作為一名土生土長的南方人，初次到北方的澡堂子時，如此坦誠相見，雷鋒網(wǎng)編輯有點不習(xí)慣。

不過，有一種“坦誠相見”的場景你可能更沒想到過。你剛進(jìn)醫(yī)院拍了一張 CT 。嘿，影像副本可能流到了黑客手里。

每天，數(shù)以百萬計包含病人個人健康信息的新醫(yī)學(xué)圖像都在互聯(lián)網(wǎng)上流傳。

【 圖片來源：techcrunch  所有者：techcrunch 】

醫(yī)院打開的“門”

倒也不是別人費了九牛二虎之力去偷的，可怕的是，這些醫(yī)院、醫(yī)療辦公室和成像中心的“門”并沒有關(guān)好。它們正在使用不安全的存儲系統(tǒng)，只要有互聯(lián)網(wǎng)連接，任何人都可以訪問超過 10 億張病人的醫(yī)學(xué)圖像。

雖然，現(xiàn)在大約一半被暴露于互聯(lián)網(wǎng)的圖像，包括 x 射線、超聲波和 CT 掃描的圖片都來自正在和伊朗鬧得不可開交的美國，但這并不代表中國的醫(yī)院能置身事外。

德國安全公司 Greenbone Networks 在 9 月份發(fā)現(xiàn)了 2400萬份（總計達(dá) 7.2 億多張）醫(yī)學(xué)圖像，兩個月后，暴露的服務(wù)器數(shù)量增加了一半以上，達(dá)到了 3500 萬份，暴露了 11.9 億份掃描結(jié)果。

研究人員拿著數(shù)據(jù)提醒醫(yī)院注意這些事兒，沒想到完全沒有引起它們的重視。暴露的檢查結(jié)果只會越來越多，醫(yī)院不著急，這家安全公司有點焦慮。

泄露點在于源頭——醫(yī)院、醫(yī)生辦公室和放射中心用來存儲病人醫(yī)療圖像的服務(wù)器上有弱點。

DICOM （Digital Imaging and Communications in Medicine，即醫(yī)學(xué)數(shù)字成像和通信）是醫(yī)學(xué)圖像和相關(guān)信息的國際標(biāo)準(zhǔn)。它定義了質(zhì)量能滿足臨床需要的可用于數(shù)據(jù)交換的醫(yī)學(xué)圖像格式，被廣泛應(yīng)用于放射醫(yī)療，心血管成像以及放射診療診斷設(shè)備，是部署最為廣泛的醫(yī)療信息標(biāo)準(zhǔn)之一。

根據(jù)這個標(biāo)準(zhǔn)，醫(yī)療從業(yè)者更容易將醫(yī)學(xué)圖像存儲在一個文件中，并與其他醫(yī)生分享，并且可以使用任何免費的應(yīng)用程序查看。 DICOM 的圖像通常存儲在一個圖像存檔和通信系統(tǒng)中，即 PACS 服務(wù)器，便于存儲和共享。 但是，許多醫(yī)院直接將 PACS 服務(wù)器連接到互聯(lián)網(wǎng)上，無需密碼即可查看。

你要說了，這些醫(yī)院影像頭像又看不出實際上是誰，沒有暴露隱私。其實不是的，這些未受保護(hù)的服務(wù)器不僅暴露醫(yī)療成像，而且暴露了病人的個人健康信息。

許多掃描圖像不僅有 DICOM 文件的封面，還有病人的姓名、出生日期和有關(guān)他們診斷的敏感信息，甚至還有他們的社保 ID。

比如，一個真實案例是，一位患有慢性病的患者在加利福尼亞的一家醫(yī)院進(jìn)行了長達(dá) 30 年的定期掃描，他的醫(yī)學(xué)圖像一經(jīng)暴露，30 年的健康狀況一覽無余，而美國最大的軍事醫(yī)院之一一個未受保護(hù)的服務(wù)器也暴露了軍事人員的名字和醫(yī)學(xué)圖像。

即使病人只有一張或幾張醫(yī)學(xué)圖像，暴露的數(shù)據(jù)也可以用來推斷一個人的健康狀況，包括罹患的疾病和受到的傷害。

這意味著什么，你懂的。

【 圖片來源：techcrunch  所有者：techcrunch 】

被指望的法律

好心好意的 Greenbone 為了確保服務(wù)器的安全，上個月聯(lián)系了一百多個組織，詢問他們服務(wù)器的公開情況，一些小組織趕緊自我檢查，曝光圖像總數(shù)有所下降，但是大機(jī)構(gòu)“死豬不怕開水燙”。當(dāng)這家安全公司聯(lián)系 10 家最大的醫(yī)療機(jī)構(gòu)時，沒有得到任何回應(yīng)，而這些機(jī)構(gòu)“貢獻(xiàn)”了大約五分之一被曝光的醫(yī)學(xué)圖像。

