當心跳能被他人控制,我們拿什麼來談醫療安全?
8 月底,飛利浦心血管系統產品出現安全漏洞,洩露患者隱私並造成進一步安全威脅的新聞再次引起了人們對於聯網醫療裝置安全性的關注與探討。這已經不是醫療裝置第一次爆出漏洞了,每一次漏洞都意味著大量患者資訊洩露以及部分不幸患者面臨的生命威脅。
心臟“滴血”
早在2007 年,美國前副總統迪克·切尼就曾為防止刺客通過干擾起搏器進行攻擊,而讓醫生將其心臟起搏器的無線功能關閉。2008 年,密歇根大學的安全研究人員曾發現,可以從起搏器中提取敏感資訊行,甚至 可以通過改變起搏規律或關閉起搏器威脅生命。
2016 年,網路安全公司 MedSec Holdings 與做空機構 Muddy Waters 合作公開了一份安全漏洞報告,聲稱美國老牌醫療器械製造商 St. Jude Medical 製造的心臟起搏器存在漏洞,可能被黑客入侵。後來這兩家公司卻遭到 St. Jude Medical 的起訴,罪名是不實報道和誹謗。同年 10 月,St. Jude 製造的心臟去顫器電池提早沒電, 造成兩起死亡案例 。公司宣佈召回 4000 件產品。最終,還是美國食品藥品管理局(FDA)確認了報告的真實性。
2017 年 5 月 White Scope 安全公司研究人員發現,四家知名廠商的家用監控系統、植入裝置、起搏器程式設計器和病患支援網路都存在安全問題。四款起搏器程式設計器所使用的第三方庫總共存在 8000 多個漏洞。攻擊者可以利用起搏器漏洞編寫並遠端執行程式碼,導致心臟跳動頻率修改甚至停止。到 9 月份,FDA 也釋出安全公告稱,Abbott Laboratories(原 St. Jude Medical)所生產的心臟起搏器存在安全漏洞,這些漏洞可被黑客利用,篡改裝置設定並將其關閉,對病人造成致命威脅。美國國內有 46.5 萬臺裝置受影響,國外有 28 萬臺受影響。患者必須要找醫生或者供應商才能修復漏洞,進行韌體更新。
上述只是心臟起搏器等心血管系統產品所出現的安全問題。放眼整個醫療系統,網路被黑、電腦感染勒索病毒、裝置本身存在漏洞等問題近年來不斷增加,牽動著醫院和患者的神經。此外,運動手環等醫療穿戴裝置的風靡也帶來了安全隱患。2018 年上半年的熱播日本電視劇《非正常死亡》的第 6 集中,凶手在戴在耳後、用於監控心率等健康指標的運動裝置上動了手腳,隨後通過調整電流實施謀殺。這無疑是現實的縮影。
醫療系統面臨的攻擊面不斷擴大
醫療系統容易遭受攻擊的一大原因是醫療網路邊界不斷開放,而醫療機構所使用的電腦等終端很多都是尚未更新的老舊裝置,web伺服器、DNS伺服器、mail伺服器等埠和服務往往因為被忽視而長期開放,容易被攻擊者利用。2017 年大規模爆發的 WannaCry 勒索病毒就是通過 445 埠傳播,當時也影響了很多醫療機構。由於醫療機構的業務與患者的人身安全直接相關且資料高度重要,因此很容易成為勒索攻擊的物件。
此外,包括心臟起搏器在內的醫療裝置大多通過一些無線協議(如 MQTT 等)直接與其他裝置連線並通訊,這就意味著攻擊者可以通過這些協議的通訊代理元件找到相關的醫療裝置,發起攻擊。還有一些醫療系統或平臺的訪問限制不夠嚴格,直接向警方等執法機構開放許可權,導致患者資訊極易洩露。截至 2018 年 9 月份,共有約 90 萬澳大利亞居民選擇退出其政府的“我的健康記錄(My Healthcare Record)”系統,就是因為這個系統向警察開放許可權,存在資訊濫用風險。
近年來,利用軟體供應鏈漏洞發起攻擊收到了很多攻擊者的青睞,醫療機構也無法倖免。醫療行業高度依賴合作機構的網路,如果攻擊者無法直接攻擊醫療組織,就會通過供應商等其他渠道下手。攻擊者還可以通過供應商或供應鏈來瞄準較大的行業,甚至潛伏很長時間,形成 APT 攻擊。2018 年 7 月底,新家坡衛生部醫療系統網路遭遇入侵,150 萬公民健康資料洩露,新家坡國家總理李顯龍的醫療資訊也包括在內。當時的分析認為,這是一起來自“民族國家”的有針對性的 APT 攻擊,獲取的資料將用於對個人或組織進行進一步威脅。
來自供應鏈的攻擊對醫療機構而言是一個重大威脅。一方面,攻擊鏈暴露的薄弱點更多,更容易被利用;另一方面,攻擊者可以通過一些原本可信的渠道進入敏感區域,甚至躲過監控。
