作為一名土生土長(zhǎng)的南方人，初次到北方的澡堂子時(shí)，如此坦誠(chéng)相見(jiàn)，雷鋒網(wǎng)編輯有點(diǎn)不習(xí)慣。

不過(guò)，有一種“坦誠(chéng)相見(jiàn)”的場(chǎng)景你可能更沒(méi)想到過(guò)。你剛進(jìn)醫(yī)院拍了一張 CT 。嘿，影像副本可能流到了黑客手里。

每天，數(shù)以百萬(wàn)計(jì)包含病人個(gè)人健康信息的新醫(yī)學(xué)圖像都在互聯(lián)網(wǎng)上流傳。

【 圖片來(lái)源：techcrunch  所有者：techcrunch 】

醫(yī)院打開(kāi)的“門(mén)”

倒也不是別人費(fèi)了九牛二虎之力去偷的，可怕的是，這些醫(yī)院、醫(yī)療辦公室和成像中心的“門(mén)”并沒(méi)有關(guān)好。它們正在使用不安全的存儲(chǔ)系統(tǒng)，只要有互聯(lián)網(wǎng)連接，任何人都可以訪(fǎng)問(wèn)超過(guò) 10 億張病人的醫(yī)學(xué)圖像。

雖然，現(xiàn)在大約一半被暴露于互聯(lián)網(wǎng)的圖像，包括 x 射線(xiàn)、超聲波和 CT 掃描的圖片都來(lái)自正在和伊朗鬧得不可開(kāi)交的美國(guó)，但這并不代表中國(guó)的醫(yī)院能置身事外。

德國(guó)安全公司 Greenbone Networks 在 9 月份發(fā)現(xiàn)了 2400萬(wàn)份（總計(jì)達(dá) 7.2 億多張）醫(yī)學(xué)圖像，兩個(gè)月后，暴露的服務(wù)器數(shù)量增加了一半以上，達(dá)到了 3500 萬(wàn)份，暴露了 11.9 億份掃描結(jié)果。

研究人員拿著數(shù)據(jù)提醒醫(yī)院注意這些事兒，沒(méi)想到完全沒(méi)有引起它們的重視。暴露的檢查結(jié)果只會(huì)越來(lái)越多，醫(yī)院不著急，這家安全公司有點(diǎn)焦慮。

泄露點(diǎn)在于源頭——醫(yī)院、醫(yī)生辦公室和放射中心用來(lái)存儲(chǔ)病人醫(yī)療圖像的服務(wù)器上有弱點(diǎn)。

DICOM （Digital Imaging and Communications in Medicine，即醫(yī)學(xué)數(shù)字成像和通信）是醫(yī)學(xué)圖像和相關(guān)信息的國(guó)際標(biāo)準(zhǔn)。它定義了質(zhì)量能滿(mǎn)足臨床需要的可用于數(shù)據(jù)交換的醫(yī)學(xué)圖像格式，被廣泛應(yīng)用于放射醫(yī)療，心血管成像以及放射診療診斷設(shè)備，是部署最為廣泛的醫(yī)療信息標(biāo)準(zhǔn)之一。

根據(jù)這個(gè)標(biāo)準(zhǔn)，醫(yī)療從業(yè)者更容易將醫(yī)學(xué)圖像存儲(chǔ)在一個(gè)文件中，并與其他醫(yī)生分享，并且可以使用任何免費(fèi)的應(yīng)用程序查看。 DICOM 的圖像通常存儲(chǔ)在一個(gè)圖像存檔和通信系統(tǒng)中，即 PACS 服務(wù)器，便于存儲(chǔ)和共享。 但是，許多醫(yī)院直接將 PACS 服務(wù)器連接到互聯(lián)網(wǎng)上，無(wú)需密碼即可查看。

你要說(shuō)了，這些醫(yī)院影像頭像又看不出實(shí)際上是誰(shuí)，沒(méi)有暴露隱私。其實(shí)不是的，這些未受保護(hù)的服務(wù)器不僅暴露醫(yī)療成像，而且暴露了病人的個(gè)人健康信息。

許多掃描圖像不僅有 DICOM 文件的封面，還有病人的姓名、出生日期和有關(guān)他們?cè)\斷的敏感信息，甚至還有他們的社保 ID。

比如，一個(gè)真實(shí)案例是，一位患有慢性病的患者在加利福尼亞的一家醫(yī)院進(jìn)行了長(zhǎng)達(dá) 30 年的定期掃描，他的醫(yī)學(xué)圖像一經(jīng)暴露，30 年的健康狀況一覽無(wú)余，而美國(guó)最大的軍事醫(yī)院之一一個(gè)未受保護(hù)的服務(wù)器也暴露了軍事人員的名字和醫(yī)學(xué)圖像。