Greenbone 私下跟媒體機(jī)構(gòu)透露了這些機(jī)構(gòu)的名字，以便媒體撰文時查驗，其中包括一家在紐約擁有三家醫(yī)院的醫(yī)療機(jī)構(gòu)，一家在佛羅里達(dá)州擁有十幾家診所的放射科公司，以及一家位于加州的大型醫(yī)院。

也就點到為止了。

制定并維護(hù) DICOM 標(biāo)準(zhǔn)的標(biāo)準(zhǔn)機(jī)構(gòu)設(shè)定的安全特性在很大程度上被設(shè)備制造商忽視，但鍋還是得醫(yī)院背，主要還是因為醫(yī)院沒有適當(dāng)配置和保護(hù)服務(wù)器。

去年，美國政府對一家總部位于田納西州的醫(yī)學(xué)成像公司處以 300 萬美元的罰款，原因是該公司無意中泄露了一臺包含 30 萬患者數(shù)據(jù)的服務(wù)器。

中國的網(wǎng)安法也在掣肘醫(yī)院保護(hù)數(shù)據(jù)。

雷鋒網(wǎng)編輯曾參加過一個數(shù)據(jù)安全公司主辦的論壇，其中一個分論壇專門討論醫(yī)療行業(yè)的數(shù)據(jù)保護(hù)。

某醫(yī)院計算中心的主任 Q 曾感慨：“我們的影像數(shù)據(jù)超過 500T，終端無紙化越多，說明醫(yī)療數(shù)據(jù)越多，越多的數(shù)據(jù)給我們造成的困境是‘內(nèi)憂外患’，內(nèi)憂是各類大牌專家和領(lǐng)導(dǎo)找我要數(shù)據(jù)，我也不給。省各類的網(wǎng)監(jiān)來查我們，說我這里不符合要求，那里不符合要求，我們回去就整改，到后來我們把所有事都干了，把所有的責(zé)任都擔(dān)了，把所有人都得罪了。因為一旦出事，我就會被網(wǎng)監(jiān)叫去談話，做筆錄，按指紋，最后抓的人會是我，法律面前人人平等，院長都保不了我?！?/p>

講真，美國人民也沒什么好辦法，只能把希望寄托在法律上。美國健康保險攜帶和責(zé)任法案 ( HIPAA )制定了“安全規(guī)則” ，其中包括技術(shù)和物理保護(hù)措施，旨在通過確保數(shù)據(jù)的私密性和安全性來保護(hù)電子個人健康信息，法律還要求醫(yī)療服務(wù)提供者對與之相關(guān)的任何安全漏洞負(fù)責(zé)，觸犯法律會受到嚴(yán)厲的懲罰。

十條安全提示

除了法律是懸在上頭的一把大刀，也許下面十個容易泄露信息的場景提示可以幫助醫(yī)院。

第一，開發(fā)測試在醫(yī)院數(shù)據(jù)利用的過程中是常見的需求，隨著醫(yī)院信息化建設(shè)的深入，醫(yī)院有很多業(yè)務(wù)更新及業(yè)務(wù)上線的需求，需要在新業(yè)務(wù)上線時做測試。

現(xiàn)在測試機(jī)構(gòu)一般直接拿醫(yī)療數(shù)據(jù)庫面的真實數(shù)據(jù)進(jìn)行測試，如果醫(yī)院沒有測試環(huán)境，這些數(shù)據(jù)甚至?xí)粠Щ販y試人員的公司內(nèi)部測試。后來，為了保護(hù)數(shù)據(jù)安全，一些醫(yī)院會采取一些腳本的方式，或者是手工的方式來制造一些測試數(shù)來進(jìn)行脫敏，但通過腳本、手工等方式做測試數(shù)據(jù)有兩個問題：

一是可能導(dǎo)致一些數(shù)據(jù)被漏掉，二是數(shù)據(jù)脫敏前、脫敏后的關(guān)系保持不了，對測試的效果和效率影響很大。

第二個場景是教育培訓(xùn)。

很多的醫(yī)院非常重視教育培訓(xùn)的工作，一般會建立專門的教育培訓(xùn)平臺。這個教育培訓(xùn)平臺最重要的資料就是備案的素材，很多醫(yī)院的醫(yī)生會基于一些真實病案的分析與討論，培養(yǎng)自己的臨床思維。如果這個平臺具有極高的隱私屬性的數(shù)據(jù)（如婦科和精神科的案例）沒有經(jīng)過處理，直接流動到教育培訓(xùn)平臺，一旦數(shù)據(jù)泄露，對患者可能會造成非常大的影響。

