数十亿医学图像泄露互联网,波及美国最大军事医院
(原标题:数十亿张医学图像暴露在互联网,波及美国最大军事医院。。。)
作为一名土生土长的南方人,初次到北方的澡堂子时,如此坦诚相见,雷锋网编辑有点不习惯。
不过,有一种“坦诚相见”的场景你可能更没想到过。你刚进医院拍了一张 CT 。嘿,影像副本可能流到了黑客手里。
每天,数以百万计包含病人个人健康信息的新医学图像都在互联网上流传。
医院打开的“门”
倒也不是别人费了九牛二虎之力去偷的,可怕的是,这些医院、医疗办公室和成像中心的“门”并没有关好。它们正在使用不安全的存储系统,只要有互联网连接,任何人都可以访问超过10亿张病人的医学图像。
虽然,现在大约一半被暴露于互联网的图像,包括 x 射线、超声波和 CT 扫描的图片都来自正在和伊朗闹得不可开交的美国,但这并不代表中国的医院能置身事外。
德国安全公司 Greenbone Networks 在9月份发现了2400万份(总计达7.2亿多张)医学图像,两个月后,暴露的服务器数量增加了一半以上,达到了3500万份,暴露了11.9亿份扫描结果。
研究人员拿着数据提醒医院注意这些事儿,没想到完全没有引起它们的重视。暴露的检查结果只会越来越多,医院不着急,这家安全公司有点焦虑。
泄露点在于源头――医院、医生办公室和放射中心用来存储病人医疗图像的服务器上有弱点。
DICOM (Digital Imaging and Communications in Medicine,即医学数字成像和通信)是医学图像和相关信息的国际标准。它定义了质量能满足临床需要的可用于数据交换的医学图像格式,被广泛应用于放射医疗,心血管成像以及放射诊疗诊断设备,是部署最为广泛的医疗信息标准之一。
根据这个标准,医疗从业者更容易将医学图像存储在一个文件中,并与其他医生分享,并且可以使用任何免费的应用程序查看。 DICOM 的图像通常存储在一个图像存档和通信系统中,即 PACS 服务器,便于存储和共享。 但是,许多医院直接将 PACS 服务器连接到互联网上,无需密码即可查看。
你要说了,这些医院影像头像又看不出实际上是谁,没有暴露隐私。其实不是的,这些未受保护的服务器不仅暴露医疗成像,而且暴露了病人的个人健康信息。
许多扫描图像不仅有 DICOM 文件的封面,还有病人的姓名、出生日期和有关他们诊断的敏感信息,甚至还有他们的社保 ID。
比如,一个真实案例是,一位患有慢性病的患者在加利福尼亚的一家医院进行了长达30年的定期扫描,他的医学图像一经暴露,30年的健康状况一览无余,而美国最大的军事医院之一一个未受保护的服务器也暴露了军事人员的名字和医学图像。
即使病人只有一张或几张医学图像,暴露的数据也可以用来推断一个人的健康状况,包括罹患的疾病和受到的伤害。
这意味着什么,你懂的。
被指望的法律
好心好意的 Greenbone 为了确保服务器的安全,上个月联系了一百多个组织,询问他们服务器的公开情况,一些小组织赶紧自我检查,曝光图像总数有所下降,但是大机构“死猪不怕开水烫”。当这家安全公司联系10家最大的医疗机构时,没有得到任何回应,而这些机构“贡献”了大约五分之一被曝光的医学图像。
Greenbone 私下跟媒体机构透露了这些机构的名字,以便媒体撰文时查验,其中包括一家在纽约拥有三家医院的医疗机构,一家在佛罗里达州拥有十几家诊所的放射科公司,以及一家位于加州的大型医院。
也就点到为止了。
制定并维护 DICOM 标准的标准机构设定的安全特性在很大程度上被设备制造商忽视,但锅还是得医院背,主要还是因为医院没有适当配置和保护服务器。
去年,美国政府对一家总部位于田纳西州的医学成像公司处以300万美元的罚款,原因是该公司无意中泄露了一台包含30万患者数据的服务器。
