加入收藏 | 设为首页 | 会员中心 | 我要投稿 52刷机网 (https://www.52shuaji.com.cn/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 4G频道 > 数据 > 正文

数十亿医学图像泄露互联网,波及美国最大军事医院

发布时间:2020-01-14 10:35:21 所属栏目:数据 来源:网络整理
导读:数十亿医学图像泄露互联网,波及美国最大军事医院

运营管理中心汇集了医院很多的敏感数据,比如医院的财务数据、运营收益数据,还有医生或是患者的隐私数据,这些数据价值非常高,容易引起一些不法分子的关注,而且这个平台也会存在数据利用方式的问题,比如通过接口的形式访问,也可以通过消息队列的形式进行数据的订阅、下发甚至是同步,甚至可以通过工具访问,这些方式非常灵活,可能就导致传统的安全机制很难进行全面而有效的防御。

平台本身也可能会存在漏洞,一些没有经过处理的大数据流入到运营管理中心就可能存在被泄露的风险。

第四个场景是临床数据中心,也就是 CDR。

CDR 也是一个大数据平台,但它跟数据管理平台不同,CDR 是以临床支持为中心的平台,有病案数据,比如可能会有一些患有恶性肿瘤或是传染病的患者的病历,或是一些社会重要人士、公众人物的病案,这个平台中的数据非常敏感。

它同样也面临数据利用方式灵活的问题,导致传统安全机制很难落地。同时,CDR 也需要为医院所有的医生提供服务,在权限管理上非常复杂。

比如,CDR 里的数据还可能来自兄弟医院,即通过病案交换来的数据,A 医院的医生需要访问患者在 B 医院的数据,这个权限管理就更加复杂。

第五个场景是医院数据会流向的终端,比如医生工作站、护士工作站或是医院常见的大量手持移动终端,数据流动非常快。

在医院就诊时,医生的诊室里有很多人,包括医生、助理、患者、家属、其他患者及其家属,这么多人挤在同一个空间里,显示在医生终端上的信息就很可能在有意无意的过程中被看到,甚至被拍照。

这与医院系统设计的思路有关,比如核心系统设计以效率为目标,每个操作界面都有患者的隐私数据,包括个人信息,但提高了患者隐私数据泄露的概率。

上面五个场景是数据在医院内部做流动,可以通过内部现在已有的安全机制、安全措施甚至管理技术的手段来做管控,相对是可控的。但下面这些场景是数据可能会流动到医院的边界之外,完全处于失控的状态,风险更大。

场景六,数据交换。以交换的机构不同分类,分为跟卫生管理机构之间的数据交换,其他医疗机构之间的数据交换。

比如,医院跟医保局之间的数据交换,医院可能需要患者在医保局的医保数据来做支付,医保局又需要医院提供支付相关的患者病历、就诊信息核查,是一个双向、实时的数据交换。

在这个场景里,医院不能对这些数据做类似于现在比较流行的脱敏处理的数据保护机制,但是这些未经处理的数据又需要经过一些非安全网络传输到医保局,所以存在一些在传输过程中的风险。

第二种情况是医院的数据要跟其他兄弟医院之间做交换,比如病案交换,主要风险在于交换的过程非常灵活,可以通过共享服务器、中间库,包括通过接口的形式来交换,交换比较灵活,可能会存在过去安全机制很难进行全面保护的问题。

交换后,数据处在完全失控的状态,它是不是会被再次交换、二次泄露?没人可以控制。

场景七,数据上报。数据交换是双向的,上报是单向的,上报主要是把数据上报给卫健委、疾病控制中心等卫生监管机构。当患者在医院就诊时,被确诊为一些恶性的传染病之类,需要在第一时间把数据安全相关的要求上传到疾控中心。

一个真实的惨案是,患者在医院就诊后被确诊为非常严重的传染病,不知道在哪个环节发生了数据泄露,导致了他所在的公司知道了他的病情,最终他失业了,最后他把疾控跟医院两端都告上了法庭。

所以,医院需要对流出的数据进行追溯,在数据泄露之后就可以追责。

场景八是远程医疗,比如远程会诊,近端医院向远端医院申请专家会诊成功后,需要上传患者的检查报告,包括一些既往病史等很多个人健康信息,这些信息一般通过非安全网络传输,而且远端医院的安全环境是不可控的,是不是会发生一些非授权用户访问,或者是假冒用户访问,无法控制。

场景九是运维,大部分医院数据库由专门的维保厂商来进行维保和服务,在数据库出故障以后,医院第一时间打电话给服务商。

作为运维服务商,他们首先会尝试远端解决,如果解决不了再派工程师到现场。在远程运维的场景中,服务商通过非安全网络访问医院的敏感数据,风险非常大,比如远程连接工具层漏洞导致客户端可能被窃取数据。

运维厂商工程师具有比较大的数据库访问权限,但医院很难控制这些工程师访问过多的数据,或是未经授权的数据。因为权限比较大,他也有能力窃取医院的数据,比如把医生、患者的敏感数据直接下载到数据库,数据可能被售卖和二次泄露。

场景十是增值服务,增值服务是数据共享的需求,医院有很多重要数据,一些药企商保公司希望拿医院的数据做增值应用,比如药企在一些药品上市之后,希望拿到医院临床的患者的病历做药品评价,但是在目前医药行业面临的高监管压力下,不能随便把这些数据共享给他们,一旦共享以后发生了数据泄露,医院作为源头数据提供者,责任是不可逃避的。

注:上述10条安全提示来自美创公司专家张建林。

(编辑:52刷机网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
相关内容
    推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

        Copygight © 2008-2022 https://www.52shuaji.com.cn/ All Rights Reserved. 52刷机网