李某某的妻子系南昌某医院医生,李某某接妻子下班回到家后,以东西落在办公室去取回为由,获取科室门锁密码。在2021年2月至2022年5月期间,李某某先后十次潜入其妻子科室办公室,打开电脑主机箱,以低配置内存条和CPU替换电脑上原配置高的内存条和CPU,盗走该医院办公区域电脑中17个内存条和13个CPU。最终,法院以盗窃罪判处李某某有期徒刑六个月,并处罚金人民币五千元。
这起案件是以普通盗窃案来侦办的。经鉴定,上述电脑组件价值人民币3442元,案值不算大。因此,假如不考虑其它因素,仅根据盗窃罪相关法律条款,李某某获此判决,是比较恰当的。
然而,李某某盗取的是医院电脑的组件。要知道,通过电脑关键组件恢复电脑原有数据,在技术上是可行的,倘若如此,电脑上原有诊疗信息就会被泄露。并且,李某某既然能够将内存条和CPU替换,也可将硬盘掉包,甚至将整机盗出,并将诊疗信息贩卖。这样的结果,能让人惊出一身冷汗。好在李某某仅是为了获得高配置电脑组件,没有想到贩卖诊疗信息,否则后果不堪设想。
因此,这起案件除了作为盗窃案处理之外,还应该在医疗信息安全方面作深刻反思。李某某的妻子作为医生,却将科室门锁密码泄露给李某某,并且允许其单独进入科室办公室。此外,在长达一年多的时间里,医院办公区域电脑中大量组件被替换,电脑技术人员对此浑然不觉,也是信息安全防范意识低下、防范措施欠缺的体现。
除了电脑硬件存在被盗取风险之外,软件的安全维护与日常管理,同样存在诸多漏洞。此前在一家医院,一名护士登录本院某医生的账号,为一名孕妇开展诊疗,导致胎死腹中的严重后果。今年4月,北京通报了12起定点医疗机构典型案例,其中多起案件均涉及到冒用或违规使用医生工作站。有医院的手机客户端系统,仅输入患者姓名、身份证号码,就能查询患者在多家医疗机构的诊疗信息。这些都是软件管理不善的典型表现。
尤其需要强调的是,医生工作站是医生开电子处方和记录电子病历的线上工作平台,倘若医生工作站管理不善,不仅可以虚开处方和诊疗项目骗取医保基金,而且还能发出错误的医嘱和处方指令,以及下载大量诊疗信息等。在现实诊疗当中,医生在电脑前完成医嘱和病历书写之后,长时间离开电脑但不关闭医生工作站,是司空见惯的现象,这给非法进入平台操作和盗取数据以可乘之机。
医院电脑组件被盗,决非仅是财产方面的损失,更让医疗信息存在被盗的巨大风险。这起事件不能仅处理盗贼了事,医院工作人员违规操作威胁到医疗信息安全,也要受到处罚。在医疗信息安全监管、系统软硬件设施操作规范等方面,医院都应该吸取教训,以更有力的举措,筑牢医疗信息安全堤坝。
文/秋实
图源/视觉中国
编辑/王涵