Medjacking:這樣的醫療黑客夠狠
責編:mhshi |2015-10-12 10:05:10《Computer?Science?Zone》 今年年初的一份調查顯示:目前全球有50億智能連接設備在使用,五年后這個數字將上升到250億。這里面很大一部分是醫療設備,如起搏器、藥泵、移動醫療 工作臺、家庭監控和私人健身設備等。單美國就有超過1000萬人在使用起搏器、胰島素泵、人工耳蝸等醫療設備。
這些醫療設備中有一些像起搏器一樣只能發送無線數據,另外一些既可以發送也可以接收信息。黑客可以通過控制這些設備竊取醫療數據,嚴重的還會給患者帶來性命危險。
2015年7月31日,美國食品與藥品監督管理局(Foodand?Drug?Administration)發出一項安全警告,提醒醫院避免使用Hospira 生產的Symbiq輸液泵系統。這種輸液泵可以控制靜脈注射的用量,FDA和美國國土安全局認為其極易被黑客攻擊,危及患者性命。FDA強烈建議醫院停止 使用這款輸液泵。
其實,像這樣的例子并不鮮見。甚至,因為醫療設備被入侵發生過于頻繁還產生了一個專有名詞:Medjacking。
雖然這樣的事件在中國并不多見,但是了解黑客如何入侵醫療設備對以后的醫療設備安全防護也是一種借鑒。
小鑰匙開大門
黑客確實可以通過控制某個醫療設備來傷害某位患者,就像《國土安全》中的劇情一樣。但是到目前為止,黑客入侵醫療設備都是為了打開進入醫療系統的大門,進而竊取受保護的醫療信息。
2015 年6月,安全公司TrapX發布了一份報告顯示,大多數醫療機構的醫療設備都很容易被黑客入侵。報告詳細介紹了三個醫院發生的入侵事件:其中一個醫院,血 液氣體分析儀被兩種惡意軟件感染,黑客進而竊取了進入醫院其他系統的密碼,并將保密數據傳送到了東歐。另一個醫院中,黑客入侵了放射科的影像存儲系統,并 通過該系統進入其主要網絡,將敏感數據傳送到了中國。還有一家醫院,黑客在一個藥泵中安裝了一個入口,進而入侵了醫院的主要網絡。
這些網絡罪犯大多數還是沖著錢來的。9月15日,Healthcare?IT?News的一篇報道中指出,被盜取的醫療身份信息所帶來的經濟利益比信用卡號碼要高出很多倍。
在現有安全狀態下,黑客很容易便可入侵醫療設備并在其數據系統中盜取大量患者記錄。Medjack可以迅速滲入這些醫療設備,建立指令并控制設備運行,之后用這些作為支點來入侵并泄露整個醫療機構的數據。
現 在,大容量數據盜竊已經成了medjacker的黃金門票,但是仍然存在很多其他類型的惡意入侵。2015年6月,Wired的一份報道稱,安全研究員 Billy?Rios編寫了一項程序,可以遠程控制藥泵來給醫院患者發送致命劑量的藥品。試想一下,如果網絡罪犯使用這項程序來制造恐慌、傷害患者或將其 作為籌碼來勒索后果會是怎樣。
解決方案來得太慢
近 年來,安全研究員們不斷提高醫療設備安全警告等級。2012年,安全研究員杰伊·拉德克里夫(Jay?Radcliffe)向人們展示了如何利用從電子商 店花20美元買來的無線電廣播發射機入侵胰島素泵。這件事一時之間引起轟動,FDA也向制造商發出了安全建議,就連國土安全部也著手調查醫療設備中的網絡 安全漏洞。
保證醫療設備安全面臨很多挑戰。許多醫療設備都是建立在VxWorks實 時操作系統上,和其他任何操作系統一樣,VxWorks中新安全漏洞出現的速度比彌補已有漏洞的速度快得多。另一個挑戰是,雖然醫療信息技術員工可以管理 醫院信息系統的安全,但是他們無法接觸醫療設備的內部軟件,只能依賴設備制造商保護這些設備的安全。而事實證明,制造商在解決設備安全問題上動作遲緩。 Rios在一篇博客中寫道,在他入侵一款藥泵(PCA3)400多天之后,雖然FDA發布了公告,但仍然沒有看到制造商應對該漏洞的方法。
守護后門
醫 療設備的風險很可能在沒被遏制前繼續惡化。面對風險,醫療行業會很快采取創新設備和移動應用來降低醫療成本、改善患者生活質量。但是要想走在風險之前,醫 療提供者需要放開思維,不僅要保護存數數據的空間,還應考慮如何保護進入數據的大門,包括醫療設備創造的潛在數以十億計的后門。
隨 著醫療設備入侵案例越來越多,醫療設備行業和管制機構將來必須制定出設備安全標準和規范。目前,FDA僅僅制定了設備安全建議,但是相信規章條例很快就會 出臺。Computerworld報道稱,國土安全部已經和制造商展開合作,一起辨別可以被黑客利用的編碼漏洞,并尋求解決方案。
隨 著人們對Medjacking的關注不斷上升,設備安全也會在現有基礎上大大提高。同時,醫療提供者也可以選擇以下這些方法提高風險預測:選擇安全性最好 的設備(現在很多設備在傳送數據時甚至都不把數據譯成密碼),促使制造商采取安全標準、制定及時的安全漏洞解決方案,分隔網絡從而將設備和敏感數據分開, 或者訓練患者和員工以最安全的方式使用設備。
近年來網絡入侵事件猛增,這也警惕我們 數據泄露是不可避免的。醫療提供者在新的威脅發生之時應及時追蹤,這樣黑客入侵就能被快速識別和分離。另外,設備入侵事件也應當被列入風險管理計劃之中 (如果黑客入侵威脅到個人該怎么辦?多快的速度制止入侵才能避免對使用設備的人造成傷害?)在最近的一份HIMSS網絡安全問卷調查中,32%的受訪者認 為終端安全是最大的安全障礙之一。因此醫療設備安全應該引起醫療管理者的重視。
隨著信息流動從微觀向宏觀轉移,醫療設備從小型的患者植入設備專項大型的診斷設備、醫療工作臺、信息系統甚至是大數據云中心,醫療設備安全問題只是醫療行業面臨的新型安全挑戰。
參考資料:
1.Medjacking:The?newest?healthcare?risk?
2.Security?and?the?Internet?of?Things