平臺建立成功以后，它的用戶既有醫(yī)院內(nèi)部的醫(yī)生，還有合作高校的學(xué)生跟老師。校園網(wǎng)的安全性一般比較差，如果從一個比較差的網(wǎng)絡(luò)環(huán)境訪問醫(yī)院的敏感數(shù)據(jù)，本身就存在風(fēng)險。

比如，從遠(yuǎn)端訪問醫(yī)院的人用戶是不是盜用的身份，我們無法確定。當(dāng)數(shù)據(jù)需要流動到醫(yī)院的邊界之外，安全措施已經(jīng)失效的情況下，唯一能依靠的就是對身份的持續(xù)驗證。

第三個場景是運營管理中心，它其實是一個大數(shù)據(jù)平臺，目的是為醫(yī)院的運營決策做支持。

運營管理中心匯集了醫(yī)院很多的敏感數(shù)據(jù)，比如醫(yī)院的財務(wù)數(shù)據(jù)、運營收益數(shù)據(jù)，還有醫(yī)生或是患者的隱私數(shù)據(jù)，這些數(shù)據(jù)價值非常高，容易引起一些不法分子的關(guān)注，而且這個平臺也會存在數(shù)據(jù)利用方式的問題，比如通過接口的形式訪問，也可以通過消息隊列的形式進(jìn)行數(shù)據(jù)的訂閱、下發(fā)甚至是同步，甚至可以通過工具訪問，這些方式非常靈活，可能就導(dǎo)致傳統(tǒng)的安全機(jī)制很難進(jìn)行全面而有效的防御。

平臺本身也可能會存在漏洞，一些沒有經(jīng)過處理的大數(shù)據(jù)流入到運營管理中心就可能存在被泄露的風(fēng)險。

第四個場景是臨床數(shù)據(jù)中心，也就是 CDR。

CDR 也是一個大數(shù)據(jù)平臺，但它跟數(shù)據(jù)管理平臺不同，CDR 是以臨床支持為中心的平臺，有病案數(shù)據(jù)，比如可能會有一些患有惡性腫瘤或是傳染病的患者的病歷，或是一些社會重要人士、公眾人物的病案，這個平臺中的數(shù)據(jù)非常敏感。

它同樣也面臨數(shù)據(jù)利用方式靈活的問題，導(dǎo)致傳統(tǒng)安全機(jī)制很難落地。同時，CDR 也需要為醫(yī)院所有的醫(yī)生提供服務(wù)，在權(quán)限管理上非常復(fù)雜。

比如，CDR 里的數(shù)據(jù)還可能來自兄弟醫(yī)院，即通過病案交換來的數(shù)據(jù)，A 醫(yī)院的醫(yī)生需要訪問患者在 B 醫(yī)院的數(shù)據(jù)，這個權(quán)限管理就更加復(fù)雜。

第五個場景是醫(yī)院數(shù)據(jù)會流向的終端，比如醫(yī)生工作站、護(hù)士工作站或是醫(yī)院常見的大量手持移動終端，數(shù)據(jù)流動非常快。

在醫(yī)院就診時，醫(yī)生的診室里有很多人，包括醫(yī)生、助理、患者、家屬、其他患者及其家屬，這么多人擠在同一個空間里，顯示在醫(yī)生終端上的信息就很可能在有意無意的過程中被看到，甚至被拍照。

這與醫(yī)院系統(tǒng)設(shè)計的思路有關(guān)，比如核心系統(tǒng)設(shè)計以效率為目標(biāo)，每個操作界面都有患者的隱私數(shù)據(jù)，包括個人信息，但提高了患者隱私數(shù)據(jù)泄露的概率。

上面五個場景是數(shù)據(jù)在醫(yī)院內(nèi)部做流動，可以通過內(nèi)部現(xiàn)在已有的安全機(jī)制、安全措施甚至管理技術(shù)的手段來做管控，相對是可控的。但下面這些場景是數(shù)據(jù)可能會流動到醫(yī)院的邊界之外，完全處于失控的狀態(tài)，風(fēng)險更大。

場景六，數(shù)據(jù)交換。以交換的機(jī)構(gòu)不同分類，分為跟衛(wèi)生管理機(jī)構(gòu)之間的數(shù)據(jù)交換，其他醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)交換。

比如，醫(yī)院跟醫(yī)保局之間的數(shù)據(jù)交換，醫(yī)院可能需要患者在醫(yī)保局的醫(yī)保數(shù)據(jù)來做支付，醫(yī)保局又需要醫(yī)院提供支付相關(guān)的患者病歷、就診信息核查，是一個雙向、實時的數(shù)據(jù)交換。

