数十亿医学图像泄露互联网，波及美国最大军事医院

不过，有一种“坦诚相见”的场景你可能更没想到过。你刚进医院拍了一张 CT 。嘿，影像副本可能流到了黑客手里。

每天，数以百万计包含病人个人健康信息的新医学图像都在互联网上流传。

医院打开的“门”

倒也不是别人费了九牛二虎之力去偷的，可怕的是，这些医院、医疗办公室和成像中心的“门”并没有关好。它们正在使用不安全的存储系统，只要有互联网连接，任何人都可以访问超过10亿张病人的医学图像。

虽然，现在大约一半被暴露于互联网的图像，包括 x 射线、超声波和 CT 扫描的图片都来自正在和伊朗闹得不可开交的美国，但这并不代表中国的医院能置身事外。

德国安全公司 Greenbone Networks 在9月份发现了2400万份（总计达7.2亿多张）医学图像，两个月后，暴露的服务器数量增加了一半以上，达到了3500万份，暴露了11.9亿份扫描结果。

研究人员拿着数据提醒医院注意这些事儿，没想到完全没有引起它们的重视。暴露的检查结果只会越来越多，医院不着急，这家安全公司有点焦虑。

泄露点在于源头——医院、医生办公室和放射中心用来存储病人医疗图像的服务器上有弱点。

DICOM （Digital Imaging and Communications in Medicine，即医学数字成像和通信）是医学图像和相关信息的国际标准。它定义了质量能满足临床需要的可用于数据交换的医学图像格式，被广泛应用于放射医疗，心血管成像以及放射诊疗诊断设备，是部署最为广泛的医疗信息标准之一。

根据这个标准，医疗从业者更容易将医学图像存储在一个文件中，并与其他医生分享，并且可以使用任何免费的应用程序查看。 DICOM 的图像通常存储在一个图像存档和通信系统中，即 PACS 服务器，便于存储和共享。 但是，许多医院直接将 PACS 服务器连接到互联网上，无需密码即可查看。

你要说了，这些医院影像头像又看不出实际上是谁，没有暴露隐私。其实不是的，这些未受保护的服务器不仅暴露医疗成像，而且暴露了病人的个人健康信息。

许多扫描图像不仅有 DICOM 文件的封面，还有病人的姓名、出生日期和有关他们诊断的敏感信息，甚至还有他们的社保 ID。

比如，一个真实案例是，一位患有慢性病的患者在加利福尼亚的一家医院进行了长达30年的定期扫描，他的医学图像一经暴露，30年的健康状况一览无余，而美国最大的军事医院之一一个未受保护的服务器也暴露了军事人员的名字和医学图像。

即使病人只有一张或几张医学图像，暴露的数据也可以用来推断一个人的健康状况，包括罹患的疾病和受到的伤害。

这意味着什么，你懂的。

被指望的法律

好心好意的 Greenbone 为了确保服务器的安全，上个月联系了一百多个组织，询问他们服务器的公开情况，一些小组织赶紧自我检查，曝光图像总数有所下降，但是大机构“死猪不怕开水烫”。当这家安全公司联系10家最大的医疗机构时，没有得到任何回应，而这些机构“贡献”了大约五分之一被曝光的医学图像。

Greenbone 私下跟媒体机构透露了这些机构的名字，以便媒体撰文时查验，其中包括一家在纽约拥有三家医院的医疗机构，一家在佛罗里达州拥有十几家诊所的放射科公司，以及一家位于加州的大型医院。

也就点到为止了。

制定并维护 DICOM 标准的标准机构设定的安全特性在很大程度上被设备制造商忽视，但锅还是得医院背，主要还是因为医院没有适当配置和保护服务器。

去年，美国政府对一家总部位于田纳西州的医学成像公司处以300万美元的罚款，原因是该公司无意中泄露了一台包含30万患者数据的服务器。

中国的网安法也在掣肘医院保护数据。

雷锋网(公众号：雷锋网)编辑曾参加过一个数据安全公司主办的论坛，其中一个分论坛专门讨论医疗行业的数据保护。

某医院计算中心的主任 Q 曾感慨：“我们的影像数据超过500T，终端无纸化越多，说明医疗数据越多，越多的数据给我们造成的困境是‘内忧外患’，内忧是各类大牌专家和领导找我要数据，我也不给。省各类的网监来查我们，说我这里不符合要求，那里不符合要求，我们回去就整改，到后来我们把所有事都干了，把所有的责任都担了，把所有人都得罪了。因为一旦出事，我就会被网监叫去谈话，做笔录，按指纹，最后抓的人会是我，法律面前人人平等，院长都保不了我。”

讲真，美国人民也没什么好办法，只能把希望寄托在法律上。美国健康保险携带和责任法案 ( HIPAA )制定了“安全规则” ，其中包括技术和物理保护措施，旨在通过确保数据的私密性和安全性来保护电子个人健康信息，法律还要求医疗服务提供者对与之相关的任何安全漏洞负责，触犯法律会受到严厉的惩罚。

十条安全提示

除了法律是悬在上头的一把大刀，也许下面十个容易泄露信息的场景提示可以帮助医院。

第一，开发测试在医院数据利用的过程中是常见的需求，随着医院信息化建设的深入，医院有很多业务更新及业务上线的需求，需要在新业务上线时做测试。

现在测试机构一般直接拿医疗数据库面的真实数据进行测试，如果医院没有测试环境，这些数据甚至会被带回测试人员的公司内部测试。后来，为了保护数据安全，一些医院会采取一些脚本的方式，或者是手工的方式来制造一些测试数来进行脱敏，但通过脚本、手工等方式做测试数据有两个问题。

一是可能导致一些数据被漏掉，二是数据脱敏前、脱敏后的关系保持不了，对测试的效果和效率影响很大。

第二个场景是教育培训。

很多的医院非常重视教育培训的工作，一般会建立专门的教育培训平台。这个教育培训平台最重要的资料就是备案的素材，很多医院的医生会基于一些真实病案的分析与讨论，培养自己的临床思维。如果这个平台具有极高的隐私属性的数据（如妇科和精神科的案例）没有经过处理，直接流动到教育培训平台，一旦数据泄露，对患者可能会造成非常大的影响。

平台建立成功以后，它的用户既有医院内部的医生，还有合作高校的学生跟老师。校园网的安全性一般比较差，如果从一个比较差的网络环境访问医院的敏感数据，本身就存在风险。

比如，从远端访问医院的人用户是不是盗用的身份，我们无法确定。当数据需要流动到医院的边界之外，安全措施已经失效的情况下，唯一能依靠的就是对身份的持续验证。

第三个场景是运营管理中心，它其实是一个大数据平台，目的是为医院的运营决策做支持。

（编辑：52刷机网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!