当你的心跳能被他人控制,我们拿什么来谈医疗信息安全?-浩海云安全中心

飞利浦心血管系统产品出现安全漏洞,泄露患者隐私并造成进一步安全威胁的新闻再次引起了人们对于联网医疗设备安全性的关注与探讨。这已经不是医疗设备第一次爆出漏洞了,每一次漏洞都意味着大量患者信息泄露以及部分不幸患者面临的生命威胁。

医疗信息安全离我们有多远?

早在2007 年,美国前副总统迪克·切尼就曾为防止刺客通过干扰起搏器进行攻击,而让医生将其心脏起搏器的无线功能关闭。2008 年,密歇根大学的安全研究人员曾发现,可以从起搏器中提取敏感信息行,甚至可以通过改变起搏规律或关闭起搏器威胁生命。

当你的心跳能被他人控制,我们拿什么来谈医疗信息安全?-浩海云安全中心

2016 年,网络安全公司MedSec公开了一份安全漏洞报告,美国老牌医疗器械制造商 St. Jude Medical 制造的心脏起搏器存在漏洞,可能被黑客入侵。后来MedSec公司却遭到 St. Jude Medical 的起诉,罪名是不实报道和诽谤。同年 10 月,St. Jude 制造的心脏去颤器电池提早没电,造成两起死亡案例。公司宣布召回 4000 件产品。最终,还是美国FDA食品药品管理局确认了报告的真实性。

2017 年 5 月 White Scope 安全公司研究人员发现,四家知名厂商的家用监控系统、植入设备、起搏器编程器和病患支持网络都存在安全问题。四款起搏器编程器所使用的第三方库总共存在 8000 多个漏洞。攻击者可以利用起搏器漏洞编写并远程运行代码,导致心脏跳动频率修改甚至停止。

到 9 月份,FDA 也发布安全公告称,Abbott Laboratories所生产的心脏起搏器存在安全漏洞,这些漏洞可被黑客利用,篡改设备设置并将其关闭,对病人造成致命威胁。美国国内有 46.5 万台设备受影响,国外有 28 万台受影响。

上述只是心脏起搏器等心血管系统产品所出现的安全问题。放眼整个医疗系统,网络被黑、电脑感染勒索病毒、设备本身存在漏洞等问题近年来不断增加,牵动着医院和患者的神经。此外,运动手环等医疗穿戴设备的风靡也带来了安全隐患。

2018 年上半年的热播日本电视剧《非正常死亡》的第6集中,凶手在戴在耳后、用于监控心率等健康指标的运动设备上动了手脚,随后通过调整电流实施谋杀,这无疑是现实的缩影。

医疗系统的攻击面不断扩大

医疗系统容易遭受攻击的一大原因是医疗网络边界不断开放,而医疗机构所使用的电脑等终端很多都是尚未更新的老旧设备,web服务器、DNS服务器、mail服务器等端口和服务往往因为被忽视而长期开放,容易被攻击者利用。

2017 年大规模爆发的 WannaCry 勒索病毒就是通过 445 端口传播,当时也影响了很多医疗机构。由于医疗机构的业务与患者的人身安全直接相关且资料高度重要,因此很容易成为勒索攻击的对象。

当你的心跳能被他人控制,我们拿什么来谈医疗信息安全?-浩海云安全中心

此外,包括心脏起搏器在内的医疗设备大多通过一些无线协议直接与其他设备连接并通信,这就意味着攻击者可以通过这些协议的通信代理组件找到相关的医疗设备,发起攻击。还有一些医疗系统或平台的访问限制不够严格,直接向警方等执法机构开放权限,导致患者信息极易泄露。

截至 2018 年 9 月份,共有约 90 万澳大利亚居民选择退出其政府的“我的健康记录”系统,就是因为这个系统向警察开放权限,存在信息滥用风险。

近年来,利用软件供应链漏洞发起攻击收到了很多攻击者的青睐,医疗机构也无法幸免。医疗行业高度依赖合作机构的网络,如果攻击者无法直接攻击医疗组织,就会通过供应商等其他渠道下手。攻击者还可以通过供应商或供应链来瞄准较大的行业,甚至潜伏很长时间,形成 APT 攻击。

2018 年 7 月底,新家坡卫生部医疗系统网络遭遇入侵,150 万公民健康数据泄露,新家坡国家总理李显龙的医疗信息也包括在内。当时的分析认为,这是一起来自“民族国家”的有针对性的 APT 攻击,获取的数据将用于对个人或组织进行进一步威胁。

联网医疗设备面临巨大安全挑战

正如开头所说,越来越多的医疗设备联网带来了医疗领域中新的安全问题。根据 Ponemon Institute 最近的一项研究,80% 的设备制造商和医疗机构认为医疗设备的安全很重要。与此同时,67% 的设备制造商和 56% 的医疗机构预计在未来 12 个月内会出现设备安全漏洞。

当你的心跳能被他人控制,我们拿什么来谈医疗信息安全?-浩海云安全中心

黑客控制医疗设备并影响其功能,进而获取患者资料甚至危及患者生命的后果式医疗设备安全无比重要的一大原因。此外,医疗设备上的恶意软件还可能导致医疗服务中断,设备漏洞给网络带来的感染和入侵或可能严重影响其他医疗服务业务。虽然医疗设备和设备网络本身十分复杂,导致相关安全建设面临重重挑战,但由于与患者安全息息相关,因此这将成为未来医疗系统安全建设的一大重点。

医疗机构应该怎么办?

近年来,医院、知名企业甚至政府都接连受到勒索软件的攻击以及一些成熟黑客组织的 APT 攻击。这也迫使医疗机构正视网络安全问题,实实在在做出防御。毕竟不论是病毒勒索还是医疗设备被远程控制,都是人命关天的事。面对当前的重大挑战,医疗机构应该:

  • 将网络安全视为商业风险,而不仅仅是技术挑战;
  • 让董事会层面和管理层意识到安全问题的严重性并定期实施安全检查和防御;
  • 提升员工安全意识,并根据员工的角色和职责进行培训;
  • 招聘并留住懂安全的员工;
  • 设立医疗安全官或医疗设备安全专家等安全相关的新职务,以解决特定的安全挑战;
  • 在购买设备时考虑安全隐患;
  • 测试并实施网络安全事件响应协议

如果能将这些实践纳入整个网络安全建设体系,医疗机构将更优能力应对安全风险。当然,对于为了钱而不考虑设备安全性的供应商,还是需要监管机构出台更严厉的措施,用合规促进安全。