早在5年前国内已经发生医疗机构网络被骇客入侵事件,提升医疗机构的网络保安系统以防止病人资料外泄是目前该著重的工作。除了知名人士的医疗记录,一般人的病历也可以成为商业工具,如糖尿病患者的资料和数据,可以卖给药商、医疗机构。
ADVERTISEMENT
我国目前没有法律监管这方面的资讯,但美国已经有了一项《健康保险携带与责任法案》(HIPAA),保护个人健康讯息,大马也是时候看齐了。
报道:本刊 张露华
图:受访者提供
网络安全服务公司LGMS创办人冯宗福透露,早在5年前国内已经发生医疗机构网络被骇客入侵事件,这几年间也陆续收到私人医疗机构委托,检测网络安全配备,提高医院网络保安系统,预防被骇。
他透露,我国已经发生几宗医疗机构网络被入侵事件,把病人资料加密,让医院无法调阅病人资料,然后索取勒索金。
“之后医院找我们帮忙,通过其他方法把病人资料解锁,然后全面检测医院网络安全漏洞,建议需要加强的部分,提高网络安全的防火墙。”
他直言,大马医疗机构对网络安全重视度不高,直至发生医院网络被骇客入侵后才醒觉,重新审核及检测医院网络系统,找出存在的漏洞,再加强保安堵住这些漏洞。
骇客无差别攻击,该为医疗机构建立网络监管
因此,他对我国至今还没有设定医疗机构网络安全监管感到担心,因为目前我国的网络监管条例只限于金融与电讯业。但今时今日的网络骇客已经是无差别攻击,只要用网络作业,任何领域都会受到攻击,更何况是关乎性命的医疗机构。
他表示,如今医疗服务已经走入数码健康时代,从医疗设备到服务都已经是数码化,甚至可以通过网络链接来进行远程诊断,当中是存在网络风险的,所以近年来该公司接到不少医疗机构委托,检测及评估医院网络系统的安全装备,避免医院数据、病人病历和个资外泄。
他表示,数码健康涵盖医院设备的数据、医疗服务到个人医药报告,若网络保安功夫做不足,被骇客入侵,病人的医药报告会外泄,甚至被篡改,医生使用有关报告诊断的话,后果可以非常严重。
他认为,大马的数码医疗保安系统还是处于一个起步阶段,至今仍没有一项条例规范医疗资料,而医疗体制正加速朝向数码健康发展,因此政府有必要快马加鞭,认真看待这个领域。
冯宗福表示,网络骇客已经来到一个无差别攻击年代,设定系统自动化攻击,所以任何机构或行业都可能被入侵。早在七八年前已经有不同领域,包括物流、医疗、电讯公司遭受网络攻击。他直言,过去传统被入侵的行业以金融与电讯业为主,但现在几乎所有行业都已经进入数码化时代,包括重工业、公用事业如水电公司、医院,只要是迈入数码化操作都会有风险,不要再有错觉网络攻击只对某个领域有危险,现在已经是无差别攻击。
他举例如之前多个政府部门发生资料外泄事件,包括MySejahtera较早前也有300万份健康记录外泄就是一个例子。当民众个资外泄,可以卖给商业机构作为大数据分析,或被用作金钱诈骗,而最严重的就是医疗报告外泄,可能涉及人命伤亡。
“如新加坡总理李显龙的医药记录外泄事件,这些重要人物的病历外泄可以非常严重,有心人士如要加害就很容易,所以医疗机构资料外泄更令人担心。”
“即使不是名人,这些病历也可以成为商业工具,如糖尿病患者的资料和数据,可以卖给药商、医疗机构。我国目前没有法律监管这方面的资讯,但美国已经有了一项《健康保险携带与责任法案》(HIPAA),保护个人健康讯息,大马也是时候看齐了。”
冯宗福强调,网络安全已经是生活一部分,除了个人要提高上网安全意识,商家更应该注重网络安全,保护顾客个资。传统上大家都认为骇客把目标设定在金融业,因为会造成很大的金钱损失。但也会对很多行业造成很大损失,如航空公司,一旦航空公司网络被入侵,捣乱航班时间表,带来的损失也是无法估计。
