作為一名土生土長的南方人，初次到北方的澡堂子時，如此坦誠相見，雷鋒網編輯有點不習慣。

不過，有一種“坦誠相見”的場景你可能更沒想到過。你剛進醫院拍了一張 CT 。嘿，影像副本可能流到了黑客手里。

每天，數以百萬計包含病人個人健康信息的新醫學圖像都在互聯網上流傳。

醫院打開的“門”

倒也不是別人費了九牛二虎之力去偷的，可怕的是，這些醫院、醫療辦公室和成像中心的“門”并沒有關好。它們正在使用不安全的存儲系統，只要有互聯網連接，任何人都可以訪問超過10億張病人的醫學圖像。

雖然，現在大約一半被暴露于互聯網的圖像，包括 x 射線、超聲波和 CT 掃描的圖片都來自正在和伊朗鬧得不可開交的美國，但這并不代表中國的醫院能置身事外。

德國安全公司 Greenbone Networks 在9月份發現了2400萬份（總計達7.2億多張）醫學圖像，兩個月后，暴露的服務器數量增加了一半以上，達到了3500萬份，暴露了11.9億份掃描結果。

研究人員拿著數據提醒醫院注意這些事兒，沒想到完全沒有引起它們的重視。暴露的檢查結果只會越來越多，醫院不著急，這家安全公司有點焦慮。

泄露點在于源頭——醫院、醫生辦公室和放射中心用來存儲病人醫療圖像的服務器上有弱點。

DICOM （Digital Imaging and Communications in Medicine，即醫學數字成像和通信）是醫學圖像和相關信息的國際標準。它定義了質量能滿足臨床需要的可用于數據交換的醫學圖像格式，被廣泛應用于放射醫療，心血管成像以及放射診療診斷設備，是部署最為廣泛的醫療信息標準之一。

根據這個標準，醫療從業者更容易將醫學圖像存儲在一個文件中，并與其他醫生分享，并且可以使用任何免費的應用程序查看。 DICOM 的圖像通常存儲在一個圖像存檔和通信系統中，即 PACS 服務器，便于存儲和共享。但是，許多醫院直接將 PACS 服務器連接到互聯網上，無需密碼即可查看。

你要說了，這些醫院影像頭像又看不出實際上是誰，沒有暴露隱私。其實不是的，這些未受保護的服務器不僅暴露醫療成像，而且暴露了病人的個人健康信息。

許多掃描圖像不僅有 DICOM 文件的封面，還有病人的姓名、出生日期和有關他們診斷的敏感信息，甚至還有他們的社保 ID。

比如，一個真實案例是，一位患有慢性病的患者在加利福尼亞的一家醫院進行了長達30年的定期掃描，他的醫學圖像一經暴露，30年的健康狀況一覽無余，而美國最大的軍事醫院之一一個未受保護的服務器也暴露了軍事人員的名字和醫學圖像。

即使病人只有一張或幾張醫學圖像，暴露的數據也可以用來推斷一個人的健康狀況，包括罹患的疾病和受到的傷害。

這意味著什么，你懂的。

被指望的法律

好心好意的 Greenbone 為了確保服務器的安全，上個月聯系了一百多個組織，詢問他們服務器的公開情況，一些小組織趕緊自我檢查，曝光圖像總數有所下降，但是大機構“死豬不怕開水燙”。當這家安全公司聯系10家最大的醫療機構時，沒有得到任何回應，而這些機構“貢獻”了大約五分之一被曝光的醫學圖像。

Greenbone 私下跟媒體機構透露了這些機構的名字，以便媒體撰文時查驗，其中包括一家在紐約擁有三家醫院的醫療機構，一家在佛羅里達州擁有十幾家診所的放射科公司，以及一家位于加州的大型醫院。