中国的网安法也在掣肘医院保护数据。
雷锋网(公众号:雷锋网)编辑曾参加过一个数据安全公司主办的论坛,其中一个分论坛专门讨论医疗行业的数据保护。
某医院计算中心的主任 Q 曾感慨:“我们的影像数据超过500T,终端无纸化越多,说明医疗数据越多,越多的数据给我们造成的困境是‘内忧外患’,内忧是各类大牌专家和领导找我要数据,我也不给。省各类的网监来查我们,说我这里不符合要求,那里不符合要求,我们回去就整改,到后来我们把所有事都干了,把所有的责任都担了,把所有人都得罪了。因为一旦出事,我就会被网监叫去谈话,做笔录,按指纹,最后抓的人会是我,法律面前人人平等,院长都保不了我。”
讲真,美国人民也没什么好办法,只能把希望寄托在法律上。美国健康保险携带和责任法案 ( HIPAA )制定了“安全规则” ,其中包括技术和物理保护措施,旨在通过确保数据的私密性和安全性来保护电子个人健康信息,法律还要求医疗服务提供者对与之相关的任何安全漏洞负责,触犯法律会受到严厉的惩罚。
十条安全提示
除了法律是悬在上头的一把大刀,也许下面十个容易泄露信息的场景提示可以帮助医院。
第一,开发测试在医院数据利用的过程中是常见的需求,随着医院信息化建设的深入,医院有很多业务更新及业务上线的需求,需要在新业务上线时做测试。
现在测试机构一般直接拿医疗数据库面的真实数据进行测试,如果医院没有测试环境,这些数据甚至会被带回测试人员的公司内部测试。后来,为了保护数据安全,一些医院会采取一些脚本的方式,或者是手工的方式来制造一些测试数来进行脱敏,但通过脚本、手工等方式做测试数据有两个问题。
一是可能导致一些数据被漏掉,二是数据脱敏前、脱敏后的关系保持不了,对测试的效果和效率影响很大。
第二个场景是教育培训。
很多的医院非常重视教育培训的工作,一般会建立专门的教育培训平台。这个教育培训平台最重要的资料就是备案的素材,很多医院的医生会基于一些真实病案的分析与讨论,培养自己的临床思维。如果这个平台具有极高的隐私属性的数据(如妇科和精神科的案例)没有经过处理,直接流动到教育培训平台,一旦数据泄露,对患者可能会造成非常大的影响。
平台建立成功以后,它的用户既有医院内部的医生,还有合作高校的学生跟老师。校园网的安全性一般比较差,如果从一个比较差的网络环境访问医院的敏感数据,本身就存在风险。
比如,从远端访问医院的人用户是不是盗用的身份,我们无法确定。当数据需要流动到医院的边界之外,安全措施已经失效的情况下,唯一能依靠的就是对身份的持续验证。
第三个场景是运营管理中心,它其实是一个大数据平台,目的是为医院的运营决策做支持。
运营管理中心汇集了医院很多的敏感数据,比如医院的财务数据、运营收益数据,还有医生或是患者的隐私数据,这些数据价值非常高,容易引起一些不法分子的关注,而且这个平台也会存在数据利用方式的问题,比如通过接口的形式访问,也可以通过消息队列的形式进行数据的订阅、下发甚至是同步,甚至可以通过工具访问,这些方式非常灵活,可能就导致传统的安全机制很难进行全面而有效的防御。
平台本身也可能会存在漏洞,一些没有经过处理的大数据流入到运营管理中心就可能存在被泄露的风险。
第四个场景是临床数据中心,也就是 CDR。
CDR 也是一个大数据平台,但它跟数据管理平台不同,CDR 是以临床支持为中心的平台,有病案数据,比如可能会有一些患有恶性肿瘤或是传染病的患者的病历,或是一些社会重要人士、公众人物的病案,这个平台中的数据非常敏感。
它同样也面临数据利用方式灵活的问题,导致传统安全机制很难落地。同时,CDR 也需要为医院所有的医生提供服务,在权限管理上非常复杂。