利用供應鏈漏洞的黑客通常會採用以下三種形式發起攻擊:
劫持供應商的域並將流量引導到另一個受感染的域;
直接入侵供應商的簽署證書軟體;這種方式一般很難預防,軟體被感染,供應商的證書籤名也難以倖免,這意味著任何檢查證書有效性的接收系統都可能被暴露。
攻擊第三方主機服務,與主機相關的網站可能會被感染並將病毒傳播到供應鏈上的其他機構中。
由於醫療機構大量依賴第三方服務,且近年來越來越多的醫療裝置開始聯網,因此很容易受到攻擊。
醫療機構安全實施現狀
美國 衛生與公眾服務部 (Department of Health and Human services) 的調查結果顯示,90% 的醫療機構入侵事件都是因為供應商出現了問題。HIMSS Analytics 與 Symantec 的共同研究結果則表明,82% 的受訪醫療機構都表示曾在董事會層面討論了網路安全政策,但只有 40% 的人認為網路安全是需要定期安排實施的事項。而推動醫療機構網路安全投資的三大主要原因都是與合規或審查有關的風險評估、HIPAA合規性以及安全或財務審計。
此外,75% 的醫療機構在安全方面的預算不超過 6%,明顯低於安全業務更成熟的金融行業的投入。其中,預算、人員短缺和技能不足是阻礙醫療機構部署安全措施的三大要素,與其他行業網路安全建設所面臨的難題相似。
這些調查結果表明,雖然網路安全問題已經得到了醫療機構的重視,但在實際落地中仍有待發展。
聯網醫療裝置帶來更大安全挑戰
正如開頭所說,越來越多的醫療裝置聯網帶來了醫療領域中新的安全問題。根據 Ponemon Institute 最近的一項研究,80% 的裝置製造商和醫療機構認為醫療裝置的安全很重要。與此同時,67% 的裝置製造商和 56% 的醫療機構預計在未來 12 個月內會出現裝置安全漏洞。
黑客控制醫療裝置並影響其功能,進而獲取患者資料甚至危及患者生命的後果式醫療裝置安全無比重要的一大原因。此外,醫療裝置上的惡意軟體還可能導致醫療服務中斷,裝置漏洞給網路帶來的感染和入侵或可能嚴重影響其他醫療服務業務。雖然醫療裝置和裝置網路本身十分複雜,導致相關安全建設面臨重重挑戰,但由於與患者安全息息相關,因此這將成為未來醫療系統安全建設的一大重點。
醫療機構應該怎麼辦
近年來,醫院、知名企業甚至政府都接連受到勒索軟體的攻擊以及一些成熟黑客組織的 APT 攻擊。這也迫使醫療機構正視網路安全問題,實實在在做出防禦。畢竟不論是病毒勒索還是醫療裝置被遠端控制,都是人命關天的事。面對當前的重大挑戰,醫療機構應該:
將網路安全視為商業風險,而不僅僅是技術挑戰;
讓董事會層面和管理層意識到安全問題的嚴重性並定期實施安全檢查和防禦;
提升員工安全意識,並根據員工的角色和職責進行培訓;
招聘並留住懂安全的員工;
設立醫療安全官或醫療裝置安全專家等安全相關的新職務,以解決特定的安全挑戰;
在購買裝置時考慮安全隱患;
測試並實施網路安全事件響應協議
如果能將這些實踐納入整個網路安全建設體系,醫療機構將更優能力應對安全風險。當然,對於為了錢而不考慮裝置安全性的供應商,還是需要監管機構出臺更嚴厲的措施,用合規促進安全。
參考來源:
ofollow,noindex" target="_blank">http://www.freebuf.com/news/14880.html
https://www.reuters.com/article/us-st-jude-medical-cyber-idUSKCN11D1FR
http://www.freebuf.com/news/135899.html
https://www.hackread.com/465k-pacemakers-vulnerable-users-must-go-to-doctors-for-fix/
https://healthtechmagazine.net/article/2018/08/healthcare-cybersecurity-how-providers-can-catch
*本文作者:AngelaY,轉載請註明來自 FreeBuf.COM