近期，大洋彼岸傳來消息：美國(guó)第二大的醫(yī)療保險(xiǎn)服務(wù)商Anthem公司信息系統(tǒng)被黑客攻破，近8000萬員工和客戶資料被盜。

該公司總裁兼CEO司偉德官方發(fā)布一份聲明：黑客入侵公司信息系統(tǒng)，獲得了公司員工和客戶的個(gè)人資料，這當(dāng)中包括姓名、生日、醫(yī)保ID號(hào)、社會(huì)保險(xiǎn)號(hào)、住宅地址、電子郵箱，雇傭情況，以及收入數(shù)據(jù)。

[[129153]]

雖然Anthem公司稱，客戶的信用卡號(hào)碼、病歷等數(shù)據(jù)并未丟失。不過在美國(guó)，病例失竊影響非常之大：“它就像一個(gè)無限制使用的信用卡，你可以‘免費(fèi)’獲得昂貴的服務(wù)或者藥物。大家對(duì)信用卡和銀行賬戶都比較熟知，但是對(duì)病歷卻不怎么在乎。其實(shí)病歷失竊可能會(huì)帶來更為嚴(yán)重的后果。”

病例失竊還意味著犯罪分子可以利用這些數(shù)據(jù)破壞受害者醫(yī)療記錄：試想一下，一個(gè)不知自己醫(yī)保ID號(hào)被盜的受害者突發(fā)疾病，需要緊急切除膽囊，而病人病歷上寫的卻是膽囊已于去年切除掉了。問題來了，是醫(yī)生誤診還是有其他的情況呢?

安華金和分析，醫(yī)療數(shù)據(jù)信息的泄密主要來源于三個(gè)渠道：

1、設(shè)備的丟失：存儲(chǔ)設(shè)備、備份磁帶、過期硬盤等中儲(chǔ)存著數(shù)據(jù)庫文件，這些設(shè)備的丟失會(huì)帶來客戶信息的泄露;

2、外部入侵者的信息獲?。夯ヂ?lián)網(wǎng)的接通、無線網(wǎng)絡(luò)使用，使外部入侵者更容易進(jìn)入到企業(yè)內(nèi)部的網(wǎng)絡(luò)中;外部人員入侵，拷貝走數(shù)據(jù)庫文件，竊取客戶信息。

3、內(nèi)部人員的泄漏：內(nèi)部的網(wǎng)絡(luò)管理人員、數(shù)據(jù)庫管理員、第三方的系統(tǒng)開發(fā)和維護(hù)人員都可以較為容易地接觸到數(shù)據(jù)庫中的核心數(shù)據(jù)，這些人員所擁有的數(shù)據(jù)庫高權(quán)限，是現(xiàn)有數(shù)據(jù)庫系統(tǒng)所賦予的特權(quán)，也成為客戶信息泄漏的重要威脅。

關(guān)于如何最大化避免自己的醫(yī)療信息被泄露，針對(duì)個(gè)人，建議如下：

1、認(rèn)真核對(duì)每一項(xiàng)福利解說聲明(病人接受治療后保險(xiǎn)公司都會(huì)發(fā)送聲明)

2、認(rèn)真核對(duì)信用報(bào)告，如發(fā)現(xiàn)可以的賬單要及時(shí)向保險(xiǎn)公司核對(duì)

3、就醫(yī)資料在廢棄時(shí)要撕成碎片

4、如果醫(yī)療卡丟失要及時(shí)告知相關(guān)部門

5、不要隨意把自己的醫(yī)保號(hào)告訴別人

目前，Anthem已經(jīng)邀請(qǐng)了美國(guó)聯(lián)邦調(diào)查局協(xié)助調(diào)查，但奇怪的是他們卻一直拒絕聯(lián)邦監(jiān)察機(jī)構(gòu)對(duì)其健康保險(xiǎn)系統(tǒng)進(jìn)行漏洞掃描。這種態(tài)度顯然是不正確的，企業(yè)注意自身安全，才能更好的確?？蛻粜畔踩?/p>

對(duì)于醫(yī)療保險(xiǎn)公司而言，安華金和作為數(shù)據(jù)庫領(lǐng)域的安全專家，建議從以下手段有效防范醫(yī)療數(shù)據(jù)泄密：

1、加強(qiáng)對(duì)系統(tǒng)漏洞的檢查：對(duì)應(yīng)用系統(tǒng)、主機(jī)、數(shù)據(jù)庫系統(tǒng)等，使用專業(yè)的漏洞檢查工具進(jìn)行掃描，對(duì)發(fā)現(xiàn)的安全問題進(jìn)行提前整改;避免出現(xiàn)未進(jìn)行的補(bǔ)丁升級(jí)、便面弱口令、避免低的安全策略配置。

2、從根源解決患者信息保密，從數(shù)據(jù)庫級(jí)別進(jìn)行防控，從根源上徹底控制客戶數(shù)據(jù)信息的泄露，將患者信息、電子病歷、診斷信息中的社會(huì)保險(xiǎn)號(hào)、住宅地址及收入數(shù)據(jù)等關(guān)鍵項(xiàng)數(shù)據(jù)，進(jìn)行加密存儲(chǔ)，防止患者隱私信息集中泄露、統(tǒng)計(jì)行為批量進(jìn)行;

3、變事后追查為主動(dòng)防御，通過加密技術(shù)，將患者信息數(shù)據(jù)與無關(guān)工作人員進(jìn)行隔離，有效防止非法竊取數(shù)據(jù)行為的發(fā)生;通過數(shù)據(jù)庫防火墻技術(shù)，將數(shù)據(jù)庫的攻擊行為和患者信息的批量下載行為進(jìn)行攔截。

4、提升高端客戶和特殊病人的服務(wù)質(zhì)量，一些高端客戶，對(duì)特殊病歷，對(duì)個(gè)人信息有強(qiáng)烈的隱私保護(hù)需求;通過提供患者數(shù)據(jù)加密服務(wù)，能夠提升醫(yī)院的服務(wù)質(zhì)量和形象;

5、變相互制約為權(quán)責(zé)分明，建立獨(dú)立于數(shù)據(jù)庫系統(tǒng)的安全權(quán)限體系，進(jìn)行權(quán)限精細(xì)控制，使與醫(yī)療行為無關(guān)的DBA、網(wǎng)絡(luò)維護(hù)人員不能看到具體的客戶的健康檔案、電子病歷等個(gè)人信息;

6、進(jìn)行數(shù)據(jù)訪問行為審計(jì)，通過數(shù)據(jù)庫審計(jì)技術(shù)，將數(shù)據(jù)的訪問行為進(jìn)行記錄和存檔，在發(fā)生安全事件時(shí)，做到快速定位。