[128]医院信息化会成为“黑客乐园”吗?

美国大力推进电子病历记录项目,医疗系统的病历档案全部联网,这为黑客们向医院下手提供了便利。2016年2月5日洛杉矶的好莱坞长老会医疗中心就遭遇这样悲催的事情。其系统被黑客成功入侵。所有的运营资料和病人信息都被他们掌握在手里。他们加密了所有数据,导致医院信息化系统无法使用,严重影响了医院的日常运营。这家拥有434张床位、近百年历史的医院乱作一团,侵入服务器的黑客在屏幕上留言:拿出9000个比特币,我就还你资料。经过一番讨价还价,医院最后向黑客支付40个比特币(约合1.7万美元),拿到密钥。大量的患者信息被窃取,个人利益严重受损。这也在提醒管理者:如何平衡医学创新和监管之间的关系,已经成为一个不可忽视的课题。毫不夸张地说,黑客可在绝大多数医院的信息系统来去自由,医院甚至察觉不到数据失窃。黑客最早源自英文hacker,早期在美国的电脑界是带有褒义的。原指热心于计算机技术,水平高超的电脑专家,尤其是程序设计人员。但在媒体报导中,黑客一词往往指那些“软件骇客”(software cracker)。 黑客一词已被用于泛指那些专门利用电脑网络搞破坏或恶作剧的人。

更加智能的医疗存有隐忧

随着3G、4G通讯等移动通讯技术和移动互联网技术进一步成熟,移动互联已经进入并改变着医疗业务的各个环节,远程医疗、个性化健康服务、健康管理等移动医疗应用也越来越受到重视,移动医疗在整合区域医疗资源、简化就医流程、实现医院精细化管理的同时也存在着诸多安全相关问题亟待解决,[1]尤其是随着大数据、移动互联网、云计算、物联网等新技术被广泛的运用与医院,必将对医院进行深刻的变革,医疗将被颠覆,将会迈向更加智能的医疗。移动互联网时代工业被智能化颠覆创新,很多行业也在智能化颠覆,医疗也将被智能化颠覆。一些医疗器械也开始与互联网相连接,以期为病人带来更好的医疗体验。医疗信息化所带来的便利是不言而喻的,患者也能够明显的感受到变化和便利,以前必须现场挂号的,现在可以在手机上完成,以前必须手写的病历,手写的各种单据,现在只需要在电脑上操作,患者按照流程就可以到下一个点进行相关的诊疗,诊间缴费,检查报告查询,都可以在网上实现了。智慧医院,让患者体会到了真实的便利,医疗的各个流程逐渐被信息化,与此同时,与网络世界的连接也为医疗行业带来了一系列的安全威胁。新的“+互联网”使医院在信息化方面更加开放,这同时也意味着遭受黑客攻击的几率大为增加。相对于黑客强大的计算机技术,医院在反攻击和防范方面显然具有天然的弱势,这样的攻击,对于任何医院,尤其是有着巨大数据量的医院来说,恐怕都是难以承受之痛。

黑客为啥喜欢攻击医院

信息化增加了医院信息泄漏的风险:信息化的安全性和稳定性非常重要,尤其是对于一个有着巨大敏感信息的医院,黑客可利用系统漏洞进行非法入侵,造成信息泄露、系统瘫痪,给用户带来巨大损失。2010年11月,波耐蒙研究所(Ponemon Institue)发布的调查报告显示,每年美国医院因患者资料丢失而承担的经济损失约60亿美元。该研究所在其针对美国医疗领域IT专业人士的调查中发现,51%的人坦陈自己并未在研发环节对患者的数据加以保护,而38%的人则表示在研发工作中有主动泄漏数据的行为。[2]相对美国,我国无论从信息科技整体水平,信息保护意识以及相关法律法规等诸多方面都存在不同程度的差距[3]。因此可以预见,国内医院在信息泄漏方面所面临的形势更加严峻,近期屡屡曝光的统方事件可能只是冰山一角。统方是医院信息泄漏的一种表现形式,近几年公立医院违法统方案件已成为国家和媒体关注的社会焦点问题。[4]

医院信息安全可提升的空间很大:就医疗行业机构而言,其对于网络安全的防范远远不如金融、政府等敏感行业做得到位。比较而言,医疗行业的信息系统要脆弱得多。虽然医疗信息系统和设备被黑客攻击的机率目前看来还非常之小,但这并不意味着医疗行业便可以高枕无忧。而随着越来越多的就诊信息逐渐从纸质档案过渡成电子档案,如今的医疗行业无疑在保护患者数据信息方面面临着巨大的挑战。曾准备用现行的网络上的模板做一份方便使用和统计的满意度调查表,看上去确实很方便,可以收集患者的就诊信息、意见和满意度,还能够帮你做好统计,做出表格,自己再加过简单的加工,就能够做出一份满意度报告。这用在商业上,用来调查消费者满意度,问题不大,但是在医疗行业,要考虑其信息的特殊性敏感性,万一其后台,利用了这些数据,做了非法的事情,医院将会承受巨大的损失,对患者难免也会造成损害。为此,这样的方法,还不能简单的利用到医院,最少需要医院自己的开发团队,来开发自己满意度系统。

