【数码医疗／02】医疗记录如财产 资料外泄后患无穷

他直言，大马医疗机构对网络安全重视度不高，直至发生医院网络被骇客入侵后才醒觉，重新审核及检测医院网络系统，找出存在的漏洞，再加强保安堵住这些漏洞。

骇客无差别攻击，该为医疗机构建立网络监管

因此，他对我国至今还没有设定医疗机构网络安全监管感到担心，因为目前我国的网络监管条例只限于金融与电讯业。但今时今日的网络骇客已经是无差别攻击，只要用网络作业，任何领域都会受到攻击，更何况是关乎性命的医疗机构。

他表示，如今医疗服务已经走入数码健康时代，从医疗设备到服务都已经是数码化，甚至可以通过网络链接来进行远程诊断，当中是存在网络风险的，所以近年来该公司接到不少医疗机构委托，检测及评估医院网络系统的安全装备，避免医院数据、病人病历和个资外泄。

他表示，数码健康涵盖医院设备的数据、医疗服务到个人医药报告，若网络保安功夫做不足，被骇客入侵，病人的医药报告会外泄，甚至被篡改，医生使用有关报告诊断的话，后果可以非常严重。

他认为，大马的数码医疗保安系统还是处于一个起步阶段，至今仍没有一项条例规范医疗资料，而医疗体制正加速朝向数码健康发展，因此政府有必要快马加鞭，认真看待这个领域。

冯宗福表示，网络骇客已经来到一个无差别攻击年代，设定系统自动化攻击，所以任何机构或行业都可能被入侵。早在七八年前已经有不同领域，包括物流、医疗、电讯公司遭受网络攻击。他直言，过去传统被入侵的行业以金融与电讯业为主，但现在几乎所有行业都已经进入数码化时代，包括重工业、公用事业如水电公司、医院，只要是迈入数码化操作都会有风险，不要再有错觉网络攻击只对某个领域有危险，现在已经是无差别攻击。

他举例如之前多个政府部门发生资料外泄事件，包括MySejahtera较早前也有300万份健康记录外泄就是一个例子。当民众个资外泄，可以卖给商业机构作为大数据分析，或被用作金钱诈骗，而最严重的就是医疗报告外泄，可能涉及人命伤亡。

“如新加坡总理李显龙的医药记录外泄事件，这些重要人物的病历外泄可以非常严重，有心人士如要加害就很容易，所以医疗机构资料外泄更令人担心。”

“即使不是名人，这些病历也可以成为商业工具，如糖尿病患者的资料和数据，可以卖给药商、医疗机构。我国目前没有法律监管这方面的资讯，但美国已经有了一项《健康保险携带与责任法案》（HIPAA），保护个人健康讯息，大马也是时候看齐了。”

冯宗福强调，网络安全已经是生活一部分，除了个人要提高上网安全意识，商家更应该注重网络安全，保护顾客个资。传统上大家都认为骇客把目标设定在金融业，因为会造成很大的金钱损失。但也会对很多行业造成很大损失，如航空公司，一旦航空公司网络被入侵，捣乱航班时间表，带来的损失也是无法估计。

“物流公司也一样。虽然物流公司不需要通过网站卖东西，但如果被骇客入侵，物流流程被捣乱，同样造成严重损失。”

他重申，预防是阻止骇客入侵最重要的管道，先做检测，确定网络安全不要有任何明显漏洞，否则被入侵才来挽救就太迟了。

医疗机构网络若被骇，会造成人命伤亡

随着金融诈骗案日益猖獗，国内一些银行已经是每个星期都在做检测，不断加强防护。冯宗福形容，骇客的入侵工具很多都是自动化，而且很容易在网上找到免费工具，而这些工具就如枪械一样，取得的人可以无差别扫射或自动化攻击，很多人都会无故中招。当骇客取得这些资料时，就可以针对个性化的需求把资料卖给有需要的机构做大数据分析。

“有的人觉得个资外泄有什么大不了，既不是名人也不是有钱人，但骇客把你的个资卖给别人，根据你的个资做大数据分析，然后就可以根据你的需求推售所需要的东西给你，这些都是无法从账目中估计的损失，包括现在发生的这么多网络骗案，都是个资外泄的后果。”

冯宗福认同，在当今网络时代中，医院数码化是无可避免的趋势，而自动化就是数码化的其中一项功能，很多程序都会由自动化取代，所以必须确保网络安全，这不只是涉及技术层面问题，而是整家医院的存活，一旦医院系统被捣乱，会影响手术时间、看诊时间，医护人员值班时间等等。

他表示，医疗是其中一个在被骇之后可能会造成人命伤亡的领域，另一个就是交通管理单位。如德国、日本火车系统都是自动化，如果骇客把班车时间混淆，后果不堪设想。

提供远程治疗的Doc2Us联合创始人兼总执行长蔡伟民医生则认为，网络安全风险永远都在，最挑战的是我们不知道骇客有多先进，而业界的网络安全设定都是根据“工业标准”（industries standard），即使是科技大公司微软的网络保安也是根据“工艺标准”设定。

“最重要的是那个机构有没有根据工业标准协定的考核，一旦被骇客入侵，系统与技术人员能否马上切断链接，避免再次被骇，因为新一波攻击很可能在1或2小时内再来，所以必须确保没有被骇到的个资不会被骇！”

他直言，医院系统其实很复杂，防护墙也很高，能够骇到医院系统的骇客道行已经很高，“而且世界上没有最安全的系统，所以每一次被骇之后就要不断的提高防火墙，因为我们做前线的永远都较被动，背后的黑技术是主动，我们无法猜测骇客的心理，唯有不断加强保安系统。”