也就點到為止了。

制定并維護 DICOM 標準的標準機構設定的安全特性在很大程度上被設備制造商忽視，但鍋還是得醫院背，主要還是因為醫院沒有適當配置和保護服務器。

去年，美國政府對一家總部位于田納西州的醫學成像公司處以300萬美元的罰款，原因是該公司無意中泄露了一臺包含30萬患者數據的服務器。

中國的網安法也在掣肘醫院保護數據。

雷鋒網(公眾號：雷鋒網)編輯曾參加過一個數據安全公司主辦的論壇，其中一個分論壇專門討論醫療行業的數據保護。

某醫院計算中心的主任 Q 曾感慨：“我們的影像數據超過500T，終端無紙化越多，說明醫療數據越多，越多的數據給我們造成的困境是‘內憂外患’，內憂是各類大牌專家和領導找我要數據，我也不給。省各類的網監來查我們，說我這里不符合要求，那里不符合要求，我們回去就整改，到后來我們把所有事都干了，把所有的責任都擔了，把所有人都得罪了。因為一旦出事，我就會被網監叫去談話，做筆錄，按指紋，最后抓的人會是我，法律面前人人平等，院長都保不了我。”

講真，美國人民也沒什么好辦法，只能把希望寄托在法律上。美國健康保險攜帶和責任法案 ( HIPAA )制定了“安全規則” ，其中包括技術和物理保護措施，旨在通過確保數據的私密性和安全性來保護電子個人健康信息，法律還要求醫療服務提供者對與之相關的任何安全漏洞負責，觸犯法律會受到嚴厲的懲罰。

十條安全提示

除了法律是懸在上頭的一把大刀，也許下面十個容易泄露信息的場景提示可以幫助醫院。

第一，開發測試在醫院數據利用的過程中是常見的需求，隨著醫院信息化建設的深入，醫院有很多業務更新及業務上線的需求，需要在新業務上線時做測試。

現在測試機構一般直接拿醫療數據庫面的真實數據進行測試，如果醫院沒有測試環境，這些數據甚至會被帶回測試人員的公司內部測試。后來，為了保護數據安全，一些醫院會采取一些腳本的方式，或者是手工的方式來制造一些測試數來進行脫敏，但通過腳本、手工等方式做測試數據有兩個問題。

一是可能導致一些數據被漏掉，二是數據脫敏前、脫敏后的關系保持不了，對測試的效果和效率影響很大。

第二個場景是教育培訓。

很多的醫院非常重視教育培訓的工作，一般會建立專門的教育培訓平臺。這個教育培訓平臺最重要的資料就是備案的素材，很多醫院的醫生會基于一些真實病案的分析與討論，培養自己的臨床思維。如果這個平臺具有極高的隱私屬性的數據（如婦科和精神科的案例）沒有經過處理，直接流動到教育培訓平臺，一旦數據泄露，對患者可能會造成非常大的影響。

平臺建立成功以后，它的用戶既有醫院內部的醫生，還有合作高校的學生跟老師。校園網的安全性一般比較差，如果從一個比較差的網絡環境訪問醫院的敏感數據，本身就存在風險。

比如，從遠端訪問醫院的人用戶是不是盜用的身份，我們無法確定。當數據需要流動到醫院的邊界之外，安全措施已經失效的情況下，唯一能依靠的就是對身份的持續驗證。

第三個場景是運營管理中心，它其實是一個大數據平臺，目的是為醫院的運營決策做支持。

運營管理中心匯集了醫院很多的敏感數據，比如醫院的財務數據、運營收益數據，還有醫生或是患者的隱私數據，這些數據價值非常高，容易引起一些不法分子的關注，而且這個平臺也會存在數據利用方式的問題，比如通過接口的形式訪問，也可以通過消息隊列的形式進行數據的訂閱、下發甚至是同步，甚至可以通過工具訪問，這些方式非常靈活，可能就導致傳統的安全機制很難進行全面而有效的防御。

平臺本身也可能會存在漏洞，一些沒有經過處理的大數據流入到運營管理中心就可能存在被泄露的風險。

第四個場景是臨床數據中心，也就是 CDR。

CDR 也是一個大數據平臺，但它跟數據管理平臺不同，CDR 是以臨床支持為中心的平臺，有病案數據，比如可能會有一些患有惡性腫瘤或是傳染病的患者的病歷，或是一些社會重要人士、公眾人物的病案，這個平臺中的數據非常敏感。

