一个白帽黑客揭露的医疗安全危机

随着科学技术的发展及国家医疗信息化建设的政策号召，我国医院医疗信息化水平不断提高，然而与发达国家相比还有一定差距。就美国来说，其医疗信息化水平大大高于我国，然而关于医疗信息安全，美国也不能拍胸脯保证100%安全，特别是医疗信息化设备的安全问题，就像是一颗隐藏的毒瘤，不知道会什么时候发作。像输液泵、放射性仪器、血气分析仪等医疗设备都有可能成为黑客潜伏的巢穴，以此为据点窃取病患信息，牟取暴利!

病患信息也就是大家熟悉的医疗档案，其中包含信用卡信息，还有社会保险号码、地址、生日、家族关系和医疗病史——这些信息可以用来创建虚假身份与信贷额度，从而实施保险诈骗甚至敲诈勒索。单单一个信用卡号在网络黑市上的售价往往不超过10美元;而医疗档案能够卖出10倍于它的价格。对于黑客来说，他们在乎的就是转售价值，所以才会长期的潜伏。

2014年，美国一著名“白帽”黑客通过自己研究发现很多医院常用的一款输液泵存在一个致命的漏洞，很容易被黑客控制，这个极有职业道德和社会责任感的“白帽”觉得不能坐视不管，于是他整理一份报告发送给美国国土安全部下属的工业控制系统网络应急响应小组(ICS-CERT)，几个月过去了当局没有给予任何回复，白帽想着这事关乎千万病患生命安全，不能气馁，他决定录制一个视频直接演示他快速控制输液泵的过程，此举终于引起当局重视，最终当局下发了停用那款输液泵的公告。这在行业开创了一个先例，“第一次因为网络安全问题召回一种产品”。

然而，医学研究界并没有因为这份公告而欢庆胜利。虽然在当局的要求下该款产品已经下架，然而，当局并未强迫制作厂商修复已经在医院和诊所使用的这种仪器，它也没有要求厂商证明类似的网络安全漏洞不会影响其他型号的输液泵。

相关机构也想拟定一些政策规则改进问题，然而既实用且具有普遍适用性的持久政策并不容易拿出来，当局敲定了一套指导方针，建议——而不是要求——医疗设备制造商在他们的设计和开发阶段考虑网络安全风险，还要求他们向相关机构递交文件资料，确认他们已经发现的任何潜在风险。但是，这个义务不仅仅落在制造商的肩上，医疗保健提供商和监管机构也必须参与解决这个难题，这是“一项共担的责任和一份共享的所有权”。

说到责任共担，问题就复杂了，也就不好解决了，这是美国医疗当局的烂摊子，我国也不是毫不关系。美国的医疗信息化建设大步走在我们前面，他们面临的问题我们迟早也要面对，甚至这就是我国医疗信息化建设过程中已经显现的问题，我国当局应该如何应对，值得深思。