医院数据信息量大:一份健康数据所包含的信息量无疑是巨大的,除了个人的身份信息,银行卡、健康数据、就诊数据,用药信息等都可能涵盖其中。医院每天都会产生大量的数据,这些数据,我们医院往往没有很好的分析整理挖掘利用。分析患者情况,指导和修正战略规划,分析科室运营情况,对科室进行精细化考核,分析疾病谱情况,可以写出有深度的文章,数据要么浪费了,要么残缺不全。医院在意识上和技术上都还有的提升空间,导致了大量数据的浪费。尤其是在推动建立患者个人健康档案,海量的人群健康信息,无疑会成为黑客施展的舞台。对于黑客而言,一份健康数据的价值远比一张单纯的信用卡信息要值钱得多。在国外一些地下市场,一份医疗保险证明便可以带给网络犯罪分子20美元的收益,而相比之下,一张信用卡只能带来1~2美元的收入。获取了大量的医疗记录信息后,黑客们还可以利用这些信息进行不同类型的犯罪活动,如:把信息高价卖给某种药物/器械/设备的研发部门、生产部门销售部门,还可能冒充病人获取管制药物,凭借银行卡信息进行金融欺诈等。各式各样的可穿戴医疗设备业已进入到日常的医疗诊断与健康监测中来,这些可穿戴设备都面临着成为黑客攻击的目标的威胁。心脏起搏器连接网络后遭到了黑客攻击,黑客便可能通过控制起搏器夺走患者的生命。

未雨绸缪 防范于未然

随着医疗改革的不断深化和信息技术的飞速发展,信息化已经深入医疗、服务、管理等各个节点和环节,成为贯穿医院管理全过程的重要引擎,数字化医院已经成为医院建设的重要组成部分。信息安全是数字化医院建设的关键环节,决定着以信息化为手段的医院各项业务的顺利开展。当前,医院信息安全问题主要体现在安全防护体系不完善、技术支持能力弱、制度落实不严格等方面,严重制约和影响着医院信息化乃至医疗工作的进一步发展[5]。医疗信息安全风险很大,尽早采取预防性措施、加强安全防范意识成为医疗行业急需采取的措施。在卫生资源共享与业务支持的迫切需求牵引下,加拿大以全国协同一致的卫生信息组织体系和筹资机制为保障,以全国标准统一、可共享的电子健康档案为核心,多种方式推进卫生信息化建设,使卫生信息化发展水平逐渐步入世界前列。医疗信息安全保障问题是国际性难题。加拿大在发展卫生信息化之初就高度重视信息系统安全与患者隐私保护,在组织机构的演变和战略规划发展过程中始终将其作为重要内容,采取一系列有效措施确保信息安全保存、共享与应用。[6]安全风险并非是依靠一己之力便能解决,针对技术层面的诸如漏洞、入侵等,还需安全厂商反馈、安全团队、医疗机构等通力协作,才能尽量将医疗行业面临的入侵攻击风险扼杀在“摇篮”里。更重要的还有意识层面,医院在“+互联网”的时候,要把信息安全做为一个非常重要的考虑点。精益管理有14条核心原则其中一条就是“只采用可靠的、经过充分验证的技术”,如果选择的技术还不成熟,还有很多漏洞,那就需要慎重,不成熟的技术,运用在和人健康生命直接相关的工作上,是否合适。

[1] 罗雪琼,胡珊,周毅,杨红梅,梅甜.移动医疗安全问题与应对措施[J].中国数字医学,2015,(07):94-97

[2]顾曼轶.患者数据泄露成灾[J].中国医院院长,2011(13):88.

[3] Schumacher M,Fernandez-Buglioni E,Hybertson Duan巴安全模式——集成安全性和系统工程[M].徐璐,译.北京:清华大学出版社,2007.

[4]郭旭升,王磊.信息化背景下医院反统方工作的难点及应对策略[J].中华医院管理杂志,2015,31(01):59-61

[5]周丁华,吕晓娟,张麟,卢敬泰,王月娟.数字化医院信息安全建设与管理策略[J].中华医学图书情报杂志,2015,(06):62-65

[6]郭珉江,代涛,万艳丽,黄薇.加拿大卫生信息化建设经验及启示[J].中国数字医学,2015,(07):15-19

(0)

相关推荐

  • 医疗大数据推行有啥妙招?这家估值20亿的公司在新疆哈密探索出一条路

    医疗大数据的发展,往往绕不开医院数据开放的问题.很多时候,大数据公司为政府机构开发的产品,都会在医院的推诿之下,最终不了了之.在新疆哈密市,一家名为德拓信息的公司,通过联合当地中心医院等多家医疗机构, ...

  • 追逐医疗大数据的同时,别忘了背后的信息安全

    动脉网微信号每日早八点准时推送医健行业精彩内容,喜欢我们的脉粉们,现在可以置顶啦! 1.打开订阅号列表,找到动脉网: 2.进入动脉网页面,点击右上角设置按钮,进入设置页面: 3.选择打开置顶公众号即可 ...

