妇幼信息岂能对“内鬼”不设防
当地医疗系统出现“内鬼”,也是因为存在产生“内鬼”的土壤。试想,徐某处于信息管理系统的最末端,却拥有市级权限账号密码,这样一来,信息安全就存在一个巨大的漏洞,出事似乎也成为一种必然。
罗志华
凭借掌握成都市“妇幼信息某管理系统”市级权限账号密码,多次将2016年至2017年的成都市新生婴儿信息及预产信息导出后,通过线下交易方式,把信息出售。日前,一个以成都卫生系统“内鬼”为源头,向社会出售新生婴儿信息的黑色链条被广元市旺苍县公安局彻底斩断。(1月17日《华西都市报》)
这起发生在医疗系统内部的信息泄露事件,当然主要应该归咎于这位“内鬼”徐某。对于徐某这样的医务人员,不仅要依法给予处置,而且也应将其纳入医疗从业者的“黑名单”,避免其再接触到患者的敏感信息。但也要看到,当地医疗系统之所以出现“内鬼”,也是因为存在产生“内鬼”的土壤。假如这一土壤不铲除,徐某过后,还可能出现其他“内鬼”,医院敏感信息仍可能流向社会。
试想,徐某不过是成都市某社区卫生服务中心的一名工作人员而已,其位阶是很低的。然而,徐某虽然处于信息管理系统的最末端,却拥有市级权限账号密码,这样一来,信息安全就存在一个巨大的漏洞,不出事是运气好,而出事似乎也成为一种必然。
通常情况下,医疗领域的各种信息系统,多呈现树状结构分布,上级可以查看下级的信息,但下级不能看到上级和平行单位的信息,这样的设计既便于工作,也对保护信息安全很有好处。但在现实中,有些工作人员将密码设置得过于简单,甚至为了图方便,干脆将密码透露给下级,以便他们及时录入或纠正错误信息。徐某是怎么获得市级登录权限的?是徐某非法获取,还是由其他人拱手相让?这个疑问有待查实。
近年来,医院内部管理系统泄密事件屡有发生,有些是因为“黑客”侵入,有些则是“内鬼”贩卖,但不管是哪种情况,除了当事人的违法行为应该得到查处外,还应该反思,医院预防信息泄露措施是否做得完备,在管理和技术层面,还存在哪些问题。徐某作为最基层的医务人员,却能接触到全市50余万条新生婴儿数据信息,且能够随意下载,这俨然已不能仅仅局限于从个人层面来反思。
这起事件警示我们,在管理层面,医疗系统应该出台更加严格的信息管理规范,强化责任意识和风险意识,下级拥有上级登录权限等现象应该彻底避免。在技术层面,则应让各类信息系统无法下载,甚至不能截图。同时还应开发专门的技术,让任何一次操作都保留痕迹,且要定期查询和检视,不能总是等到公安部门找上门,方才发现敏感信息已大量泄露。
新闻推荐
凭借掌握成都市“妇幼信息某管理系统”市级权限账号密码,多次将新生婴儿信息及预产信息导出后,通过线下交易方式,将其信息出售。累计贩卖新生婴儿信息数万条。日前,一个以成都卫生系统“内鬼”为源头...
旺苍新闻,有家乡事,还有故乡情!连家乡都没有了,我们跟野人也没什么区别。露从今夜白,月是故乡明。旺苍县一直在这里为你守候。