比如,CDR 里的数据还可能来自兄弟医院,即通过病案交换来的数据,A 医院的医生需要访问患者在 B 医院的数据,这个权限管理就更加复杂。
第五个场景是医院数据会流向的终端,比如医生工作站、护士工作站或是医院常见的大量手持移动终端,数据流动非常快。
在医院就诊时,医生的诊室里有很多人,包括医生、助理、患者、家属、其他患者及其家属,这么多人挤在同一个空间里,显示在医生终端上的信息就很可能在有意无意的过程中被看到,甚至被拍照。
这与医院系统设计的思路有关,比如核心系统设计以效率为目标,每个操作界面都有患者的隐私数据,包括个人信息,但提高了患者隐私数据泄露的概率。
上面五个场景是数据在医院内部做流动,可以通过内部现在已有的安全机制、安全措施甚至管理技术的手段来做管控,相对是可控的。但下面这些场景是数据可能会流动到医院的边界之外,完全处于失控的状态,风险更大。
场景六,数据交换。以交换的机构不同分类,分为跟卫生管理机构之间的数据交换,其他医疗机构之间的数据交换。
比如,医院跟医保局之间的数据交换,医院可能需要患者在医保局的医保数据来做支付,医保局又需要医院提供支付相关的患者病历、就诊信息核查,是一个双向、实时的数据交换。
在这个场景里,医院不能对这些数据做类似于现在比较流行的脱敏处理的数据保护机制,但是这些未经处理的数据又需要经过一些非安全网络传输到医保局,所以存在一些在传输过程中的风险。
第二种情况是医院的数据要跟其他兄弟医院之间做交换,比如病案交换,主要风险在于交换的过程非常灵活,可以通过共享服务器、中间库,包括通过接口的形式来交换,交换比较灵活,可能会存在过去安全机制很难进行全面保护的问题。
交换后,数据处在完全失控的状态,它是不是会被再次交换、二次泄露?没人可以控制。
场景七,数据上报。数据交换是双向的,上报是单向的,上报主要是把数据上报给卫健委、疾病控制中心等卫生监管机构。当患者在医院就诊时,被确诊为一些恶性的传染病之类,需要在第一时间把数据安全相关的要求上传到疾控中心。
一个真实的惨案是,患者在医院就诊后被确诊为非常严重的传染病,不知道在哪个环节发生了数据泄露,导致了他所在的公司知道了他的病情,最终他失业了,最后他把疾控跟医院两端都告上了法庭。
所以,医院需要对流出的数据进行追溯,在数据泄露之后就可以追责。
场景八是远程医疗,比如远程会诊,近端医院向远端医院申请专家会诊成功后,需要上传患者的检查报告,包括一些既往病史等很多个人健康信息,这些信息一般通过非安全网络传输,而且远端医院的安全环境是不可控的,是不是会发生一些非授权用户访问,或者是假冒用户访问,无法控制。
场景九是运维,大部分医院数据库由专门的维保厂商来进行维保和服务,在数据库出故障以后,医院第一时间打电话给服务商。
作为运维服务商,他们首先会尝试远端解决,如果解决不了再派工程师到现场。在远程运维的场景中,服务商通过非安全网络访问医院的敏感数据,风险非常大,比如远程连接工具层漏洞导致客户端可能被窃取数据。
运维厂商工程师具有比较大的数据库访问权限,但医院很难控制这些工程师访问过多的数据,或是未经授权的数据。因为权限比较大,他也有能力窃取医院的数据,比如把医生、患者的敏感数据直接下载到数据库,数据可能被售卖和二次泄露。
场景十是增值服务,增值服务是数据共享的需求,医院有很多重要数据,一些药企商保公司希望拿医院的数据做增值应用,比如药企在一些药品上市之后,希望拿到医院临床的患者的病历做药品评价,但是在目前医药行业面临的高监管压力下,不能随便把这些数据共享给他们,一旦共享以后发生了数据泄露,医院作为源头数据提供者,责任是不可逃避的。
注:上述10条安全提示来自美创公司专家张建林。