即使病人只有一張或幾張醫(yī)學(xué)圖像，暴露的數(shù)據(jù)也可以用來(lái)推斷一個(gè)人的健康狀況，包括罹患的疾病和受到的傷害。

這意味著什么，你懂的。

【 圖片來(lái)源：techcrunch  所有者：techcrunch 】

被指望的法律

好心好意的 Greenbone 為了確保服務(wù)器的安全，上個(gè)月聯(lián)系了一百多個(gè)組織，詢(xún)問(wèn)他們服務(wù)器的公開(kāi)情況，一些小組織趕緊自我檢查，曝光圖像總數(shù)有所下降，但是大機(jī)構(gòu)“死豬不怕開(kāi)水燙”。當(dāng)這家安全公司聯(lián)系 10 家最大的醫(yī)療機(jī)構(gòu)時(shí)，沒(méi)有得到任何回應(yīng)，而這些機(jī)構(gòu)“貢獻(xiàn)”了大約五分之一被曝光的醫(yī)學(xué)圖像。

Greenbone 私下跟媒體機(jī)構(gòu)透露了這些機(jī)構(gòu)的名字，以便媒體撰文時(shí)查驗(yàn)，其中包括一家在紐約擁有三家醫(yī)院的醫(yī)療機(jī)構(gòu)，一家在佛羅里達(dá)州擁有十幾家診所的放射科公司，以及一家位于加州的大型醫(yī)院。

也就點(diǎn)到為止了。

制定并維護(hù) DICOM 標(biāo)準(zhǔn)的標(biāo)準(zhǔn)機(jī)構(gòu)設(shè)定的安全特性在很大程度上被設(shè)備制造商忽視，但鍋還是得醫(yī)院背，主要還是因?yàn)獒t(yī)院沒(méi)有適當(dāng)配置和保護(hù)服務(wù)器。

去年，美國(guó)政府對(duì)一家總部位于田納西州的醫(yī)學(xué)成像公司處以 300 萬(wàn)美元的罰款，原因是該公司無(wú)意中泄露了一臺(tái)包含 30 萬(wàn)患者數(shù)據(jù)的服務(wù)器。

中國(guó)的網(wǎng)安法也在掣肘醫(yī)院保護(hù)數(shù)據(jù)。

雷鋒網(wǎng)編輯曾參加過(guò)一個(gè)數(shù)據(jù)安全公司主辦的論壇，其中一個(gè)分論壇專(zhuān)門(mén)討論醫(yī)療行業(yè)的數(shù)據(jù)保護(hù)。

某醫(yī)院計(jì)算中心的主任 Q 曾感慨：“我們的影像數(shù)據(jù)超過(guò) 500T，終端無(wú)紙化越多，說(shuō)明醫(yī)療數(shù)據(jù)越多，越多的數(shù)據(jù)給我們?cè)斐傻睦Ь呈恰畠?nèi)憂(yōu)外患’，內(nèi)憂(yōu)是各類(lèi)大牌專(zhuān)家和領(lǐng)導(dǎo)找我要數(shù)據(jù)，我也不給。省各類(lèi)的網(wǎng)監(jiān)來(lái)查我們，說(shuō)我這里不符合要求，那里不符合要求，我們回去就整改，到后來(lái)我們把所有事都干了，把所有的責(zé)任都擔(dān)了，把所有人都得罪了。因?yàn)橐坏┏鍪?，我就?huì)被網(wǎng)監(jiān)叫去談話(huà)，做筆錄，按指紋，最后抓的人會(huì)是我，法律面前人人平等，院長(zhǎng)都保不了我?！?/p>

講真，美國(guó)人民也沒(méi)什么好辦法，只能把希望寄托在法律上。美國(guó)健康保險(xiǎn)攜帶和責(zé)任法案 ( HIPAA )制定了“安全規(guī)則” ，其中包括技術(shù)和物理保護(hù)措施，旨在通過(guò)確保數(shù)據(jù)的私密性和安全性來(lái)保護(hù)電子個(gè)人健康信息，法律還要求醫(yī)療服務(wù)提供者對(duì)與之相關(guān)的任何安全漏洞負(fù)責(zé)，觸犯法律會(huì)受到嚴(yán)厲的懲罰。

