当心跳能被他人控制,我们拿什么来谈医疗安全?

2018-09-24 107964人围观 ,发现 3 个不明物体 观点

8 月底,飞利浦心血管系统产品出现安全漏洞,泄露患者隐私并造成进一步安全威胁的新闻再次引起了人们对于联网医疗设备安全性的关注与探讨。这已经不是医疗设备第一次爆出漏洞了,每一次漏洞都意味着大量患者信息泄露以及部分不幸患者面临的生命威胁。

心脏“滴血”

早在2007 年,美国前副总统迪克·切尼就曾为防止刺客通过干扰起搏器进行攻击,而让医生将其心脏起搏器的无线功能关闭。2008 年,密歇根大学的安全研究人员曾发现,可以从起搏器中提取敏感信息行,甚至可以通过改变起搏规律或关闭起搏器威胁生命。

465k-pacemakers-critically-vulnerable-users-urge-to-contact-doctors-for-fix.jpg

2016 年,网络安全公司 MedSec Holdings 与做空机构 Muddy Waters 合作公开了一份安全漏洞报告,声称美国老牌医疗器械制造商 St. Jude Medical 制造的心脏起搏器存在漏洞,可能被黑客入侵。后来这两家公司却遭到 St. Jude Medical 的起诉,罪名是不实报道和诽谤。同年 10 月,St. Jude 制造的心脏去颤器电池提早没电,造成两起死亡案例。公司宣布召回 4000 件产品。最终,还是美国食品药品管理局(FDA)确认了报告的真实性。

2017 年 5 月 White Scope 安全公司研究人员发现,四家知名厂商的家用监控系统、植入设备、起搏器编程器和病患支持网络都存在安全问题。四款起搏器编程器所使用的第三方库总共存在 8000 多个漏洞。攻击者可以利用起搏器漏洞编写并远程运行代码,导致心脏跳动频率修改甚至停止。到 9 月份,FDA 也发布安全公告称,Abbott Laboratories(原 St. Jude Medical)所生产的心脏起搏器存在安全漏洞,这些漏洞可被黑客利用,篡改设备设置并将其关闭,对病人造成致命威胁。美国国内有 46.5 万台设备受影响,国外有 28 万台受影响。患者必须要找医生或者供应商才能修复漏洞,进行固件更新。

上述只是心脏起搏器等心血管系统产品所出现的安全问题。放眼整个医疗系统,网络被黑、电脑感染勒索病毒、设备本身存在漏洞等问题近年来不断增加,牵动着医院和患者的神经。此外,运动手环等医疗穿戴设备的风靡也带来了安全隐患。2018 年上半年的热播日本电视剧《非正常死亡》的第 6 集中,凶手在戴在耳后、用于监控心率等健康指标的运动设备上动了手脚,随后通过调整电流实施谋杀。这无疑是现实的缩影。

医疗系统面临的攻击面不断扩大

医疗系统容易遭受攻击的一大原因是医疗网络边界不断开放,而医疗机构所使用的电脑等终端很多都是尚未更新的老旧设备,web服务器、DNS服务器、mail服务器等端口和服务往往因为被忽视而长期开放,容易被攻击者利用。2017 年大规模爆发的 WannaCry 勒索病毒就是通过 445 端口传播,当时也影响了很多医疗机构。由于医疗机构的业务与患者的人身安全直接相关且资料高度重要,因此很容易成为勒索攻击的对象。

此外,包括心脏起搏器在内的医疗设备大多通过一些无线协议(如 MQTT 等)直接与其他设备连接并通信,这就意味着攻击者可以通过这些协议的通信代理组件找到相关的医疗设备,发起攻击。还有一些医疗系统或平台的访问限制不够严格,直接向警方等执法机构开放权限,导致患者信息极易泄露。截至 2018 年 9 月份,共有约 90 万澳大利亚居民选择退出其政府的“我的健康记录(My Healthcare Record)”系统,就是因为这个系统向警察开放权限,存在信息滥用风险。

health_security_insulin_pump_pacemaker.png

近年来,利用软件供应链漏洞发起攻击收到了很多攻击者的青睐,医疗机构也无法幸免。医疗行业高度依赖合作机构的网络,如果攻击者无法直接攻击医疗组织,就会通过供应商等其他渠道下手。攻击者还可以通过供应商或供应链来瞄准较大的行业,甚至潜伏很长时间,形成 APT 攻击。2018 年 7 月底,新家坡卫生部医疗系统网络遭遇入侵,150 万公民健康数据泄露,新家坡国家总理李显龙的医疗信息也包括在内。当时的分析认为,这是一起来自“民族国家”的有针对性的 APT 攻击,获取的数据将用于对个人或组织进行进一步威胁。

来自供应链的攻击对医疗机构而言是一个重大威胁。一方面,攻击链暴露的薄弱点更多,更容易被利用;另一方面,攻击者可以通过一些原本可信的渠道进入敏感区域,甚至躲过监控。

利用供应链漏洞的黑客通常会采用以下三种形式发起攻击:

劫持供应商的域并将流量引导到另一个受感染的域;

直接入侵供应商的签署证书软件;这种方式一般很难预防,软件被感染,供应商的证书签名也难以幸免,这意味着任何检查证书有效性的接收系统都可能被暴露。

攻击第三方主机服务,与主机相关的网站可能会被感染并将病毒传播到供应链上的其他机构中。

由于医疗机构大量依赖第三方服务,且近年来越来越多的医疗设备开始联网,因此很容易受到攻击。

医疗机构安全实施现状

美国 卫生与公众服务部 (Department of Health and Human services) 的调查结果显示,90% 的医疗机构入侵事件都是因为供应商出现了问题。HIMSS Analytics 与 Symantec 的共同研究结果则表明,82% 的受访医疗机构都表示曾在董事会层面讨论了网络安全政策,但只有 40% 的人认为网络安全是需要定期安排实施的事项。而推动医疗机构网络安全投资的三大主要原因都是与合规或审查有关的风险评估、HIPAA合规性以及安全或财务审计。

