上个月一个在三甲医院信息科干了八年的朋友半夜给我发语音,声音压得很低,说他们医院上周被罚了四十多万。我问怎么了,他说有批脱敏后的科研数据被人反推出来,关联到了具体患者。他当时特别崩溃,因为他们明明上了防火墙、加密、审计三件套,觉得该做的都做了。电话那头他苦笑了一声:我们可能从一开始就搞错了重点。
说实话我听完一点也不意外。医疗大数据安全管理这事,过去两年我接触了不下二十家医院和健康管理机构,发现大家普遍掉进几个坑里。而且这些坑特别隐蔽,你越觉得自己做得滴水不漏,可能漏洞越大。
为什么最贵的加密系统反而成了摆设?
别急着回答。你先想一个问题:如果你花了两百万买了顶级的数据加密和防泄漏系统,但医生为了写论文方便,把脱敏数据拷贝到了自己没打补丁的笔记本上,这时候系统在干嘛?它可能在兢兢业业地加密服务器里那堆没人碰的数据。
我自己就干过一件特别蠢的事。前年帮一家医疗SaaS公司做安全评估,我建议他们优先采购一套很贵的动态脱敏系统。结果三个月后回访,发现这套系统根本没启用。为什么?因为业务部门嫌每次查询都要多等两秒,直接绕过了它。我当时傻眼了,气得当晚没睡好。后来我想了想,技术方案再牛,只要增加了业务的操作成本,就一定会被人为绕过。这不是人的问题,是设计的问题。
其实2026年最新的医疗行业安全报告里有个数据挺扎眼的:超过67%的医疗数据泄露事件,根源是内部人员的“方便性操作”,而不是外部攻击。你细想,黑客要突破层层防线多难,但内部人把数据拷走只需要一个U盘。
常见问题:医疗大数据安全管理主要防外部黑客还是内部人员?
从实际案例来看,内部风险占比远高于外部攻击。但这不是说防火墙不重要,而是很多医院把90%的预算和精力都花在了防外部,对内控、权限分级、操作审计这些投入严重不足。最理想的配比大概是六四开,六分防内,四分防外。
脱敏真的脱干净了吗?一个让我后背发凉的实测
我一直没搞懂,为什么很多人觉得去掉姓名和身份证号就算脱敏。去年我帮一家机构做渗透测试,他们给了我一份“已脱敏”的住院记录样本。我用了大概三个小时,把诊断时间、主治医生工号、病房号三组数据交叉比对,直接锁定了某个罕见病患者的真实身份。你能想象吗?我没用任何黑客工具,就是用Excel做了个vlookup。
我当时其实有点慌,赶紧给他们写了份报告。后来这家机构的CTO跟我说,他们之前一直用开源工具做的掩码脱敏,以为够了。真正的医疗大数据安全管理,脱敏必须做到“不可重标识”级别,也就是你把数据给任何人,他都没办法通过任何字段组合反推出个人。这需要用到k-匿名、l-多样性这些模型,不是简单替换几个字段就完事了。
举个真实例子你就懂了。某医疗大数据公司曾经把脱敏后的门诊数据开放给科研机构,数据里保留了就诊科室、年龄区间、大致住址区县。结果有个研究生把数据和公开的人口普查数据、社保缴纳记录做了关联,准确率高达83%找到了十几位罕见病患者。这哪里是脱敏,简直是变相泄露。
授权管理混乱,比没有权限更可怕
你可能觉得奇怪,为什么我要把授权管理单独拿出来说。因为这事太普遍了,普遍到大家已经麻木了。我见过太多医院,一个住院医师的账号能查全院所有患者的病历,包括精神科、传染科这种敏感科室。而且这个权限一开就是五年,从来不回收。
后来我想了想,可能是我错了,我以为这事大家都会重视。结果上个月跟一家区级医院聊,他们信息科主任跟我倒苦水:不是不想管,是每次做权限清理,各个科室主任都来找,说这个医生要值班、那个医生要会诊,不给权限影响工作。最后就不了了之了。
其实这个问题有个笨办法,我们实测过效果还不错。就是把“永久授权”全部改成“有时效的授权”,比如重症监护室的护士权限每90天自动过期,需要重新申请。刚开始肯定有人抱怨,但运行半年后,授权总数下降了大概六成,而且再也没出现过离职半年的医生还能登录系统的情况。这个方法也不是每次都灵,上周就翻车了一次——有个急诊科的值班表没同步,差点耽误抢救。所以还是要结合排班系统来做,别光图省事。
提示:还有一个容易被忽略的点是第三方运维人员。很多医院的HIS系统、PACS系统都是厂商在维保,厂商工程师通过远程通道或者临时账号进去,这个通道的审计往往是个黑洞。建议对第三方账号实行“双人复核+全程录屏”,别怕麻烦。
关于医疗大数据安全管理,我还有最后一个困惑没想明白。就是你投入了那么多成本去做防护,怎么衡量这些投入到底值不值?安全这事不像业务增长,没出事不代表你做得好,出了事也不代表你什么都没做。我现在能给客户的建议也就是参考行业标准,比如等保三级、HIPAA这些框架,但说实话,这些标准有时候也挺滞后的。
反正后来就这样了。如果你也在做这块,或者遇到过什么奇葩的数据泄露风险,欢迎交流。我挺想听听,除了上面说的这些,你还踩过哪些坑?
注:本文涉及的脱敏测试均在授权环境下进行,请勿在未经许可的情况下尝试类似操作。
