黑客對于醫療數據的興趣愈發濃厚，獲利之道是將信息賣給相關產品銷售商;而醫療機構也在不斷夯實數據安全保護之墻，兩者間的攻擊與反攻擊戰役愈演愈烈。

(資料圖)

《財經》記者 張利 張瑤/文 王小/編輯

近日，《法制日報》刊文《超過7億條公民信息遭泄露，8000余萬條公民信息被販賣》，曝出黑客入侵了某部委的醫療服務信息系統，大量孕檢信息遭到泄露和買賣。

一石激起千層浪。微博上不少用戶擔憂，“說不定就有我。” 醫療數據安全，這個略顯老套的話題再次成為焦點。

在全球范圍內，醫療行業面臨的網絡安全威脅趨于嚴峻。數據分類好、使用價值高、安全保障和風險管理措施較落后等因素，使醫療行業數據成為黑客們鐘愛的攻擊目標。

尤其最近幾年，病歷電子化、醫院上云、遠程問診等在醫療界轟轟烈烈展開，患者信息、病歷等也從紙面轉化為電子版，通過互聯網醫療、遠程問診等新型醫療模式，醫院內網的數據走向公網，于是安全問題接踵而至。

“協和、華西、301等大醫院有很多明星、政要的信息，所以黑客會感興趣。”一位三甲醫院信息科主任對《財經》記者說。

網絡安全公司HEIMDAL發布《2016年中回顧：2016年網絡安全威脅分析報告》，總結了2015年4月到2016年3月全球范圍內的網絡安全事件。其中，醫療行業是勒索軟件在世界范圍內投入最多的行業，占第二季度勒索軟件統計總量的88%。

從防守方來看，無論是醫療機構，還是政府部門，對信息安全益發重視。“曾經一段時間醫院的信息安全做得很差，但過去兩年來已經有很大的改善，現在總體還不錯。”國內網絡安全公司奇虎360副總裁兼首席隱私官譚曉生告訴《財經》記者。

上述信息科主任也表示，如果醫院出現大規模的信息泄漏，第一責任人為院長，第二責任人是信息科主任，這無疑也給醫療機構的信息安全優化提供了動力。

進攻的黑客與防御的醫療機構之間，這場攻擊與反攻擊戰役愈演愈烈。

事發

2017年8月31日，浙江省松陽縣人民法院一審判決，王某輝、陳某亮等7人非法搜索、交換、買賣公民個人信息總計約8000萬條，構成侵犯公民個人信息罪，獲刑三至五年不等。

這是一個專門買賣信息的團伙，其信息來源特別復雜。據本案判決書顯示，2016年2月至3月，王某輝在學習黑客技術時，獲取了大量孕檢類型的公民個人信息，同年7月起，其用名為“哈佛校長”等的QQ號，將這些信息出售。

該案主審法官葉永青告訴《財經》記者，這些孕檢信息來自某部委下屬某婦幼保健醫院的網站數據，輻射范圍遍布全國。

這不是第一次婦產信息被泄露，深圳也發生過同類事件。《南方都市報》去年一篇報道稱，一份數量高達萬條產婦信息的清單再度流入市場，除了電話、出生日期、姓名，還包括居住地址、出生醫院等信息，“出生醫院”更是涵蓋深圳近50家醫院。

基于不同類型信息的重要程度，于今年5月發布的《最高人民法院、最高人民檢察院關于辦理侵犯公民個人信息刑事案件適用法律若干問題的解釋》規定，非法獲取、出售或者提供行蹤軌跡信息、通信內容、征信信息、財產信息五十條以上的，“情節嚴重”的入罪標準為50條。而諸如健康生理信息、交易信息等其他可能影響人身、財產安全的公民個人信息被非法獲取、出售等五百條以上的，構成入罪標準。

“總體來說，進行精準營銷的企業和電信詐騙集團是公民個人信息的兩大主要買家。” 葉永青介紹，在浙江省松陽縣一案中，許多孕檢信息被賣給婦幼保健用品銷售商。

事實上，被銷售給相關企業是危害程度相對較低的行為。大量精準特定的公民個人信息被電信詐騙集團掌握后，圍繞信息編造“話術”“劇本”，并偽冒公檢法等進行精準詐騙，已有大量導致重大經濟損失的案例。

一位長期偵辦相關案件的警方人員向《財經》記者介紹，黑客攻擊和信息持有企業或員工非法提供，是近年來刑事案件中涉案信息的最重要的兩大泄露源頭。由于侵害公民個人信息行為多為上游犯罪，危害往往等到更大經濟損失出現時，才能被發現。

在司法環節，執法和司法機關也在不斷加強對這一類型犯罪的懲處力度。刑法意義上，違反相關規定向他人出售或者提供公民個人信息，情節嚴重的，處三年以下有期徒刑。構成情節特別嚴重，則可處以最高刑為七年的有期徒刑。

防護級別

“醫療行業信息安全保護起步比較晚，目前我們是業內流行什么技術，用什么技術，整體來看，處于中等水平”上述信息科主任對《財經》記者分析，“其實重視以后，技術的問題很好解決。”

隨著患者信息、病歷等數據從紙質版轉化為電子版，互聯網醫療、遠程問診等新型醫療模式，醫院內網的數據隨之走向公網，醫療機構對數據安全性益發看重。“病歷電子化以后，數據安全性問題不重視也要重視，黑客十幾分之內就把數據全抱走了。”上述信息科主任說。

據醫療媒體動脈網統計，截止2016年11月，在國內某知名網絡安全網站上以“醫院”為關鍵詞進行搜索，查找出超過600條漏洞。三分之一的漏洞都在近兩年內為“白帽子”發現并上報。據大多數發現漏洞的“白帽子”反映，造成這些漏洞的技術問題相對較為低級，在其他成熟的互聯網行業已經很難遇到這么低級的錯誤了。

2017年2月17日，浙江大學醫學院附屬第一醫院正式啟動“浙一互聯網醫院”的第二天，知乎上即出現了浙一互聯網醫院泄露患者信息的討論帖。網友“培根Bacon”稱其在注冊、安裝軟件過程中看到了其他患者信息，包括了患者手機號碼;2016年10月，有網友爆料，手機瀏覽器打開臨沂市人民醫院網站顯示卻為色情內容，隨后，網友找到了黑客攻擊的代碼。

啟明星辰副總裁，知乎上黑客/網絡安全/信息安全話題優秀回答者shotgun稱，“真的入侵案例新聞一般不會報，因為記者也不會知道。”

整體看，全國三甲綜合醫院安全水平存在較大差異。上述信息科主任介紹，到目前為止，其所在醫院在信息安全方面的累積投入約100萬元，“三甲醫院投入100萬起步，每年都對針對新情況做升級，每年投入約幾十萬”。

另一方面，在他看來，因為醫療數據大都在內網，安全性可以保證。至于與微信/支付寶合作的互聯網醫院，醫院的原則是誰提供服務誰負責安全，“到目前為止，我們醫院沒有出現大范圍的泄漏”。

一個典型的案例是，浙江省疾控中心委托公司建設網站，后者在網站后臺設置權限，可以下載患者數據，包括了性命、年齡、手機號碼、地區和登記的疾病信息，隨后偷偷倒賣給母嬰用品店、藥店。

經手這一案件的杭州市公安局網警分局一辦案民警對《財經》說：“只要建站公司想這么搞，一般人防不住。”因此，一般醫院更傾向于選擇聲譽好、靠譜的大公司合作