“物流公司也一样。虽然物流公司不需要通过网站卖东西,但如果被骇客入侵,物流流程被捣乱,同样造成严重损失。”
他重申,预防是阻止骇客入侵最重要的管道,先做检测,确定网络安全不要有任何明显漏洞,否则被入侵才来挽救就太迟了。
医疗机构网络若被骇,会造成人命伤亡
随着金融诈骗案日益猖獗,国内一些银行已经是每个星期都在做检测,不断加强防护。冯宗福形容,骇客的入侵工具很多都是自动化,而且很容易在网上找到免费工具,而这些工具就如枪械一样,取得的人可以无差别扫射或自动化攻击,很多人都会无故中招。当骇客取得这些资料时,就可以针对个性化的需求把资料卖给有需要的机构做大数据分析。
“有的人觉得个资外泄有什么大不了,既不是名人也不是有钱人,但骇客把你的个资卖给别人,根据你的个资做大数据分析,然后就可以根据你的需求推售所需要的东西给你,这些都是无法从账目中估计的损失,包括现在发生的这么多网络骗案,都是个资外泄的后果。”
冯宗福认同,在当今网络时代中,医院数码化是无可避免的趋势,而自动化就是数码化的其中一项功能,很多程序都会由自动化取代,所以必须确保网络安全,这不只是涉及技术层面问题,而是整家医院的存活,一旦医院系统被捣乱,会影响手术时间、看诊时间,医护人员值班时间等等。
他表示,医疗是其中一个在被骇之后可能会造成人命伤亡的领域,另一个就是交通管理单位。如德国、日本火车系统都是自动化,如果骇客把班车时间混淆,后果不堪设想。
提供远程治疗的Doc2Us联合创始人兼总执行长蔡伟民医生则认为,网络安全风险永远都在,最挑战的是我们不知道骇客有多先进,而业界的网络安全设定都是根据“工业标准”(industries standard),即使是科技大公司微软的网络保安也是根据“工艺标准”设定。
“最重要的是那个机构有没有根据工业标准协定的考核,一旦被骇客入侵,系统与技术人员能否马上切断链接,避免再次被骇,因为新一波攻击很可能在1或2小时内再来,所以必须确保没有被骇到的个资不会被骇!”
他直言,医院系统其实很复杂,防护墙也很高,能够骇到医院系统的骇客道行已经很高,“而且世界上没有最安全的系统,所以每一次被骇之后就要不断的提高防火墙,因为我们做前线的永远都较被动,背后的黑技术是主动,我们无法猜测骇客的心理,唯有不断加强保安系统。”
他以该公司为例,为了防止病人个资或医药记录外泄,除了做到符合工业标准的安全设置,也根据卫生部要求所有医生与合作的药剂师都必须在“数码签名系统”注册,病人的电子健康记录都是在区块链处理,加深一重的保护。
“李显龙个资及医药记录外泄事件发生时,我还在新加坡服务,当时的确给我很大震撼,连总理个资这么机密的资料也被骇,普通人更加不必说。”
MySejahtera改变大马人对医疗个资外泄不重视的态度
蔡伟民表示,过往大马人对于医疗记录这一块外泄不太重视,只注重会造成金钱层面损失的个资。尤其对B40群众来说,健康记录不是最重要,最担心的还是金钱损失。
“但一个疫情下来,MySejahtera资料外泄事件,越多来多人开始关注医疗记录外泄问题,所以当政府透露有意把MySejahtera私营化之后,人们都发出反对声音。”
他直言,大马医疗机构在网络系统安全这一块还有进步空间,但即使如新加坡已经做得足够严密,也一样被骇,所以安全系统是永远没有足够的,只有不断的提升。
他表示,民众或许不自觉个人病历是很值钱的资料,如果懂得使用,在黑市场可以卖到很高的价钱,骇客可以用这些来勒索医院,或者专卖给黑市场,这些问题一直都在发生。
但他强调,保护健康资料不只是政府、医院,使用平台要加高防护,民众自我警惕也很重要,如用手机下载远程治疗程式,事后手机没有上锁,轻易让别人读取到自己的医疗记录,或把密码设得太简单,都会让骇客有机可乘,所以保护个资是大家共同责任。
