Medjacking:這樣的醫(yī)療黑客夠狠
責(zé)編:mhshi |2015-10-12 10:05:10《Computer?Science?Zone》 今年年初的一份調(diào)查顯示:目前全球有50億智能連接設(shè)備在使用,五年后這個數(shù)字將上升到250億。這里面很大一部分是醫(yī)療設(shè)備,如起搏器、藥泵、移動醫(yī)療 工作臺、家庭監(jiān)控和私人健身設(shè)備等。單美國就有超過1000萬人在使用起搏器、胰島素泵、人工耳蝸等醫(yī)療設(shè)備。
這些醫(yī)療設(shè)備中有一些像起搏器一樣只能發(fā)送無線數(shù)據(jù),另外一些既可以發(fā)送也可以接收信息。黑客可以通過控制這些設(shè)備竊取醫(yī)療數(shù)據(jù),嚴(yán)重的還會給患者帶來性命危險。
2015年7月31日,美國食品與藥品監(jiān)督管理局(Foodand?Drug?Administration)發(fā)出一項安全警告,提醒醫(yī)院避免使用Hospira 生產(chǎn)的Symbiq輸液泵系統(tǒng)。這種輸液泵可以控制靜脈注射的用量,F(xiàn)DA和美國國土安全局認(rèn)為其極易被黑客攻擊,危及患者性命。FDA強(qiáng)烈建議醫(yī)院停止 使用這款輸液泵。
其實,像這樣的例子并不鮮見。甚至,因為醫(yī)療設(shè)備被入侵發(fā)生過于頻繁還產(chǎn)生了一個專有名詞:Medjacking。
雖然這樣的事件在中國并不多見,但是了解黑客如何入侵醫(yī)療設(shè)備對以后的醫(yī)療設(shè)備安全防護(hù)也是一種借鑒。
小鑰匙開大門
黑客確實可以通過控制某個醫(yī)療設(shè)備來傷害某位患者,就像《國土安全》中的劇情一樣。但是到目前為止,黑客入侵醫(yī)療設(shè)備都是為了打開進(jìn)入醫(yī)療系統(tǒng)的大門,進(jìn)而竊取受保護(hù)的醫(yī)療信息。
2015 年6月,安全公司TrapX發(fā)布了一份報告顯示,大多數(shù)醫(yī)療機(jī)構(gòu)的醫(yī)療設(shè)備都很容易被黑客入侵。報告詳細(xì)介紹了三個醫(yī)院發(fā)生的入侵事件:其中一個醫(yī)院,血 液氣體分析儀被兩種惡意軟件感染,黑客進(jìn)而竊取了進(jìn)入醫(yī)院其他系統(tǒng)的密碼,并將保密數(shù)據(jù)傳送到了東歐。另一個醫(yī)院中,黑客入侵了放射科的影像存儲系統(tǒng),并 通過該系統(tǒng)進(jìn)入其主要網(wǎng)絡(luò),將敏感數(shù)據(jù)傳送到了中國。還有一家醫(yī)院,黑客在一個藥泵中安裝了一個入口,進(jìn)而入侵了醫(yī)院的主要網(wǎng)絡(luò)。
這些網(wǎng)絡(luò)罪犯大多數(shù)還是沖著錢來的。9月15日,Healthcare?IT?News的一篇報道中指出,被盜取的醫(yī)療身份信息所帶來的經(jīng)濟(jì)利益比信用卡號碼要高出很多倍。
在現(xiàn)有安全狀態(tài)下,黑客很容易便可入侵醫(yī)療設(shè)備并在其數(shù)據(jù)系統(tǒng)中盜取大量患者記錄。Medjack可以迅速滲入這些醫(yī)療設(shè)備,建立指令并控制設(shè)備運行,之后用這些作為支點來入侵并泄露整個醫(yī)療機(jī)構(gòu)的數(shù)據(jù)。
現(xiàn) 在,大容量數(shù)據(jù)盜竊已經(jīng)成了medjacker的黃金門票,但是仍然存在很多其他類型的惡意入侵。2015年6月,Wired的一份報道稱,安全研究員 Billy?Rios編寫了一項程序,可以遠(yuǎn)程控制藥泵來給醫(yī)院患者發(fā)送致命劑量的藥品。試想一下,如果網(wǎng)絡(luò)罪犯使用這項程序來制造恐慌、傷害患者或?qū)⑵?作為籌碼來勒索后果會是怎樣。
解決方案來得太慢
近 年來,安全研究員們不斷提高醫(yī)療設(shè)備安全警告等級。2012年,安全研究員杰伊·拉德克里夫(Jay?Radcliffe)向人們展示了如何利用從電子商 店花20美元買來的無線電廣播發(fā)射機(jī)入侵胰島素泵。這件事一時之間引起轟動,F(xiàn)DA也向制造商發(fā)出了安全建議,就連國土安全部也著手調(diào)查醫(yī)療設(shè)備中的網(wǎng)絡(luò) 安全漏洞。