十條安全提示

除了法律是懸在上頭的一把大刀，也許下面十個(gè)容易泄露信息的場(chǎng)景提示可以幫助醫(yī)院。

第一，開(kāi)發(fā)測(cè)試在醫(yī)院數(shù)據(jù)利用的過(guò)程中是常見(jiàn)的需求，隨著醫(yī)院信息化建設(shè)的深入，醫(yī)院有很多業(yè)務(wù)更新及業(yè)務(wù)上線(xiàn)的需求，需要在新業(yè)務(wù)上線(xiàn)時(shí)做測(cè)試。

現(xiàn)在測(cè)試機(jī)構(gòu)一般直接拿醫(yī)療數(shù)據(jù)庫(kù)面的真實(shí)數(shù)據(jù)進(jìn)行測(cè)試，如果醫(yī)院沒(méi)有測(cè)試環(huán)境，這些數(shù)據(jù)甚至?xí)粠Щ販y(cè)試人員的公司內(nèi)部測(cè)試。后來(lái)，為了保護(hù)數(shù)據(jù)安全，一些醫(yī)院會(huì)采取一些腳本的方式，或者是手工的方式來(lái)制造一些測(cè)試數(shù)來(lái)進(jìn)行脫敏，但通過(guò)腳本、手工等方式做測(cè)試數(shù)據(jù)有兩個(gè)問(wèn)題：

一是可能導(dǎo)致一些數(shù)據(jù)被漏掉，二是數(shù)據(jù)脫敏前、脫敏后的關(guān)系保持不了，對(duì)測(cè)試的效果和效率影響很大。

第二個(gè)場(chǎng)景是教育培訓(xùn)。

很多的醫(yī)院非常重視教育培訓(xùn)的工作，一般會(huì)建立專(zhuān)門(mén)的教育培訓(xùn)平臺(tái)。這個(gè)教育培訓(xùn)平臺(tái)最重要的資料就是備案的素材，很多醫(yī)院的醫(yī)生會(huì)基于一些真實(shí)病案的分析與討論，培養(yǎng)自己的臨床思維。如果這個(gè)平臺(tái)具有極高的隱私屬性的數(shù)據(jù)（如婦科和精神科的案例）沒(méi)有經(jīng)過(guò)處理，直接流動(dòng)到教育培訓(xùn)平臺(tái)，一旦數(shù)據(jù)泄露，對(duì)患者可能會(huì)造成非常大的影響。

平臺(tái)建立成功以后，它的用戶(hù)既有醫(yī)院內(nèi)部的醫(yī)生，還有合作高校的學(xué)生跟老師。校園網(wǎng)的安全性一般比較差，如果從一個(gè)比較差的網(wǎng)絡(luò)環(huán)境訪(fǎng)問(wèn)醫(yī)院的敏感數(shù)據(jù)，本身就存在風(fēng)險(xiǎn)。

比如，從遠(yuǎn)端訪(fǎng)問(wèn)醫(yī)院的人用戶(hù)是不是盜用的身份，我們無(wú)法確定。當(dāng)數(shù)據(jù)需要流動(dòng)到醫(yī)院的邊界之外，安全措施已經(jīng)失效的情況下，唯一能依靠的就是對(duì)身份的持續(xù)驗(yàn)證。

第三個(gè)場(chǎng)景是運(yùn)營(yíng)管理中心，它其實(shí)是一個(gè)大數(shù)據(jù)平臺(tái)，目的是為醫(yī)院的運(yùn)營(yíng)決策做支持。

運(yùn)營(yíng)管理中心匯集了醫(yī)院很多的敏感數(shù)據(jù)，比如醫(yī)院的財(cái)務(wù)數(shù)據(jù)、運(yùn)營(yíng)收益數(shù)據(jù)，還有醫(yī)生或是患者的隱私數(shù)據(jù)，這些數(shù)據(jù)價(jià)值非常高，容易引起一些不法分子的關(guān)注，而且這個(gè)平臺(tái)也會(huì)存在數(shù)據(jù)利用方式的問(wèn)題，比如通過(guò)接口的形式訪(fǎng)問(wèn)，也可以通過(guò)消息隊(duì)列的形式進(jìn)行數(shù)據(jù)的訂閱、下發(fā)甚至是同步，甚至可以通過(guò)工具訪(fǎng)問(wèn)，這些方式非常靈活，可能就導(dǎo)致傳統(tǒng)的安全機(jī)制很難進(jìn)行全面而有效的防御。

平臺(tái)本身也可能會(huì)存在漏洞，一些沒(méi)有經(jīng)過(guò)處理的大數(shù)據(jù)流入到運(yùn)營(yíng)管理中心就可能存在被泄露的風(fēng)險(xiǎn)。