在這個場景里，醫(yī)院不能對這些數(shù)據(jù)做類似于現(xiàn)在比較流行的脫敏處理的數(shù)據(jù)保護(hù)機(jī)制，但是這些未經(jīng)處理的數(shù)據(jù)又需要經(jīng)過一些非安全網(wǎng)絡(luò)傳輸?shù)结t(yī)保局，所以存在一些在傳輸過程中的風(fēng)險。

第二種情況是醫(yī)院的數(shù)據(jù)要跟其他兄弟醫(yī)院之間做交換，比如病案交換，主要風(fēng)險在于交換的過程非常靈活，可以通過共享服務(wù)器、中間庫，包括通過接口的形式來交換，交換比較靈活，可能會存在過去安全機(jī)制很難進(jìn)行全面保護(hù)的問題。

交換后，數(shù)據(jù)處在完全失控的狀態(tài)，它是不是會被再次交換、二次泄露？沒人可以控制。

場景七，數(shù)據(jù)上報。數(shù)據(jù)交換是雙向的，上報是單向的，上報主要是把數(shù)據(jù)上報給衛(wèi)健委、疾病控制中心等衛(wèi)生監(jiān)管機(jī)構(gòu)。當(dāng)患者在醫(yī)院就診時，被確診為一些惡性的傳染病之類，需要在第一時間把數(shù)據(jù)安全相關(guān)的要求上傳到疾控中心。

一個真實的慘案是，患者在醫(yī)院就診后被確診為非常嚴(yán)重的傳染病，不知道在哪個環(huán)節(jié)發(fā)生了數(shù)據(jù)泄露，導(dǎo)致了他所在的公司知道了他的病情，最終他失業(yè)了，最后他把疾控跟醫(yī)院兩端都告上了法庭。

所以，醫(yī)院需要對流出的數(shù)據(jù)進(jìn)行追溯，在數(shù)據(jù)泄露之后就可以追責(zé)。

場景八是遠(yuǎn)程醫(yī)療，比如遠(yuǎn)程會診，近端醫(yī)院向遠(yuǎn)端醫(yī)院申請專家會診成功后，需要上傳患者的檢查報告，包括一些既往病史等很多個人健康信息，這些信息一般通過非安全網(wǎng)絡(luò)傳輸，而且遠(yuǎn)端醫(yī)院的安全環(huán)境是不可控的，是不是會發(fā)生一些非授權(quán)用戶訪問，或者是假冒用戶訪問，無法控制。

場景九是運維，大部分醫(yī)院數(shù)據(jù)庫由專門的維保廠商來進(jìn)行維保和服務(wù)，在數(shù)據(jù)庫出故障以后，醫(yī)院第一時間打電話給服務(wù)商。

作為運維服務(wù)商，他們首先會嘗試遠(yuǎn)端解決，如果解決不了再派工程師到現(xiàn)場。在遠(yuǎn)程運維的場景中，服務(wù)商通過非安全網(wǎng)絡(luò)訪問醫(yī)院的敏感數(shù)據(jù)，風(fēng)險非常大，比如遠(yuǎn)程連接工具層漏洞導(dǎo)致客戶端可能被竊取數(shù)據(jù)。

運維廠商工程師具有比較大的數(shù)據(jù)庫訪問權(quán)限，但醫(yī)院很難控制這些工程師訪問過多的數(shù)據(jù)，或是未經(jīng)授權(quán)的數(shù)據(jù)。因為權(quán)限比較大，他也有能力竊取醫(yī)院的數(shù)據(jù)，比如把醫(yī)生、患者的敏感數(shù)據(jù)直接下載到數(shù)據(jù)庫，數(shù)據(jù)可能被售賣和二次泄露。

場景十是增值服務(wù)，增值服務(wù)是數(shù)據(jù)共享的需求，醫(yī)院有很多重要數(shù)據(jù)，一些藥企商保公司希望拿醫(yī)院的數(shù)據(jù)做增值應(yīng)用，比如藥企在一些藥品上市之后，希望拿到醫(yī)院臨床的患者的病歷做藥品評價，但是在目前醫(yī)藥行業(yè)面臨的高監(jiān)管壓力下，不能隨便把這些數(shù)據(jù)共享給他們，一旦共享以后發(fā)生了數(shù)據(jù)泄露，醫(yī)院作為源頭數(shù)據(jù)提供者，責(zé)任是不可逃避的。

雷鋒網(wǎng)注：上述 10 條安全提示來自美創(chuàng)公司專家張建林。

參考來源：A billion medical images are exposed online, as doctors ignore warnings.

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。