技术分享
医疗数据泄露事故频发!如何从第一道防线入手保障数据安全?
上传时间:2023-10-13 浏览次数:1619

近年来,“互联网+医疗”、“智慧医疗”强势进入医疗行业的各个环节,大量信息化业务系统逐渐渗透到医疗领域的各个环节,在医院存储、调用患者信息越来越方便的同时,也为医疗系统带来了一系列新的数据安全方面的威胁与风险:

 

某疾控中心工作人员利用工作便利,窃取任职单位每月更新的全市新生婴儿信息并转卖给婴幼儿保健品经营企业,非法获取新生婴儿信息共计20余万条。当地人民法院对参与窃取、出售、收买的8名被告人分别判处有期徒刑七个月至两年三个月不等,罚金2000元至5000元不等。

 

广西一医护人员利用在当地妇幼保健院工作的便利,非法下载新生儿和产妇的个人信息,总量达8.9万多条,并将这些信息“转卖”以非法收取“好处费”5.64万元,该医护人员和商业经营者皆依法被追究刑事责任。

 

杭州某科技公司在承接某疾病预防控制部门网站信息化建设时,从部门网站上非法下载接种疫苗儿童及其家长个人信息并贩卖获利。最终,杭州警方成功侦破该案,抓获嫌疑人39名,查获非法获取的公民个人信息370万余条。

 

 

医疗数据关系着亿万公民的个人隐私,也关系着社会运行的安全与稳定。而以上这些频繁曝光的医疗数据安全事件则向我们证明了——医疗数据正面临着价值与风险并存的严峻现状。

 

众所周知,在网络安全实践中,用户身份认证是信息系统和关键数据保护的第一道防线。CHIMA《2021-2022年度中国医院信息化调查报告》显示,在参与调查的医院采用的用户认证方式中,“用户名/密码”的认证方式以绝对优势排在采用比例的第一位,占比 97.36%

 

来源:CHIMA《2021-2022年度中国医院信息化调查报告》

 

诸多实践案例表明,使用“用户名/密码”登录是一种极不安全的身份认证方式。一旦账号密码被泄露,不法分子很可能利用此账号进行某些违法操作,例如窃取业务数据、篡改系统配置等。尤其在信息系统众多、敏感数据量巨大的医疗领域,信息安全程度与登录认证的强度密切相关。

 

“等保2.0”的安全计算环境身份鉴别控制要求中也提到:“应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。”

 

因此,要避免医疗数据被泄露或窃取,除了必须加强员工的安全意识之外,还需要从网络安全的第一道防线入手,通过技术手段提高身份认证的安全性,做到安全追溯、责任到人。

 

对此,世安智慧结合多年在数据安全领域的实践与研发经验,正式推出 “生物认证接口系统” 

 

世安生物认证接口系统

世安生物认证接口系统贯彻低成本、低开发、不采集和存储生物特征等理念,可帮助医疗单位快速实现对应用业务系统的生物鉴别安全升级改造。

 

低成本、低开发

通常建设单位在选择身份鉴别系统时,都需要增设大量采集设备,还需要业务系统与鉴别系统进行复杂的开发联动,建设成本较高。而世安生物认证接口系统只需对原有业务系统进行轻量化的对接开发,用户用微信扫描二维码即可实现人脸识别认证,无需额外购置其他设备,建设成本较低。

 

不采集和存储生物特征

世安生物认证接口系统采用的是官方人脸识别技术,使用体验与日常政府系统的人脸识别一致。建设单位不需要存储和提前采集任何的自然人生物特征,因此也无须担忧对生物信息的存储管理和隐私问题。

 

无需连接互联网

目前,世安智慧已与官方单位建立战略合作,并创新性地开发出适用于内部局域网的“专网离线密钥”技术。在实际使用过程中,用户无须接入互联网,在单位内网即可通过扫描微信二维码完成人脸识别认证。

 

在完成世安生物认证接口系统的安全升级改造后,建设单位在账号、静态口令认证基础之上,增加了生物识别认证方式,在满足等保2.0要求之余,可以有效杜绝未授权人员访问业务系统,全面保障业务系统和医疗数据的安全性,以及事后事故追溯定责的准确性。

 

 

随着数字经济的深入发展,不管是医疗行业还是其他行业都将面临更加严峻的网络数据安全形势。世安智慧将通过持续创新与优化,为各行各业筑牢数据屏障,守护网络安全。