第四個(gè)場(chǎng)景是臨床數(shù)據(jù)中心，也就是 CDR。

CDR 也是一個(gè)大數(shù)據(jù)平臺(tái)，但它跟數(shù)據(jù)管理平臺(tái)不同，CDR 是以臨床支持為中心的平臺(tái)，有病案數(shù)據(jù)，比如可能會(huì)有一些患有惡性腫瘤或是傳染病的患者的病歷，或是一些社會(huì)重要人士、公眾人物的病案，這個(gè)平臺(tái)中的數(shù)據(jù)非常敏感。

它同樣也面臨數(shù)據(jù)利用方式靈活的問(wèn)題，導(dǎo)致傳統(tǒng)安全機(jī)制很難落地。同時(shí)，CDR 也需要為醫(yī)院所有的醫(yī)生提供服務(wù)，在權(quán)限管理上非常復(fù)雜。

比如，CDR 里的數(shù)據(jù)還可能來(lái)自兄弟醫(yī)院，即通過(guò)病案交換來(lái)的數(shù)據(jù)，A 醫(yī)院的醫(yī)生需要訪(fǎng)問(wèn)患者在 B 醫(yī)院的數(shù)據(jù)，這個(gè)權(quán)限管理就更加復(fù)雜。

第五個(gè)場(chǎng)景是醫(yī)院數(shù)據(jù)會(huì)流向的終端，比如醫(yī)生工作站、護(hù)士工作站或是醫(yī)院常見(jiàn)的大量手持移動(dòng)終端，數(shù)據(jù)流動(dòng)非?？?。

在醫(yī)院就診時(shí)，醫(yī)生的診室里有很多人，包括醫(yī)生、助理、患者、家屬、其他患者及其家屬，這么多人擠在同一個(gè)空間里，顯示在醫(yī)生終端上的信息就很可能在有意無(wú)意的過(guò)程中被看到，甚至被拍照。

這與醫(yī)院系統(tǒng)設(shè)計(jì)的思路有關(guān)，比如核心系統(tǒng)設(shè)計(jì)以效率為目標(biāo)，每個(gè)操作界面都有患者的隱私數(shù)據(jù)，包括個(gè)人信息，但提高了患者隱私數(shù)據(jù)泄露的概率。

上面五個(gè)場(chǎng)景是數(shù)據(jù)在醫(yī)院內(nèi)部做流動(dòng)，可以通過(guò)內(nèi)部現(xiàn)在已有的安全機(jī)制、安全措施甚至管理技術(shù)的手段來(lái)做管控，相對(duì)是可控的。但下面這些場(chǎng)景是數(shù)據(jù)可能會(huì)流動(dòng)到醫(yī)院的邊界之外，完全處于失控的狀態(tài)，風(fēng)險(xiǎn)更大。

場(chǎng)景六，數(shù)據(jù)交換。以交換的機(jī)構(gòu)不同分類(lèi)，分為跟衛(wèi)生管理機(jī)構(gòu)之間的數(shù)據(jù)交換，其他醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)交換。

比如，醫(yī)院跟醫(yī)保局之間的數(shù)據(jù)交換，醫(yī)院可能需要患者在醫(yī)保局的醫(yī)保數(shù)據(jù)來(lái)做支付，醫(yī)保局又需要醫(yī)院提供支付相關(guān)的患者病歷、就診信息核查，是一個(gè)雙向、實(shí)時(shí)的數(shù)據(jù)交換。

在這個(gè)場(chǎng)景里，醫(yī)院不能對(duì)這些數(shù)據(jù)做類(lèi)似于現(xiàn)在比較流行的脫敏處理的數(shù)據(jù)保護(hù)機(jī)制，但是這些未經(jīng)處理的數(shù)據(jù)又需要經(jīng)過(guò)一些非安全網(wǎng)絡(luò)傳輸?shù)结t(yī)保局，所以存在一些在傳輸過(guò)程中的風(fēng)險(xiǎn)。

第二種情況是醫(yī)院的數(shù)據(jù)要跟其他兄弟醫(yī)院之間做交換，比如病案交換，主要風(fēng)險(xiǎn)在于交換的過(guò)程非常靈活，可以通過(guò)共享服務(wù)器、中間庫(kù)，包括通過(guò)接口的形式來(lái)交換，交換比較靈活，可能會(huì)存在過(guò)去安全機(jī)制很難進(jìn)行全面保護(hù)的問(wèn)題。