保證醫(yī)療設(shè)備安全面臨很多挑戰(zhàn)。許多醫(yī)療設(shè)備都是建立在VxWorks實 時操作系統(tǒng)上,和其他任何操作系統(tǒng)一樣,VxWorks中新安全漏洞出現(xiàn)的速度比彌補(bǔ)已有漏洞的速度快得多。另一個挑戰(zhàn)是,雖然醫(yī)療信息技術(shù)員工可以管理 醫(yī)院信息系統(tǒng)的安全,但是他們無法接觸醫(yī)療設(shè)備的內(nèi)部軟件,只能依賴設(shè)備制造商保護(hù)這些設(shè)備的安全。而事實證明,制造商在解決設(shè)備安全問題上動作遲緩。 Rios在一篇博客中寫道,在他入侵一款藥泵(PCA3)400多天之后,雖然FDA發(fā)布了公告,但仍然沒有看到制造商應(yīng)對該漏洞的方法。
守護(hù)后門
醫(yī) 療設(shè)備的風(fēng)險很可能在沒被遏制前繼續(xù)惡化。面對風(fēng)險,醫(yī)療行業(yè)會很快采取創(chuàng)新設(shè)備和移動應(yīng)用來降低醫(yī)療成本、改善患者生活質(zhì)量。但是要想走在風(fēng)險之前,醫(yī) 療提供者需要放開思維,不僅要保護(hù)存數(shù)數(shù)據(jù)的空間,還應(yīng)考慮如何保護(hù)進(jìn)入數(shù)據(jù)的大門,包括醫(yī)療設(shè)備創(chuàng)造的潛在數(shù)以十億計的后門。
隨 著醫(yī)療設(shè)備入侵案例越來越多,醫(yī)療設(shè)備行業(yè)和管制機(jī)構(gòu)將來必須制定出設(shè)備安全標(biāo)準(zhǔn)和規(guī)范。目前,F(xiàn)DA僅僅制定了設(shè)備安全建議,但是相信規(guī)章條例很快就會 出臺。Computerworld報道稱,國土安全部已經(jīng)和制造商展開合作,一起辨別可以被黑客利用的編碼漏洞,并尋求解決方案。
隨 著人們對Medjacking的關(guān)注不斷上升,設(shè)備安全也會在現(xiàn)有基礎(chǔ)上大大提高。同時,醫(yī)療提供者也可以選擇以下這些方法提高風(fēng)險預(yù)測:選擇安全性最好 的設(shè)備(現(xiàn)在很多設(shè)備在傳送數(shù)據(jù)時甚至都不把數(shù)據(jù)譯成密碼),促使制造商采取安全標(biāo)準(zhǔn)、制定及時的安全漏洞解決方案,分隔網(wǎng)絡(luò)從而將設(shè)備和敏感數(shù)據(jù)分開, 或者訓(xùn)練患者和員工以最安全的方式使用設(shè)備。
近年來網(wǎng)絡(luò)入侵事件猛增,這也警惕我們 數(shù)據(jù)泄露是不可避免的。醫(yī)療提供者在新的威脅發(fā)生之時應(yīng)及時追蹤,這樣黑客入侵就能被快速識別和分離。另外,設(shè)備入侵事件也應(yīng)當(dāng)被列入風(fēng)險管理計劃之中 (如果黑客入侵威脅到個人該怎么辦?多快的速度制止入侵才能避免對使用設(shè)備的人造成傷害?)在最近的一份HIMSS網(wǎng)絡(luò)安全問卷調(diào)查中,32%的受訪者認(rèn) 為終端安全是最大的安全障礙之一。因此醫(yī)療設(shè)備安全應(yīng)該引起醫(yī)療管理者的重視。
隨著信息流動從微觀向宏觀轉(zhuǎn)移,醫(yī)療設(shè)備從小型的患者植入設(shè)備專項大型的診斷設(shè)備、醫(yī)療工作臺、信息系統(tǒng)甚至是大數(shù)據(jù)云中心,醫(yī)療設(shè)備安全問題只是醫(yī)療行業(yè)面臨的新型安全挑戰(zhàn)。
參考資料:
1.Medjacking:The?newest?healthcare?risk?
2.Security?and?the?Internet?of?Things
- ISC.AI 2025正式啟動:AI與安全協(xié)同進(jìn)化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認(rèn)證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團(tuán)賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機(jī)制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