它同樣也面臨數據利用方式靈活的問題，導致傳統安全機制很難落地。同時，CDR 也需要為醫院所有的醫生提供服務，在權限管理上非常復雜。

比如，CDR 里的數據還可能來自兄弟醫院，即通過病案交換來的數據，A 醫院的醫生需要訪問患者在 B 醫院的數據，這個權限管理就更加復雜。

第五個場景是醫院數據會流向的終端，比如醫生工作站、護士工作站或是醫院常見的大量手持移動終端，數據流動非常快。

在醫院就診時，醫生的診室里有很多人，包括醫生、助理、患者、家屬、其他患者及其家屬，這么多人擠在同一個空間里，顯示在醫生終端上的信息就很可能在有意無意的過程中被看到，甚至被拍照。

這與醫院系統設計的思路有關，比如核心系統設計以效率為目標，每個操作界面都有患者的隱私數據，包括個人信息，但提高了患者隱私數據泄露的概率。

上面五個場景是數據在醫院內部做流動，可以通過內部現在已有的安全機制、安全措施甚至管理技術的手段來做管控，相對是可控的。但下面這些場景是數據可能會流動到醫院的邊界之外，完全處于失控的狀態，風險更大。

場景六，數據交換。以交換的機構不同分類，分為跟衛生管理機構之間的數據交換，其他醫療機構之間的數據交換。

比如，醫院跟醫保局之間的數據交換，醫院可能需要患者在醫保局的醫保數據來做支付，醫保局又需要醫院提供支付相關的患者病歷、就診信息核查，是一個雙向、實時的數據交換。

在這個場景里，醫院不能對這些數據做類似于現在比較流行的脫敏處理的數據保護機制，但是這些未經處理的數據又需要經過一些非安全網絡傳輸到醫保局，所以存在一些在傳輸過程中的風險。

第二種情況是醫院的數據要跟其他兄弟醫院之間做交換，比如病案交換，主要風險在于交換的過程非常靈活，可以通過共享服務器、中間庫，包括通過接口的形式來交換，交換比較靈活，可能會存在過去安全機制很難進行全面保護的問題。

交換后，數據處在完全失控的狀態，它是不是會被再次交換、二次泄露？沒人可以控制。

場景七，數據上報。數據交換是雙向的，上報是單向的，上報主要是把數據上報給衛健委、疾病控制中心等衛生監管機構。當患者在醫院就診時，被確診為一些惡性的傳染病之類，需要在第一時間把數據安全相關的要求上傳到疾控中心。

一個真實的慘案是，患者在醫院就診后被確診為非常嚴重的傳染病，不知道在哪個環節發生了數據泄露，導致了他所在的公司知道了他的病情，最終他失業了，最后他把疾控跟醫院兩端都告上了法庭。

所以，醫院需要對流出的數據進行追溯，在數據泄露之后就可以追責。

場景八是遠程醫療，比如遠程會診，近端醫院向遠端醫院申請專家會診成功后，需要上傳患者的檢查報告，包括一些既往病史等很多個人健康信息，這些信息一般通過非安全網絡傳輸，而且遠端醫院的安全環境是不可控的，是不是會發生一些非授權用戶訪問，或者是假冒用戶訪問，無法控制。

場景九是運維，大部分醫院數據庫由專門的維保廠商來進行維保和服務，在數據庫出故障以后，醫院第一時間打電話給服務商。

作為運維服務商，他們首先會嘗試遠端解決，如果解決不了再派工程師到現場。在遠程運維的場景中，服務商通過非安全網絡訪問醫院的敏感數據，風險非常大，比如遠程連接工具層漏洞導致客戶端可能被竊取數據。

運維廠商工程師具有比較大的數據庫訪問權限，但醫院很難控制這些工程師訪問過多的數據，或是未經授權的數據。因為權限比較大，他也有能力竊取醫院的數據，比如把醫生、患者的敏感數據直接下載到數據庫，數據可能被售賣和二次泄露。

場景十是增值服務，增值服務是數據共享的需求，醫院有很多重要數據，一些藥企商保公司希望拿醫院的數據做增值應用，比如藥企在一些藥品上市之后，希望拿到醫院臨床的患者的病歷做藥品評價，但是在目前醫藥行業面臨的高監管壓力下，不能隨便把這些數據共享給他們，一旦共享以后發生了數據泄露，醫院作為源頭數據提供者，責任是不可逃避的。

注：上述10條安全提示來自美創公司專家張建林。

總結

以上是生活随笔為你收集整理的数十亿医学图像泄露互联网，波及美国最大军事医院的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。