的说服力及便利性。

部分医院、药店、药厂、保健机构不断瞄准这些患者以获得最大收益，仿佛是“移动的印钞机”。

同时，这类病人也是各种诈骗机构的主要目标，假药、假保健品不断地输送给这类患者。

处于绝望中的恶行肿瘤患者，只要前方给予了一丝希望就会毫不犹豫地抓住，结果是赔钱又赔人。

即使不需要金融服务，也没有被诈骗，也会给生活和工作带来极大不便，社会交往受阻。

（2）ED、性冷淡、大小便失禁、吸毒等涉及个人尊严的疾病此类疾病让人丧失了一些基本能力，无疑让人自卑。

这些隐私信息的泄露会极大地影响个人工作和生活。

所以，出于身心的打击，使得这类人群特别容易受到各路骗子的诱惑。

（3）性病、艾滋病等传染病此类疾病属于绝对隐私。

除了病急乱投医造成的巨大财产损失和身体损失之外，家庭和社交关系被破坏等几乎无一幸免。

另外由于这种疾病的绝对隐私性，导致患者极易被勒索。

（4）传染病、中毒、血铅等社会性疾病此类区域性疾病或者突发性卫生事件，配合社会谣言很容易引起社会混乱。

特别是处于保密期的重大卫生事件的一旦泄露，会让有关政府机构极为被动。

（5）老人、孕产妇、婴幼儿、儿童等弱势群体此类群体由于相对脆弱的心理和防范，非常容易受到诱惑。

保险及各种金融机构，以及各种保健机构和诈骗机构也会不断地诱惑和欺骗他们，并给造成极大伤害。

（6）社会重要人士和公众人物的病案比如，“希拉里事件”精确地演示了患者疾病如何影响政治生态。

国家主要领导的病案属于国家安全范畴，一旦泄露显然会影响政治生态，甚至直接终结政治生涯。

公众人物在某种程度也类似，不当的健康隐私泄露可能会直接终止公众人物的职业生涯。

（7）有待推敲的治疗方案和居高不下的误诊率医学诊断本质上属于经验科学，缺乏精确性，存在大量的谬误。

无论是美国还是中国，误诊率始终居高不下。

甚至很少有治疗方案可以经受得起严密的推敲，治疗方案只有合理性说法而没有正确性说法。

倘若治疗方案泄露且被别有用心的人利用，势必会造成大量的医患纠纷，最终导致医院遭受巨大损失。

（8）具有很高精确度的个人信息医疗机构个人信息拥有极高的精确度和社交关系属性。

例如：姓名、身份证、社保卡、电话号码、住址、职业以及亲属关系等。

出于患者对于医疗机构的期待，个人信息往往比任何其他机构具有更高的精确性。

医疗个人信息即使是普通信息在黑市的价格也居高不下，是普通信用卡信息价格的10倍以上。

更不用说精确的职业信息了，它可以使个人信息的价值成倍上升。

（9）医嘱、处方和检查结果的巨大价值医院持续运营的核心成果除了医生水平的不断成长之外，就是医嘱和处方等病例信息的不断积累。

一家大型医院多年积累的主要病种的病案医嘱和处方内容的价值往往以百万价值计算。

除了巨大的学习和成长价值之外，药品供应商对这些数据更是趋之若鹜，完成真实案例之上的临床试验。

（10）处方药和受管制的药品处方药，特别是受到管制的药品，比如麻醉药，市民必须持有处方才可进行购买。

任何具有许可的物品和服务都会在市场上具有很大的价值，而入侵者通过盗取这些处方，从市场上“合法”地购买处方药品，然后出售以获利，扰乱了药品管控市场。

（11）数据统方数据统方是医疗回扣腐败案件的核心环节之一，是实现医疗回扣的关键媒介和凭证。

医疗腐败关系到每一位百姓生活，具有广泛的社会影响力。

2.高度精确性要求已上升到生命安全的级别医院的医嘱、处方、医疗器械都把人作为处理对象。

医疗数据的不当更新可能会危害患者的生命安全，而生命安全则是生活中的最高安全级别。

（1）医嘱和处方数据的变更医嘱和处方是医生按照积累的知识和经验作出的最佳判断，总是在疗效和危害之间进行平衡。

由于绝大部分药品的副作用以及部分药品的禁忌性，医嘱和处方便成为某些别有用心的人“借刀杀人”的最佳利器。

电影作品乃至现实生活中都存在众多案例提示我们这种危险的存在。

而不断演示的黑客远程操控医疗器械则更加活生生地提示着生命安全的脆弱性。

无论是何种伤害，本质上只需要修改数据而已，在程序上与交通违章消分没有任何区别。

（2）归档病案的变更当一桩医疗纠纷案如果出现了归档病案的变更，则意味着医院无法自证清白，在医疗纠纷中会先天处于不利位置。

（3）管制药品的购买麻醉品、鸦片、大麻等各种具有高度危险性的药品只有在医院可以合法购买，以至于在市场上自由流通具有很高的价值。

当然也会对社会造成巨大影响，入侵者可以通过处方修改来获得其合法购买管制药品的权利。

（4）出生医学证明出生医学证明是黑户洗白的关键凭证。

内外勾结或者盗取出生凭证是出生医学证明地下黑产链的关键环节。

（5）勒索威胁勒索病毒是医疗行业最为严重的外部威胁之一，在已知的外部威胁中高达85%是由勒索病毒引起的。

开放的网络环境和相对脆弱的安全措施是勒索病毒持续发作的温床。

二、不够安全的网络环境1.开放或半开放的网络环境开放或半开放的网络环境是医疗行业的典型特征，很少有行业像医疗行业一样是一个非安全的开放环境。

