揭秘医疗“统方”灰色产业链 少年黑客入侵医院信息系统作案

行业资讯 7年前 (2017) 阿Q
2,081 0

一起医疗信息泄露案牵出“统方”灰色产业链

何为统方?

所谓“统方”,是指医院对医生临床用药信息的统计。“统方”属于医院保密信息,国家明令禁止医疗机构向医药代表等企业人员透露“统方”信息。但医生开处方时最喜欢用什么药?哪种药用量最大?对医药销售有很大影响。为了摸清市场行情,掌握对手的医药销售情况,一些医药销售代表绞尽脑汁收买“统方”。

近日,多名医药销售代表通过黑客购买“统方”的系列案发,让一条“统方”灰色产业链从地下浮上水面。广州日报记者从为多名医药销售代表代理案件的律师邓世运处获悉,此系列案的涉案人员绝大部分是购买了统方的医药代表,至少超过50人,入侵医院信息系统的黑客已经被捕,多个案件进入审查起诉程序。  

涉案人员

“上家”陈某

据称有途径获得广东一知名医院计算机信息系统内的“统方”数据

医药销售代表罗某某

明知渠道可能非法,仍以单价250元,总计共148610元向陈某购买药品用药量处方数据

另一名医药销售代表梁某某

以单价280元,总计共96954元从罗某某处购买药品用药量处方数据

经过:花近15万元购买统方 再加价出售

近日,广州市越秀区人民检察院依法以掩饰、隐瞒犯罪所得罪批准逮捕犯罪嫌疑人罗某某。据悉,犯罪嫌疑人罗某某是某医药公司的医药销售代表。为了提高业绩,他想弄清楚自己代理的药品和竞品在各大医院的销售数据,以便制订更有针对性的销售策略。但广州各大医院的药品销售数据只有医院自己掌握,属于保密信息,罗某某想尽办法也弄不到。

2015年初,他经介绍得知犯罪嫌疑人陈某(另案处理)有途径获得广东省内某一知名医院计算机信息系统内的药品用药量的处方数据,尽管明知对方可能是通过非法手段弄到的“统方”,他还是购买了。陈某“定价”每种药品数据人民币250元。罗某某通过微信、支付宝支付费用,多次向陈某购买大量的药品用药量的处方数据,共计人民币148610元。付款后,陈某把数据以电子邮件的形式发给他。

留部分数据自己工作使用后,罗某某将其余购买回来的该医院药品用药量的处方数据,以每种药品数据280元的价格,通过电子邮箱发送数据,银行卡转账、微信、支付宝收取费用的方式,多次向另一名医药销售代表梁某某出售大量药品用药量的处方数据,共计人民币96954元。

无独有偶,一宗案情十分类似的医药销售代表通过网络购买“统方”案近日已宣判。宋某某花了37950元,向张某购买广东某著名医院处方药开药信息,没有转售他人。经法院审判认定,宋某某构成隐瞒犯罪所得罪,被判处有期徒刑7个月。

疑问:医院无“内鬼” 黑客如何获取内部信息?

在过去,非法“统方”多是医院内部人士作案;这个系列案的特殊之处在于,多个被泄露“统方”的医院并无“内鬼”,而是被黑客攻击。

“普通黑客要入侵医院信息系统并非易事。”一位在广州一家民营医院工作的资深信息安全技术人员向广州日报记者介绍,其医院信息系统使用的是独立服务器,只有内部网络可以访问。对于从外部攻击的黑客,医院每年都会付出数十万元的费用购买防护系统、确保信息安全;对于“内鬼”,则通过对权限的分散分配以及全流程监督监控防止数据外泄。“在员工超过两千人的医院中,能接触到全部数据的不过5人。”此外,由于“统方”是要保密的数据,系统中不会有包含全部“统方”数据的统计表,这意味着,能拿到“统方”的人要既要有管理权限也要懂技术。

记者在中国裁判文书网搜索关键字“统方”发现的案例,验证了以上信息。对于此类利用职务之便的违法行为,往往涉及商业贿赂,多以受贿罪认定。

那么,这次黑客是怎么从外部攻击成功呢?记者从律师邓世运处获悉,尽管多个被泄露“统方”的医院无内部人员配合,但由于市内多家医院使用了同一个信息系统,其中一家医院的信息科工作人员发现了系统漏洞后,入侵了其他医院的信息系统窃取“统方”。此外,还有黑客是替医院维护系统的外聘技术人员,他们利用维护系统之机,用自编的程序偷偷下载。目前,黑客已因涉嫌非法获取计算机信息系统数据罪被捕。

政策:

禁止医药代表销售药品

禁向企业人员透露统方

中国裁判文书网信息显示,自2009年起,与统方有关的刑事案件共128起,涉及全国15个省市自治区。其中,仅2014年就审理相关案件43起,2016年有44起。

据了解,收集“统方”数据一度成了行业潜规则。一位医药媒体从业者向记者介绍,医药销售代表收集每个医生的处方信息,不仅是为了了解竞争对手和市场,更主要的目的是了解哪些医院科室临床历史上用了和他们的产品比较类似的药品或者器械,然后对号入座,精准营销。

“以前行业对‘统方’外泄的监管比较弱,现在公立医院改革政策每年都在加码,对‘统方’外泄控制得比较严了;而且现在医生越来越难接触,‘统方’购买成本不断提高。”该人士分析。

2017年,针对医药代表行业规范的文件先后出台。2月9日,国务院办公厅印发了《关于进一步改革完善药品生产流通使用政策的若干意见》,明确提出医药代表只能从事学术推广、技术咨询等活动,不得承担药品销售任务,失信的记入个人信用记录。

5月11日,国家食药监总局发布的《关于鼓励药品医疗器械创新实施药品医疗器械全生命周期管理的相关政策(征求意见稿)》,明确了医药代表的“三个禁止”:禁止医药代表承担药品销售任务,禁止医药代表私下与医生接触,禁止医疗机构任何人向医药代表、药品生产经营等企业人员提供医生个人开具的药品处方数量。(文/广州日报全媒体记者方晴)

版权声明:阿Q 发表于 2017-11-10 05:37。
转载请注明:揭秘医疗“统方”灰色产业链 少年黑客入侵医院信息系统作案 | 安全库

相关文章