他以该公司为例，为了防止病人个资或医药记录外泄，除了做到符合工业标准的安全设置，也根据卫生部要求所有医生与合作的药剂师都必须在“数码签名系统”注册，病人的电子健康记录都是在区块链处理，加深一重的保护。

“李显龙个资及医药记录外泄事件发生时，我还在新加坡服务，当时的确给我很大震撼，连总理个资这么机密的资料也被骇，普通人更加不必说。”

MySejahtera改变大马人对医疗个资外泄不重视的态度

蔡伟民表示，过往大马人对于医疗记录这一块外泄不太重视，只注重会造成金钱层面损失的个资。尤其对B40群众来说，健康记录不是最重要，最担心的还是金钱损失。

“但一个疫情下来，MySejahtera资料外泄事件，越多来多人开始关注医疗记录外泄问题，所以当政府透露有意把MySejahtera私营化之后，人们都发出反对声音。”

他直言，大马医疗机构在网络系统安全这一块还有进步空间，但即使如新加坡已经做得足够严密，也一样被骇，所以安全系统是永远没有足够的，只有不断的提升。

他表示，民众或许不自觉个人病历是很值钱的资料，如果懂得使用，在黑市场可以卖到很高的价钱，骇客可以用这些来勒索医院，或者专卖给黑市场，这些问题一直都在发生。

但他强调，保护健康资料不只是政府、医院，使用平台要加高防护，民众自我警惕也很重要，如用手机下载远程治疗程式，事后手机没有上锁，轻易让别人读取到自己的医疗记录，或把密码设得太简单，都会让骇客有机可乘，所以保护个资是大家共同责任。

“医疗记录没有妥当保护的确有可能出人命，尤其是远程治疗在疫情前后产生很大变化。疫情之前我们一天开出的电子处方笺是500至1000左右，现在已经增加到2200，反映数码健康的使用率已经日益普遍，所以保障病人个资更显重要。”

尽管已经习惯远程治疗作业方式，但蔡伟民坦承，病人会觉得这管道与医生互动不足，医生需要花更多时间不断与病人沟通，相反的，面对面会诊会更快捷。

他也不讳言，并不是所有病例适合用远程治疗方法，如需要做检查的病人就不能，医生会把病人转介到诊所进一步诊断，所以提供远程治疗服务的医生都有一份条件列表，清楚知道哪一类型的病人不适合远程治疗。

蔡伟民是在2017年创办Doc2Us，而李显龙个资泄漏事件是发生在2018年，这事故让他与整个医疗领域有了一个新的认知，那就是无论系统多安全都有风险，没有100%的网络安全，只能做到减低风险。

“但远程治疗是一个无可避免的趋势，我们无法避免，否则就是故步自封，唯有做到在进步的同时，也要确保自家的网络系统符合工作标准规格。”

他表示，尽管发生MySejahtera资料外泄事件，但庆幸大马没有因为健康报告外泄而发生重大事故，其一是因为使用度不高，民众对电子健康报告的认知也不完整，最后就是没有涉及显要人物健康报告外泄。他解释，相比电子钱包，电子健康报告受关注程度不高，但相信未来两三年人们会把注意力放在医疗这一块，需要时间去接受，一如电子钱包也是这样走过来的。

政府未来将立法管理电子医疗平台

询及政府方面有没有针对数码医疗安全作出行动时，蔡伟民透露，卫生部已经召集所有线上医疗服务提供者，了解业界的操作方式，以便将来立法管理电子医疗平台。

此外，他提到，落实技术先进医疗保健系统的挑战，在于生态系统的准备情况。这个生态系统由5个P组成，即患者（Patient）、提供者（Provider）、政策制定者（Policymaker）、付款者（Payer）和平台（Platform）。

他表示，患者对于数码健康解决方案的接受度和准备度是主要挑战之一。目前公众仍然将医疗保健视为一种面对面服务，难以接受虚拟平台提供的医疗服务。

“人们心存怀疑，所以看不到线上咨询的价值。”

蔡伟民认为，公众对于共享个人数据的谨慎态度，也阻碍了数码健康的发展，尤其是人工智能发展。他表示，现今的医生是接受传统方式教育，学到的是床边礼仪，如何通过面对面向患者获取线索，而没有学习数码健康、如何使用电子病历或远程谘询。

他表示，在医疗保健者正努力应对与支持远程会诊的技术向前发展之际，政策制定者也必须对于不断更新和发展持开明态度，包括国家政策是否能够开明地接受数码健康创新，以及政策是否与数码健康解决方案相关。

“解决了医疗服务层面的问题，接下来就是付款者（支付医疗费用的人）是否已经准备好，当中包括政府、保险公司、雇主和患者本身。付款者需要有适当的程序来评估虚拟咨询的付款，这取决于他们能否看到数码健康的价值。”

“而最后一个障碍，就是平台是否已经准备就绪，如基础设施支持，稳定且广泛覆盖的互联网网络，以及安全保障。”

蔡伟民表示，数码健康正积极发展，尤其是疫情大流行的催化下，数码健康议程在往前推进。如美国在疫情大流行期间，74%医生会诊是采用虚拟形式。虽然这个比例在疫情后下降至46%左右，但仍远高于疫情大流行前的水平。

延伸阅读：
【数码医疗／01】医疗连上线 不出门也能看医生
相关稿件：
【本地中医绽放／02】中医系百花齐放 大学院校培养中医年轻人才
【电动车前景／01】环保面前 电动车登场燃油车退闪