开放的网络环境使入侵者可以轻易地进入医院网络，轻易地进行物理攻击。

（1）开放的医生工作环境无论是门诊医生还是住院医生的工作电脑，几乎都处于人人可以接触的开放环境。

入侵者较易合法地进入医生的工作场所、亲切地和医生进行沟通、接近医生和医生工作终端，甚至可以很容易假冒医院IT工作者对医院电脑进行全权操作。

（2）大量不安全的自助服务设备自助服务设备是医院服务患者的主要工具之一。

大量的自助设备在给患者带来便利性的同时，也给入侵者有机可乘。

他们可以很容易接触医院网络，也可以假借维修名义对自助服务终端进行任何操作。

（3）广泛使用的无线网络移动终端的广泛使用是医院信息化发展的主要方向。

当无线网络缺乏严格的安全管控时，意味着入侵者随时可以进入医院网络。

2.相对混乱的互联网接入服务除了自助服务终端之外，互联网接入是当前医院的主要努力方向。

为了赶上互联网医疗的快车，只有极少部分医院独立建设互联网医院，更多医院采用外部服务接入的方式来连接互联网。

事实上，在接入互联网服务时，大部分医院就已经把主动权交付至互联网服务提供商，缺乏统一的业务和安全规划。

（1）互联网服务授权过大大部分医院在互联网服务建设过程中，由互联网服务提供商来整理医疗数据，自主获取服务需要的数据。

医院缺乏统一的互联网服务网关，让医疗数据处于极度危险的境地。

（2）数据安全考虑相对缺乏互联网服务的焦点目标是提供相应的服务，并不会过多考虑数据安全性。

由于缺乏有效的验证和隔离措施，入侵者很容易通过互联网服务网络进入医疗网络。

三、人的安全无处不在由于医院患者单体数据的巨大价值，使人的安全成为医院安全的最大问题所在。

Verizon报告揭示医疗行业是唯一一个内部威胁远大于外部威胁的行业，内部威胁高达60%，外部威胁只有40%。

1、单体数据的巨大价值使医生和护士每天都受到诱惑除了情报之外，很少有数据会像医院一样，单体数据具有巨大的价值，形成了医疗数据的黑市，明码标标价。

这使医务人员并不需要太高深的技术就可获得巨大的收益机会，必然会受到诱惑。

2、好奇、虚荣心和可以任意查询的医疗数据由于好奇产生的越权操作问题在医院是广泛存在的客观现实。

譬如医生会因为对某种疾病感兴趣，进而查询和阅读非授权病历，DBA会因为碍于情面帮助朋友查询他人隐私数据。

3、外部资源依赖近几年医疗业务发展极为迅速，各种新业务形态不断涌现。

为了支持快速业务迭代，医院对于开发商等外部资源的依赖性非常高。

这种高依赖性和高昂的数据价值带来了巨大的数据安全风险。

4、相对频繁的手工操作由于业务软件系统无法跟上医疗业务的快速发展，很多时候相关人员需要直接数据库操作来完成相关业务，存在潜在的误操作和越权访问风险。

5、部分医院甚至受到开发商要挟许多开发商把医院数据当作自己的私有财富，甚至医院要使用数据需要获得开发商的许可。

显然，这种生态下是很难做到患者数据安全。

6、DBA和开发商的超级访问权DBA（数据库管理员）和开发商的超级访问权限普遍存在于各行业中。

但是由于医疗数据较高的单体价值，DBA和开发商会接收到来自各方面的数据获取诉求，更容易受到更多的诱惑，导致其犯错概率大幅增加。

7、患者隐私数据的不当泄露很多医院为了降低成本，会重复利用检查指引、处方单等纸质媒介。

这种纸质媒介的重用显然会泄露患者隐私。

检查报告的随意处置，让有心人更容易获得相关数据。

8、入侵者的乐园开放的网络环境和相对脆弱的安全防御，使医疗机构成为了入侵者的乐园。

入侵者可以轻易进入医院网络，盗取访问凭证，访问和破坏敏感数据并施加勒索。

四、敏感数据的流动刚需1.众多的数据交换业务和急剧上升的互联互通需求医院作为一个受到严格管制的行业，需要和众多机构进行数据交换和汇报。

（1）医保机构医院和医保机构的数据交换是医院核心业务之一。

由于历史原因，医保数据交换可能会出现不必要的敏感数据交换，使敏感数据失控。

（2）卫健委和疾控医院作为一个受监管机构，需要向卫健委、疾控等相关部门汇报相关数据。

由于历史原因，相关数据上报可能会存在一些失控的敏感信息。

（3）心衰中心等医院还需将特殊病种相关数据上报到心衰中心等机构。

由于历史原因，相关上报数据可能存在着不必要出现的敏感数据。

（4）远程医疗的兴起远程医疗作为一种医疗资源下层的主要手段，正受到医疗主管部门和各大医院的青睐。

在远程医疗过程中如何保证患者隐私数据的安全成为其中的一个关键环节。

（5）病历携带病历携带是患者的核心诉求之一。

虽然目前基本没有实现，但是在患者服务不断加强的今天，病历携带必然会成为医疗机构之间的核心交换科目。

（6）病案交换一家医疗机构的医疗水平提高，很大程度上依赖于历史病案的积累和质量。

医疗机构为了丰富自己的病案库，有足够的动力和同等水平的医疗机构进行病案交换。

而卫生主管机构为了提高所有医疗机构的医疗水平，也有足够动力让所有医疗机构共享这些高质量的医疗病案。