网络空间安全:行业资讯、技术分享、法规研讨、趋势分析……

“游侠安全网”创建了网络安全从业者的2000人超级QQ大群(群号:1255197) ,欢迎各位同仁加入!有其它问题如合作等,请联系站长“网路游侠”,QQ:55984512


黑客倒卖医院数据落网 广州医药圈震荡(附解决方案)

2017-05-16 09:52 推荐: 浏览: 547 views 字号:

摘要: 导读: 大型“三甲”医院的基本药品品规不超过1500种。若以平均1200种基药计算,且每种药品都存在“信息费”,仅单一医院就会形成一个96万到240万元不等的非法信息售卖市场。 【财新网】(记者 王婧) 一个网络黑客团伙落网,引发广州医药行业大震荡。这个黑客...

导读:

大型“三甲”医院的基本药品品规不超过1500种。若以平均1200种基药计算,且每种药品都存在“信息费”,仅单一医院就会形成一个96万到240万元不等的非法信息售卖市场。

【财新网】(记者 王婧

一个网络黑客团伙落网,引发广州医药行业大震荡。这个黑客团伙非法获取医院药品数据,并将其倒卖给诸多医药代表。

多名医药及司法系统人士确认:在5月8日和5月9日两天,广州有多名医药代表被警方传唤,部分医院的药剂和采购部门也有人士牵连其中。业内人士称:被调查的医药代表来源广泛,不乏来自知名药企;涉案医院也包含广州诸多著名医院。

5月9日,财新记者获得若干份《拘留通知书》照片,显示黑客们涉嫌罪名多为“非法获取计算机信息系统数据”、“非法控制计算机信息”等。这些《拘留通知书》的落款均为广州市公安局番禺区分局,时间均为5月8日。

知情人士称,这些《拘留通知书》属实。嫌犯获取多家公立医院的药品流向数据,并将其倒卖给医药代表获利。据财新记者了解:广州市各级公安部门统一行动,根据黑客电脑数据顺藤摸瓜,对一些购买数据的医药代表进行调查。

“广州医药代表的微信群里人心惶惶。几乎每隔几个小时,就能听说又有人被带走了。”一名在广州从事多年医药代表的人士对财新记者说。

药品回扣是广州医药代表们人人自危的原因所在。

多名医药人士向财新记者证实:一个售价为100元的药品,其从生产厂家出厂时,其价格一般为20元到30元;此后,该药品会经过多层代理商加价至大约94元到95元,传递至药品流通企业,药品流通企业再以100元的价格将药品卖给医院。

值得注意的是,其中多层代理商加价幅度高达60元甚至70元。这里包含的费用主要分为两部分:一部分是医药代理自己的所得;另一部分则暗藏灰色“公关费用”。

“公关费用”由医药销售代表送出。北方某药企驻广州医药销售代表曾告诉财新记者,为了将自家企业的药品送入医院,在这60元至70元的加价幅度中,大约有50元甚至更多份额需要用于“打点”医院。需要“打点”的人士至少包括医生、科室主任、药械科主任、药事委员会、药房采购。

其中送给医生的部分是重头——医生拥有处方权,药品即使到了医院,也要依赖医生开出处方才能真正完成销售。

“给医生的回扣,往往都是约定好的,一般不低于10个点。”前述医药代表称,“一家医院有很多医生。同一个品规的药,每个医生开出多少,能够获得多少回扣,这需要有一个精确的统计才好结算,所以医药代表需要获得医院的药品销售数据,要精确到每个医生。”

综合多名医药代表的说法,在目前广州诸多医院都普及了电子处方的情况下,要获得上述数据,主要方式有以下两种:

第一,找医院内部人士,比如药剂科、信息科等。一名医药代表说:“干的时间长了,每家医院应该找谁去打印这个单子,医药代表都是心里有数的。”

第二,找专业黑客或者医院所用处方软件的提供商。业内人士称:这一路径是近些年才兴起。严打药品回扣持续多年,的确有一些医院无论如何都拒绝提供药品清单数据。

然而无论是哪种途径,医药代表都需要付出不菲的“信息费”——清单包含某一种药品单一品规的月销售量,可精确到每一个医生,每月更新一次。关于“信息费”价格标准,不同医药代表提供了不同版本,大致在800元至2000元之间。

一般而言,一个大型“三甲”医院的基本药品品规不超过1500种。若以平均1200种基药计算,且每种药品都存在“信息费”,一家大型医院,就会形成一个96万到240万元不等的非法信息售卖市场。

知情人士透露称:本次落网的黑客团伙,每月都通过电子邮件向医药代表发送更新后的数据。公安根据收件人的IP地址,找到这些医药代表。

本次行动规模最终会有多大,是否会追究部分医药代表的刑事责任,进而追究部分收受回扣的医生的责任,目前仍未可知。

游侠安全网补充:

其实这篇文章涉及到的数据,并不是个人数据,而是“统方”数据,既医护人员、黑客等,可以根据开出的处方,确认开了多少药,每盒药都有回扣……这样的行为一直存在着,主要应对方式为:

1、部署防统方软件,或数据库审计产品。而实际上很多家数据库审计产品也都有防统方的版本。数据库审计可以通过旁路监听的方式,对数据库的操作进行分析和记录,实现统方行为发现;

2、部署运维审计(堡垒机),由于数据库审计无法审计加密流量(putty、xshell等)、图形流量(RDP、VNC等),所以针对具有破坏性的行为,如删库等“运维行为”进行审计,因而需要通过堡垒机实现这部分功能;

3、部署日志审计,如有人通过网络设备关闭数据库审计端口、有人登陆到主机进行恶意操作(绕过堡垒机),则可以通过日志审计查阅网络设备、安全设备、数据库的登录记录,发现恶意行为。

当然,上面的都做好了,还得做好访问控制。这样可以基本确保统方事件及时发现、告警。

增强方案:还可以在HIS等系统前部署IPS(入侵防御)、WAF(Web应用防火墙)等,可以有效应对黑客攻击,也可以有效防止统方事件的发生。

此方面有问题可联系游侠安全网站长,微信:cnbrian

联系站长租广告位!

中国首席信息安全官


关闭


关闭