今天�,大洋彼岸傳來(lái)消息:美國(guó)第二大的醫(yī)療保險(xiǎn)服務(wù)商Anthem公司信息系統(tǒng)被黑客攻破,近8000萬(wàn)員工和客戶(hù)資料被盜�。
該公司總裁兼CEO司偉德官方發(fā)布一份聲明:黑客入侵公司信息系統(tǒng),獲得了公司員工和客戶(hù)的個(gè)人資料��,這當(dāng)中包括姓名�����、生日����、醫(yī)保ID號(hào)����、社會(huì)保險(xiǎn)號(hào)�、住宅地址、電子郵箱����,雇傭情況,以及收入數(shù)據(jù)��。
雖然Anthem公司稱(chēng)��,客戶(hù)的信用卡號(hào)碼�、病歷等數(shù)據(jù)并未丟失�。不過(guò)在美國(guó),病例失竊影響非常之大:“它就像一個(gè)無(wú)限制使用的信用卡���,你可以‘免費(fèi)’獲得昂貴的服務(wù)或者藥物�。大家對(duì)信用卡和銀行賬戶(hù)都比較熟知����,但是對(duì)病歷卻不怎么在乎���。其實(shí)病歷失竊可能會(huì)帶來(lái)更為嚴(yán)重的后果?��!?/p>
病例失竊還意味著犯罪分子可以利用這些數(shù)據(jù)破壞受害者醫(yī)療記錄:試想一下�����,一個(gè)不知自己醫(yī)保ID號(hào)被盜的受害者突發(fā)疾病����,需要緊急切除膽囊��,而病人病歷上寫(xiě)的卻是膽囊已于去年切除掉了�����。問(wèn)題來(lái)了����,是醫(yī)生誤診還是有其他的情況呢?
安華金和分析���,醫(yī)療數(shù)據(jù)信息的泄密主要來(lái)源于三個(gè)渠道:
1�����、設(shè)備的丟失:存儲(chǔ)設(shè)備����、備份磁帶、過(guò)期硬盤(pán)等中儲(chǔ)存著數(shù)據(jù)庫(kù)文件���,這些設(shè)備的丟失會(huì)帶來(lái)客戶(hù)信息的泄露�;
2����、外部入侵者的信息獲取:互聯(lián)網(wǎng)的接通、無(wú)線(xiàn)網(wǎng)絡(luò)使用�����,使外部入侵者更容易進(jìn)入到企業(yè)內(nèi)部的網(wǎng)絡(luò)中��;外部人員入侵���,拷貝走數(shù)據(jù)庫(kù)文件,竊取客戶(hù)信息��。
3、內(nèi)部人員的泄漏:內(nèi)部的網(wǎng)絡(luò)管理人員���、數(shù)據(jù)庫(kù)管理員�、第三方的系統(tǒng)開(kāi)發(fā)和維護(hù)人員都可以較為容易地接觸到數(shù)據(jù)庫(kù)中的核心數(shù)據(jù)��,這些人員所擁有的數(shù)據(jù)庫(kù)高權(quán)限���,是現(xiàn)有數(shù)據(jù)庫(kù)系統(tǒng)所賦予的特權(quán)���,也成為客戶(hù)信息泄漏的重要威脅。
關(guān)于如何最大化避免自己的醫(yī)療信息被泄露���,針對(duì)個(gè)人��,建議如下:
1����、認(rèn)真核對(duì)每一項(xiàng)福利解說(shuō)聲明(病人接受治療后保險(xiǎn)公司都會(huì)發(fā)送聲明)
2��、認(rèn)真核對(duì)信用報(bào)告��,如發(fā)現(xiàn)可以的賬單要及時(shí)向保險(xiǎn)公司核對(duì)
3、就醫(yī)資料在廢棄時(shí)要撕成碎片
4��、如果醫(yī)療卡丟失要及時(shí)告知相關(guān)部門(mén)
5�����、不要隨意把自己的醫(yī)保號(hào)告訴別人
目前�,Anthem已經(jīng)邀請(qǐng)了美國(guó)聯(lián)邦調(diào)查局協(xié)助調(diào)查,但奇怪的是他們卻一直拒絕聯(lián)邦監(jiān)察機(jī)構(gòu)對(duì)其健康保險(xiǎn)系統(tǒng)進(jìn)行漏洞掃描�。這種態(tài)度顯然是不正確的,企業(yè)注意自身安全��,才能更好的確?��?蛻?hù)信息安全�。
對(duì)于醫(yī)療保險(xiǎn)公司而言��,安華金和作為數(shù)據(jù)庫(kù)領(lǐng)域的安全專(zhuān)家����,建議從以下手段有效防范醫(yī)療數(shù)據(jù)泄密:
1��、加強(qiáng)對(duì)系統(tǒng)漏洞的檢查:對(duì)應(yīng)用系統(tǒng)���、主機(jī)�、數(shù)據(jù)庫(kù)系統(tǒng)等,使用專(zhuān)業(yè)的漏洞檢查工具進(jìn)行掃描�����,對(duì)發(fā)現(xiàn)的安全問(wèn)題進(jìn)行提前整改���;避免出現(xiàn)未進(jìn)行的補(bǔ)丁升級(jí)���、便面弱口令、避免低的安全策略配置�。
2、從根源解決患者信息保密���,從數(shù)據(jù)庫(kù)級(jí)別進(jìn)行防控��,從根源上徹底控制客戶(hù)數(shù)據(jù)信息的泄露���,將患者信息、電子病歷����、診斷信息中的社會(huì)保險(xiǎn)號(hào)���、住宅地址及收入數(shù)據(jù)等關(guān)鍵項(xiàng)數(shù)據(jù),進(jìn)行加密存儲(chǔ)�����,防止患者隱私信息集中泄露�����、統(tǒng)計(jì)行為批量進(jìn)行����;
3、變事后追查為主動(dòng)防御����,通過(guò)加密技術(shù)技術(shù),將患者信息數(shù)據(jù)與無(wú)關(guān)工作人員進(jìn)行隔離�����,有效防止非法竊取數(shù)據(jù)行為的發(fā)生��;通過(guò)數(shù)據(jù)庫(kù)防火墻技術(shù)�����,將數(shù)據(jù)庫(kù)的攻擊行為和患者信息的批量下載行為進(jìn)行攔截���。
4��、提升高端客戶(hù)和特殊病人的服務(wù)質(zhì)量����,一些高端客戶(hù)��,對(duì)特殊病歷����,對(duì)個(gè)人信息有強(qiáng)烈的隱私保護(hù)需求;通過(guò)提供患者數(shù)據(jù)加密服務(wù)�,能夠提升醫(yī)院的服務(wù)質(zhì)量和形象;
5����、變相互制約為權(quán)責(zé)分明,建立獨(dú)立于數(shù)據(jù)庫(kù)系統(tǒng)的安全權(quán)限體系����,進(jìn)行權(quán)限精細(xì)控制�,使與醫(yī)療行為無(wú)關(guān)的DBA���、網(wǎng)絡(luò)維護(hù)人員不能看到具體的客戶(hù)的健康檔案��、電子病歷等個(gè)人信息���;
6、進(jìn)行數(shù)據(jù)訪(fǎng)問(wèn)行為審計(jì)���,通過(guò)數(shù)據(jù)庫(kù)審計(jì)技術(shù)��,將數(shù)據(jù)的訪(fǎng)問(wèn)行為進(jìn)行記錄和存檔�,在發(fā)生安全事件時(shí)���,做到快速定位��。
產(chǎn)品咨詢(xún):4000 258 365 
