近年來,隨著“互聯網+醫療健康”工作的深入推進,病歷電子化、醫院上云、遠程問診等業務開始普及,越來越多的個人健康信息被接入了網絡,也有越來越多的健康醫療機構通過移動App等方式為患者提供醫療健康服務,這雖然在很大程度上提升了醫患雙方的便捷性,但同時也增加了個人信息數據泄露的風險。
包含患者姓名、年齡、居住地址、電話、病史、銀行賬戶等信息的醫療數據蘊含著重要的價值,一直以來都是網絡黑產瞄準的“香餑餑”。相關數據顯示:2017年,美國出現的重大醫療信息泄露事件有15次,保守估計,約300萬名病人的信息被泄露;2018年,新加坡發生重大醫療數據泄露事件,近150萬人的醫保資料遭到泄露。今年7月,騰訊安全聯合中國信通院發布的《2019健康醫療行業網絡安全觀測報告》也指出,健康醫療行業總體處于“較大風險”的網絡安全風險級別。可見,健康醫療行業已成為網絡安全威脅的重災區。
移動互聯網安全在整體網絡安全中的重要性愈加突出,而移動互聯網安全的重中之重就是移動App安全。日前,中國信息通信研究院發布的《2019健康醫療行業移動App安全觀測報告》顯示,健康醫療行業App安全風險集中體現在四個方面:一是安全漏洞風險居高,有88.83%的健康醫療行業App存在高危漏洞,攻擊者可利用這些漏洞進行App仿冒、植入惡意程序、竊取用戶敏感信息、攻擊服務等,對App安全具有嚴重威脅,其中存在被仿冒安全風險的App占比最高,約為72.91%;二是惡意程序危害嚴重,健康醫療行業App惡意程序感染率為0.86%,主要涉及的惡意行為包括流氓行為、資費消耗、信息竊取、遠程控制、惡意扣費等多種惡意行為;三是第三方SDK引入風險,有25.58%的健康醫療行業App被嵌入了第三方SDK,由于第三方SDK存在用戶信息隱蔽收集、自身安全漏洞易被不法分子利用等安全風險,使得健康醫療行業App也面臨一定的安全隱患;四是安全加固比例偏低,僅有24.83%的健康醫療行業App進行了安全加固,超過四分之三的健康醫療行業App在應用市場“裸奔”,未進行任何的安全加固。對此,行業主管部門應持續完善健康醫療行業App安全法律法規和標準規范體系,建立健全App安全等級保護測評制度,降低健康醫療行業App遭受網絡攻擊的風險,持續規范健康醫療行業App上的個人醫療健康信息的收集、使用和存儲、共享等行為。App服務提供者應充分注重開發后的維護和升級,主動進行App安全檢測和安全加固,及時修補安全漏洞,推動安全升級,防止App因漏洞問題被仿冒、攻擊以及感染惡意程序等。用戶應盡量從正規應用市場下載應用,不隨意點開不明下載鏈接,及時使用安全軟件修補漏洞,定期進行系統更新升級,提高個人隱私保護意識。(本文源自人民郵電報,作者蘇曉。)