  • 医疗机构网络遭黑客攻击频率比金融领域还高!

    在网络信息爆炸的今天,我们已经听过很多有关金融服务公司和零售商出现安全漏洞的事件了.令人惊讶的是,据最新的调查报告显示,与金融服务公司及零售商相比,医疗机构网络被攻击的频率才是最高的.(动脉网之前进行 ...

  • DT时代下的医院信息化建设

    关键词:医院.信息化.大数据 在前两篇文章中,我们介绍了当前国内医院信息化建设的新格局以及未来发展的趋势预测分析. 详情查看:一分钟带你读懂国内医院信息化新格局.2017医疗IT发展趋势与预测 在本系 ...

  • 医院虚拟化系统安全防护解决方案

    医院信息化建设的主要动力主要来源于三个方面 人民群众不断增长的医疗服务需求: 附着国内经济建设的高速发展,人们越来越重视身体健康及关注生活的质量.对医疗服务的需求也不仅仅满足于疾病治疗"头痛 ...

  • ICU床位数四年增幅达16.4%,重症医学将迎来信息化大发展?

    每当遇到重大公共卫生事件时,重症医学科便会引起社会的广泛关注和重视. 例如在今年抗击新冠肺炎疫情的早期,危重患者的高死亡率给社会带来了巨大的恐慌.1月底,国家卫健委以最快速度将全国一流的重症医学专家抽 ...

  • 医院成为“犯罪天堂”:当黑客开始通过心脏起搏器远程杀人

    在科幻小说<球状闪电>中,女主人公林云通过激活宏聚变,摧毁了全球电子设备的芯片,将三分之一的国土拉回到农业时代,终止了一场现代核战争. 这个故事直指人类在数字时代不得不面对的一个两难困境( ...

  • 2019年十大医疗技术危害(一)

    说起医疗技术,一直以来都是我们人类的骄傲,从非常简单到复杂的医疗设备,层出不穷的手术方式,不断发展的药物,再到人工智能化的信息系统等等,仿佛他们只代表着骄傲地文明.然而细心的医疗机构及医护人员已经感觉 ...

  • 医院信息化管理用什么工具

    当下是一个信息化发展的时代,推动着科学技术的快速发展和人类文明的进步,医疗行业的信息化建设已经成为通信和医疗卫生行业共同关注的焦点. 利用互联网技术移动医疗能够提供随时随地.高效便捷的医疗资讯和服务. ...

  • 一分钟带你读懂国内医院信息化新格局

    关键词:医院.信息化 "莆田系"出没,背靠大树,深藏度娘怀抱,引来无数的谴责.嘲笑等文章.医患关系紧张,数据全无,医疗鉴定复杂,引无数医者.患者的麻烦.HIS系统穿越全程,将医院系 ...

  • 基于等级保护2.0标准体系的医院信息化安全建设与研究

    医疗行业是勒索病毒威胁的重点目标,患者单体数据价值较高,病案和药物则成为数据泄密的主要内容,由此建立安全的网络架构尤为重要. 2007年,公安部等四部门印发了<信息安全等级保护管理办法>( ...

  • 医院信息化系统

    医院HIS系统:医院管理信息系统(Hospital Management Information System,HMIS)的主要目标是支持医院的行政管理与事务处理业务,减轻事务处理人员劳动强度,辅助医 ...

  • 医院信息化转型进入新阶段,数字化平台助力医院创变求新

    对于医院而言,2020年无疑是信息化水平闯关的考核大年.此前,国家卫健委医政医管局发布的<关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知>,和卫健委办公厅印发的<电子病 ...

  • 宁帆信息:专注于医院信息化,为基层公卫研发新冠信息化管控系统

    2020年爆发的新冠疫情可以说是我国社会治理的一场大考,在此次疫情中,数字化工具帮助一线工作人员构筑起疫情筛查的虚拟防护网.例如便于出行的健康码,以真实数据为基础,实现各部门数据共通共享,极大方便了疫 ...

  • 专注医疗IT运维,服务全国逾百家医院,提高医院信息化的“支点”是什么?

    作为助力新医改的重要途径之一,医院信息化进程备受关注.而信息中心则肩负着医院信息化进程中的整体规划.建设.运营工作.如何更好地承担起信息中心新的使命,使医院信息化改进取得更好地成果,成为信息中心未来工 ...

  • HIT行业突起的新秀,新一代医院信息化平台神似安卓市场!

    近几年,以电子病历为核心的临床系统成为了国内三级医院的建设重点. 在此背景下,与医疗临床服务.医院管理.患者就医体验相关的支持系统越来越多.越来越繁杂.由于彼此之间不互通数据,这些系统就像一个个的&q ...

  • 医院信息化集成平台解决方案建议分享

    医院信息平台建设的必要性 建立医院信息平台就是为了提供建设规范和数据标准,形成全院级以电子病历为核心的病人主索引,实现医院内部不同时期的不同软件产品和不同业务系统的统一集成.互联互通和信息整合.并在此 ...