此外,75% 的医疗机构在安全方面的预算不超过 6%,明显低于安全业务更成熟的金融行业的投入。其中,预算、人员短缺和技能不足是阻碍医疗机构部署安全措施的三大要素,与其他行业网络安全建设所面临的难题相似。

这些调查结果表明,虽然网络安全问题已经得到了医疗机构的重视,但在实际落地中仍有待发展。

联网医疗设备带来更大安全挑战

正如开头所说,越来越多的医疗设备联网带来了医疗领域中新的安全问题。根据 Ponemon Institute 最近的一项研究,80% 的设备制造商和医疗机构认为医疗设备的安全很重要。与此同时,67% 的设备制造商和 56% 的医疗机构预计在未来 12 个月内会出现设备安全漏洞。

screen-shot-2018-08-21-at-09-10-09.png

黑客控制医疗设备并影响其功能,进而获取患者资料甚至危及患者生命的后果式医疗设备安全无比重要的一大原因。此外,医疗设备上的恶意软件还可能导致医疗服务中断,设备漏洞给网络带来的感染和入侵或可能严重影响其他医疗服务业务。虽然医疗设备和设备网络本身十分复杂,导致相关安全建设面临重重挑战,但由于与患者安全息息相关,因此这将成为未来医疗系统安全建设的一大重点。

医疗机构应该怎么办

近年来,医院、知名企业甚至政府都接连受到勒索软件的攻击以及一些成熟黑客组织的 APT 攻击。这也迫使医疗机构正视网络安全问题,实实在在做出防御。毕竟不论是病毒勒索还是医疗设备被远程控制,都是人命关天的事。面对当前的重大挑战,医疗机构应该:

将网络安全视为商业风险,而不仅仅是技术挑战;

让董事会层面和管理层意识到安全问题的严重性并定期实施安全检查和防御;

提升员工安全意识,并根据员工的角色和职责进行培训;

招聘并留住懂安全的员工;

设立医疗安全官或医疗设备安全专家等安全相关的新职务,以解决特定的安全挑战;

在购买设备时考虑安全隐患;

测试并实施网络安全事件响应协议

如果能将这些实践纳入整个网络安全建设体系,医疗机构将更优能力应对安全风险。当然,对于为了钱而不考虑设备安全性的供应商,还是需要监管机构出台更严厉的措施,用合规促进安全。

参考来源:

http://www.freebuf.com/news/14880.html

https://www.reuters.com/article/us-st-jude-medical-cyber-idUSKCN11D1FR

http://www.freebuf.com/news/135899.html

https://www.hackread.com/465k-pacemakers-vulnerable-users-must-go-to-doctors-for-fix/

https://healthtechmagazine.net/article/2018/08/healthcare-cybersecurity-how-providers-can-catch

*本文作者:AngelaY,转载请注明来自 FreeBuf.COM

发表评论

已有 3 条评论

  • 柠檬初上  (5级) 重剑无锋 大巧不工~!  2018-09-25 回复 1楼
  • 隐于世  2018-09-29 回复 2楼

    本来就没有安全的,医疗行业,根本没什么技术的, 比如治病, 根本不能叫治病, 实际病是需要你自己医的,如果你的细胞已经丧失了自救能力,那么吃再多药也不行
    药的作用是欺骗一下你的细胞,让你细胞去干活,感冒了,吃感冒药,目的是让你身体加速工作,并不是药去杀死驱逐病毒,而且这种药还不如一张狗皮膏药强,狗皮膏药作用是局部的,吃进去的药是全身性的,随着血液,药物全身转的,杀敌一千自损800,
    医疗上,深层次的,比如DNA,目前基因的并不能保证100%准确的探测,而且还有很多内容还不清楚(基因只研究到表面的东西,但像长的像隔避老王,验一下基因是亲生的,比窦娥还冤,还有性格,记忆,智商等),甚至错了多少,错在哪个地方都不知道, 目前最好的医学显微镜是荧光镜(实际是紫外线光,因为紫外线光波长短,可见光太长,受光学限制,可见光放大极限只能2000倍左右),这些放大镜,只能是在死物上的放大,把你的细胞切的超级薄,薄到透明的片,然后通过照射透出来的光来观察)
    将来需要的是X段的或是伽马段(实际都是电磁波)的显微镜,才行, 那时可以穿透你身体看你身体中任何部位的DNA情况,
    X光太粗, 实际估计是伽马段的去修改活体细胞基因, (最小细胞是10-50nm左右, 氢原子直径是0.1nm左右,即1唉,这么小,必然要超短波长的电磁波去实现)
    等到这一步,差不多可以实现电影"极乐空间"中医疗床的功能了,当然长生不老也差不多实现了, 真要努力干,20-30年是可以做到的,可目前医疗业不管国内国外,严重的商业化,拼命捞钱化,不去努力去更新发展技术,所以,100年都不一定能达到…

  • 隐于世  2018-09-29 回复 3楼

    医疗行业,他们连自己本职的技术都搞不定,不能指望他们去开IT行业的东西了,IT行业东西是简单的,但是量海了去了,以他们的这么低智商,这么小的脑容量,脑缓存等,是玩不转的

取消
Loading...
css.php