惊！美国黑市一份病历信息至少能卖到50美元

近日有媒体曝出，全国30省份275位艾滋病感染者称接到诈骗电话，该群体的个人信息疑似被大面积泄露。医疗保健数据已经成为全球黑客的首要目标，这次信息泄露并不是个例。去年，全美被盗医疗数据量占被盗数据总量的67%——超过一亿例，这还仅仅是美国一个国家的数量。今年形势未见改观——其数量已达总量的34%，仅次于政府类信息泄露案例数量。

患者信息意味着金钱

黑客为何瞄准医疗机构？金钱便是重要原因之一。在美国的黑市上，每份健康保险凭证可卖20美元，一份病历信息至少可卖50美元，而信用卡信息则只能卖一两美元。假如换做是你，有人出价10美元买你从沙发上捡到的花生，你会选择满足自己的胃还是卖了它？毫无疑问，卖了它！

而病案信息为何如此受追捧？一是其数据具有长期性，二是其信息的复杂性。对于金融数据，多数黑客最多偷到所涉及账户的信息，而一旦受害者或银行发现并注销账户，其所盗信息便失效。而患者信息中的许多相关数据则无法更改，如身高、体重、疾病、处方、社会保险号及财务信息。一直以来，大家都认为私密病史被公之于众是件丢脸的事，因此不法分子抓住这一软肋，利用病案信息中的相关数据进行经济诈骗、敲诈勒索等违法活动。

医疗机构安保措施滞后

另一方面，医疗领域的安保措施存在滞后性。医疗机构的网络本就不堪重负，而应用软件、云、智能医疗设备等新科技层出不穷使其更加应接不暇。种种原因累加，导致恶意钓鱼软件猖獗，引发一系列勒索。用户（特别是有管理员权限的用户）会无意间下载并打开一些会对整个医疗机构的网络产生危害的附件。

医疗机构需加强认证管理

要想解决这一问题，医疗机构仅仅按照《健康保险流通与责任法案》（Health Insurance Portability and Accountability Act, HIPAA）行事远远不够，还需要有能力确保患者数据100%安全。例如，医疗机构的特权账户及管理员账户应当采取安全措施，以完全确定另一终端用户的身份。普通用户至少要采取多因素认证方式以避免电子诈骗。仅这两项措施便能极大程度上阻碍勒索软件兴风作浪。而且，还要对相关人员进行适当培训，避免发生失误引发恶意软件感染或数据泄露。另外，由于医疗保健领域保存着大量数据宝藏，且必须有人来管理，因此必须对这些管理者进行严格的身份验证。

患者应频繁更换密码

患者自然可以一如既往寄希望于医疗机构保护隐私，但其实自身也可以采取一些简单方法保护自身隐私。由于黑客并非总是黑入后端获得患者数据的，只要有正确的认证信息，他们就可以通过正常途径登录。因此，不依托于短信的多因素认证、频繁更换密码等措施都能有效降低信息被盗风险。

互联网威胁不断出新，医疗机构防盗之路任重道远。但也并非只能坐以待毙，上述措施的确行之有效，若能积极执行并开展适当的教育培训，形势或将大有好转。

原文来源：Becker’s Hospital Review

原文标题：What cyber criminals want with your health record