美8000万医疗用户数据泄露背后，谁动了患者的奶酪

近期，大洋彼岸传来消息：美国第二大的医疗保险服务商Anthem公司信息系统被黑客攻破，近8000万员工和客户资料被盗。

该公司总裁兼CEO司伟德官方发布一份声明：黑客入侵公司信息系统，获得了公司员工和客户的个人资料，这当中包括姓名、生日、医保ID号、社会保险号、住宅地址、电子邮箱，雇佣情况，以及收入数据。

虽然Anthem公司称，客户的信用卡号码、病历等数据并未丢失。不过在美国，病例失窃影响非常之大：“它就像一个无限制使用的信用卡，你可以‘免费’获得昂贵的服务或者药物。大家对信用卡和银行账户都比较熟知，但是对病历却不怎么在乎。其实病历失窃可能会带来更为严重的后果。”

病例失窃还意味着犯罪分子可以利用这些数据破坏受害者医疗记录：试想一下，一个不知自己医保ID号被盗的受害者突发疾病，需要紧急切除胆囊，而病人病历上写的却是胆囊已于去年切除掉了。问题来了，是医生误诊还是有其他的情况呢?

安华金和分析，医疗数据信息的泄密主要来源于三个渠道：

1、设备的丢失：存储设备、备份磁带、过期硬盘等中储存着数据库文件，这些设备的丢失会带来客户信息的泄露;

2、外部入侵者的信息获取：互联网的接通、无线网络使用，使外部入侵者更容易进入到企业内部的网络中;外部人员入侵，拷贝走数据库文件，窃取客户信息。

3、内部人员的泄漏：内部的网络管理人员、数据库管理员、第三方的系统开发和维护人员都可以较为容易地接触到数据库中的核心数据，这些人员所拥有的数据库高权限，是现有数据库系统所赋予的特权，也成为客户信息泄漏的重要威胁。

关于如何最大化避免自己的医疗信息被泄露，针对个人，建议如下：

1、认真核对每一项福利解说声明(病人接受治疗后保险公司都会发送声明)

2、认真核对信用报告，如发现可以的账单要及时向保险公司核对

3、就医资料在废弃时要撕成碎片

4、如果医疗卡丢失要及时告知相关部门

5、不要随意把自己的医保号告诉别人

目前，Anthem已经邀请了美国联邦调查局协助调查，但奇怪的是他们却一直拒绝联邦监察机构对其健康保险系统进行漏洞扫描。这种态度显然是不正确的，企业注意自身安全，才能更好的确保客户信息安全。

对于医疗保险公司而言，安华金和作为数据库领域的安全专家，建议从以下手段有效防范医疗数据泄密：

1、加强对系统漏洞的检查：对应用系统、主机、数据库系统等，使用专业的漏洞检查工具进行扫描，对发现的安全问题进行提前整改;避免出现未进行的补丁升级、便面弱口令、避免低的安全策略配置。

2、从根源解决患者信息保密，从数据库级别进行防控，从根源上彻底控制客户数据信息的泄露，将患者信息、电子病历、诊断信息中的社会保险号、住宅地址及收入数据等关键项数据，进行加密存储，防止患者隐私信息集中泄露、统计行为批量进行;

3、变事后追查为主动防御，通过加密技术，将患者信息数据与无关工作人员进行隔离，有效防止非法窃取数据行为的发生;通过数据库防火墙技术，将数据库的攻击行为和患者信息的批量下载行为进行拦截。

4、提升高端客户和特殊病人的服务质量，一些高端客户，对特殊病历，对个人信息有强烈的隐私保护需求;通过提供患者数据加密服务，能够提升医院的服务质量和形象;

5、变相互制约为权责分明，建立独立于数据库系统的安全权限体系，进行权限精细控制，使与医疗行为无关的DBA、网络维护人员不能看到具体的客户的健康档案、电子病历等个人信息;

6、进行数据访问行为审计，通过数据库审计技术，将数据的访问行为进行记录和存档，在发生安全事件时，做到快速定位。

作者：佚名

来源：51CTO