交換后，數(shù)據(jù)處在完全失控的狀態(tài)，它是不是會(huì)被再次交換、二次泄露？沒(méi)人可以控制。

場(chǎng)景七，數(shù)據(jù)上報(bào)。數(shù)據(jù)交換是雙向的，上報(bào)是單向的，上報(bào)主要是把數(shù)據(jù)上報(bào)給衛(wèi)健委、疾病控制中心等衛(wèi)生監(jiān)管機(jī)構(gòu)。當(dāng)患者在醫(yī)院就診時(shí)，被確診為一些惡性的傳染病之類(lèi)，需要在第一時(shí)間把數(shù)據(jù)安全相關(guān)的要求上傳到疾控中心。

一個(gè)真實(shí)的慘案是，患者在醫(yī)院就診后被確診為非常嚴(yán)重的傳染病，不知道在哪個(gè)環(huán)節(jié)發(fā)生了數(shù)據(jù)泄露，導(dǎo)致了他所在的公司知道了他的病情，最終他失業(yè)了，最后他把疾控跟醫(yī)院兩端都告上了法庭。

所以，醫(yī)院需要對(duì)流出的數(shù)據(jù)進(jìn)行追溯，在數(shù)據(jù)泄露之后就可以追責(zé)。

場(chǎng)景八是遠(yuǎn)程醫(yī)療，比如遠(yuǎn)程會(huì)診，近端醫(yī)院向遠(yuǎn)端醫(yī)院申請(qǐng)專(zhuān)家會(huì)診成功后，需要上傳患者的檢查報(bào)告，包括一些既往病史等很多個(gè)人健康信息，這些信息一般通過(guò)非安全網(wǎng)絡(luò)傳輸，而且遠(yuǎn)端醫(yī)院的安全環(huán)境是不可控的，是不是會(huì)發(fā)生一些非授權(quán)用戶(hù)訪(fǎng)問(wèn)，或者是假冒用戶(hù)訪(fǎng)問(wèn)，無(wú)法控制。

場(chǎng)景九是運(yùn)維，大部分醫(yī)院數(shù)據(jù)庫(kù)由專(zhuān)門(mén)的維保廠(chǎng)商來(lái)進(jìn)行維保和服務(wù)，在數(shù)據(jù)庫(kù)出故障以后，醫(yī)院第一時(shí)間打電話(huà)給服務(wù)商。

作為運(yùn)維服務(wù)商，他們首先會(huì)嘗試遠(yuǎn)端解決，如果解決不了再派工程師到現(xiàn)場(chǎng)。在遠(yuǎn)程運(yùn)維的場(chǎng)景中，服務(wù)商通過(guò)非安全網(wǎng)絡(luò)訪(fǎng)問(wèn)醫(yī)院的敏感數(shù)據(jù)，風(fēng)險(xiǎn)非常大，比如遠(yuǎn)程連接工具層漏洞導(dǎo)致客戶(hù)端可能被竊取數(shù)據(jù)。

運(yùn)維廠(chǎng)商工程師具有比較大的數(shù)據(jù)庫(kù)訪(fǎng)問(wèn)權(quán)限，但醫(yī)院很難控制這些工程師訪(fǎng)問(wèn)過(guò)多的數(shù)據(jù)，或是未經(jīng)授權(quán)的數(shù)據(jù)。因?yàn)闄?quán)限比較大，他也有能力竊取醫(yī)院的數(shù)據(jù)，比如把醫(yī)生、患者的敏感數(shù)據(jù)直接下載到數(shù)據(jù)庫(kù)，數(shù)據(jù)可能被售賣(mài)和二次泄露。

場(chǎng)景十是增值服務(wù)，增值服務(wù)是數(shù)據(jù)共享的需求，醫(yī)院有很多重要數(shù)據(jù)，一些藥企商保公司希望拿醫(yī)院的數(shù)據(jù)做增值應(yīng)用，比如藥企在一些藥品上市之后，希望拿到醫(yī)院臨床的患者的病歷做藥品評(píng)價(jià)，但是在目前醫(yī)藥行業(yè)面臨的高監(jiān)管壓力下，不能隨便把這些數(shù)據(jù)共享給他們，一旦共享以后發(fā)生了數(shù)據(jù)泄露，醫(yī)院作為源頭數(shù)據(jù)提供者，責(zé)任是不可逃避的。

雷鋒網(wǎng)注：上述 10 條安全提示來(lái)自美創(chuàng)公司專(zhuān)家張建林。

參考來(lái)源：A billion medical images are exposed online, as doctors ignore warnings.

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。