“医疗记录没有妥当保护的确有可能出人命,尤其是远程治疗在疫情前后产生很大变化。疫情之前我们一天开出的电子处方笺是500至1000左右,现在已经增加到2200,反映数码健康的使用率已经日益普遍,所以保障病人个资更显重要。”
尽管已经习惯远程治疗作业方式,但蔡伟民坦承,病人会觉得这管道与医生互动不足,医生需要花更多时间不断与病人沟通,相反的,面对面会诊会更快捷。
他也不讳言,并不是所有病例适合用远程治疗方法,如需要做检查的病人就不能,医生会把病人转介到诊所进一步诊断,所以提供远程治疗服务的医生都有一份条件列表,清楚知道哪一类型的病人不适合远程治疗。
蔡伟民是在2017年创办Doc2Us,而李显龙个资泄漏事件是发生在2018年,这事故让他与整个医疗领域有了一个新的认知,那就是无论系统多安全都有风险,没有100%的网络安全,只能做到减低风险。
“但远程治疗是一个无可避免的趋势,我们无法避免,否则就是故步自封,唯有做到在进步的同时,也要确保自家的网络系统符合工作标准规格。”
他表示,尽管发生MySejahtera资料外泄事件,但庆幸大马没有因为健康报告外泄而发生重大事故,其一是因为使用度不高,民众对电子健康报告的认知也不完整,最后就是没有涉及显要人物健康报告外泄。他解释,相比电子钱包,电子健康报告受关注程度不高,但相信未来两三年人们会把注意力放在医疗这一块,需要时间去接受,一如电子钱包也是这样走过来的。
政府未来将立法管理电子医疗平台
询及政府方面有没有针对数码医疗安全作出行动时,蔡伟民透露,卫生部已经召集所有线上医疗服务提供者,了解业界的操作方式,以便将来立法管理电子医疗平台。
此外,他提到,落实技术先进医疗保健系统的挑战,在于生态系统的准备情况。这个生态系统由5个P组成,即患者(Patient)、提供者(Provider)、政策制定者(Policymaker)、付款者(Payer)和平台(Platform)。
他表示,患者对于数码健康解决方案的接受度和准备度是主要挑战之一。目前公众仍然将医疗保健视为一种面对面服务,难以接受虚拟平台提供的医疗服务。
“人们心存怀疑,所以看不到线上咨询的价值。”
蔡伟民认为,公众对于共享个人数据的谨慎态度,也阻碍了数码健康的发展,尤其是人工智能发展。他表示,现今的医生是接受传统方式教育,学到的是床边礼仪,如何通过面对面向患者获取线索,而没有学习数码健康、如何使用电子病历或远程谘询。
他表示,在医疗保健者正努力应对与支持远程会诊的技术向前发展之际,政策制定者也必须对于不断更新和发展持开明态度,包括国家政策是否能够开明地接受数码健康创新,以及政策是否与数码健康解决方案相关。
“解决了医疗服务层面的问题,接下来就是付款者(支付医疗费用的人)是否已经准备好,当中包括政府、保险公司、雇主和患者本身。付款者需要有适当的程序来评估虚拟咨询的付款,这取决于他们能否看到数码健康的价值。”
“而最后一个障碍,就是平台是否已经准备就绪,如基础设施支持,稳定且广泛覆盖的互联网网络,以及安全保障。”
蔡伟民表示,数码健康正积极发展,尤其是疫情大流行的催化下,数码健康议程在往前推进。如美国在疫情大流行期间,74%医生会诊是采用虚拟形式。虽然这个比例在疫情后下降至46%左右,但仍远高于疫情大流行前的水平。
延伸阅读: 【数码医疗/01】医疗连上线 不出门也能看医生 相关稿件: 【本地中医绽放/02】中医系百花齐放 大学院校培养中医年轻人才 【电动车前景/01】环保面前 电动车登场燃油车退闪
ADVERTISEMENT
热门新闻
百格视频
ADVERTISEMENT