一家为全国数十家三甲医院提供医疗数据分析服务的科技公司,帮助医院管理电子病历、分析诊疗数据和优化医疗资源分配。平台积累了超过五百万份患者的完整病历数据,包括姓名、身份证号、诊断结果、用药记录、手术记录和基因检测报告等高度敏感信息。为了提升数据分析能力,平台还接入了多个外部数据源,通过API接口与医院的信息系统进行数据交换。
安全事件的导火索来自一个看似不起眼的API接口。平台的一个开发团队为了对接一家新的合作医院,临时开放了一个测试接口用于数据联调。按照团队内部的流程,测试接口上线后需要在三天内关闭或加上鉴权。然而这个接口的开放申请却因为项目排期紧张被遗忘了,在系统中整整存活了四个月。四个月的时间里,这个没有任何身份验证的API接口一直处于互联网上可被访问的状态。一名安全研究人员在进行日常的互联网资产扫描时发现了这个接口,他尝试访问后惊讶地发现,通过这个接口可以对平台的部分数据库进行未授权查询操作。
安全研究人员按照行业惯例,通过邮件向平台的公开安全邮箱报告了这个漏洞,并等待平台修复。然而两周过去了,平台方面没有任何回应。无奈之下,安全研究人员将漏洞信息提交给了国家漏洞库,希望借助监管力量推动修复。漏洞信息随后被公开披露,多家媒体报道了这起事件。虽然平台在漏洞公开后的第一时间关闭了接口,但数据泄露已经事实上发生。由于接口开放时间长达四个月,无法排除攻击者在此期间已经发现并利用了该接口的可能性。平台不得不假定全量病历数据可能已经被访问或窃取。
事件曝光后,涉及的数十家医院陷入了巨大的信任危机。大量患者向医院及当地卫健委投诉,要求医院解释自己的医疗隐私数据为何没有得到妥善保护。部分患者甚至提起了集体诉讼,要求医院和平台共同承担损害赔偿责任。卫健委也紧急启动了对于全部合作医院的数据安全专项检查,要求相关医院暂停与第三方数据平台的合作,并评估数据泄露的实际影响范围。涉事的科技公司面临了来自监管、客户和市场的多重压力。多个医院客户终止了与平台的合作,公司营收大幅下滑,融资计划也被迫搁置。监管部门启动调查后,认定该平台在数据安全管理方面存在重大漏洞,未采取有效的技术措施保障数据安全,依法处以高额罚款。
这个案例揭示了医疗健康数据领域一个非常现实的风险。医疗数据的敏感性远高于普通个人信息,一旦泄露带来的后果也更为严重。患者可能因为疾病信息泄露而遭受就业歧视、保险拒保和社交排斥。医疗机构和数据处理方在保护这些数据方面负有不可推卸的法律责任。从技术预防的角度,企业需要建立API全生命周期管理机制,每一个API接口从创建、上线到下线的全过程都必须有明确的负责人和审批记录。测试环境与生产环境必须严格隔离,测试接口不得使用生产数据,且必须有默认的鉴权要求。从数据安全治理的角度,医疗健康数据平台必须实施数据分级分类管理,对不同敏感级别的数据设置差异化的访问控制策略,对全量数据的导出和批量查询操作实施严格审批。定期进行安全渗透测试和漏洞扫描也是必须要做的基础工作,而不是等到出了事才补救。
