近日,一款在美國(guó)被廣泛應(yīng)用于醫(yī)療機(jī)構(gòu)的APP被爆存在“后門(mén)”,任何人只要擁有硬編碼憑證就可以獲取和修改病人(其中包括即將或正在手術(shù)的病人)的私密數(shù)據(jù),嚴(yán)重影響病人安全。
醫(yī)療系統(tǒng)安全現(xiàn)狀
近些年來(lái),醫(yī)療行業(yè)為了尋求更高效的治療以及更完善的醫(yī)療體系,開(kāi)始越來(lái)越依賴(lài)于互聯(lián)網(wǎng)。而這一措施也暴露出了一個(gè)非常嚴(yán)重的問(wèn)題——大量在醫(yī)院使用的電腦以及醫(yī)療設(shè)備正成為非常容易被黑客攻擊的對(duì)象。
2015年的一份調(diào)查顯示:
目前全球有50億智能連接設(shè)備在使用,五年后這個(gè)數(shù)字將上升到250億。其中很大一部分是醫(yī)療設(shè)備,如起搏器、藥泵、移動(dòng)醫(yī)療工作臺(tái)、家庭監(jiān)控和私人健身設(shè)備等。單美國(guó)就有超過(guò)1000萬(wàn)人在使用起搏器、胰島素泵、人工耳蝸等醫(yī)療設(shè)備。
這些醫(yī)療設(shè)備中有一些像起搏器一樣只能發(fā)送無(wú)線數(shù)據(jù),另外一些既可以發(fā)送也可以接收信息。黑客可以通過(guò)控制這些設(shè)備竊取醫(yī)療數(shù)據(jù),嚴(yán)重的還會(huì)給患者帶來(lái)性命危險(xiǎn)。
PIMS系統(tǒng)“后門(mén)”
近日,一起醫(yī)療系統(tǒng)漏洞曝光,傳出問(wèn)題的正是MEDHOST公司的圍術(shù)期信息管理系統(tǒng)(PIMS),該系統(tǒng)旨在幫助臨床團(tuán)隊(duì)做好術(shù)前患者信息管理,但是卻含有一個(gè)隱藏的用戶(hù)名和密碼,雖然該帳號(hào)密碼并未對(duì)外公開(kāi),但一旦被有心人士取得,則形同“后門(mén)”漏洞,讓近日將要進(jìn)行或剛完成手術(shù)病人的相關(guān)資料,遭受被竄改的威脅。
該漏洞由美國(guó)卡內(nèi)基美隆大學(xué)的CERT安全顧問(wèn)團(tuán)隊(duì)發(fā)現(xiàn),該團(tuán)隊(duì)主要負(fù)責(zé)發(fā)掘漏洞和解決安全問(wèn)題。漏洞發(fā)現(xiàn)的第一時(shí)間,CERT團(tuán)隊(duì)便針對(duì)這款舊名VPIMS的系統(tǒng)發(fā)出安全通報(bào),該公司并已經(jīng)推出修補(bǔ)軟體,醫(yī)療院所用戶(hù)只要升級(jí)軟體便可解決該問(wèn)題。
App的使用者通常是醫(yī)務(wù)人員和醫(yī)生,他們可以得到很多有關(guān)患者的數(shù)據(jù)。在MEDHOST的官方網(wǎng)站上,該公司宣稱(chēng):這款A(yù)PP可以協(xié)助麻醉師“獲取重危病患的實(shí)時(shí)信息,并確保病人病情和狀態(tài)保持良好”,以及“獲取病人醫(yī)療病史、體檢報(bào)告等詳細(xì)信息,并可以將具體數(shù)據(jù)隨時(shí)提供給醫(yī)療機(jī)構(gòu)的所有臨床醫(yī)生。”
目前還無(wú)法得知這款可以為手術(shù)醫(yī)師、麻醉師與護(hù)理師提供實(shí)時(shí)病人狀態(tài)與病歷資訊的系統(tǒng),已經(jīng)賣(mài)給了多少醫(yī)療機(jī)構(gòu)?是否已經(jīng)銷(xiāo)售到了海外市場(chǎng)?不過(guò),據(jù)說(shuō)MEDHOST公司的客戶(hù)有超過(guò)1000家醫(yī)療機(jī)構(gòu)。
截至目前,Medhost公司的發(fā)言人并未對(duì)此事作出回應(yīng)。
頻發(fā)的醫(yī)療災(zāi)難
此前,美國(guó)醫(yī)療系統(tǒng)的網(wǎng)絡(luò)已多次遭到黑客攻擊。
2009年,美國(guó)衛(wèi)生和人道服務(wù)部網(wǎng)站發(fā)生過(guò)信息泄露;
2011年,佐治亞州勞倫斯維爾的醫(yī)療中心Gwinnett Medical Center因?yàn)橐环N病毒使其電腦系統(tǒng)陷入癱瘓,對(duì)所有非急診病人關(guān)閉3天;
2014年6月,蒙大拿州公共衛(wèi)生部的服務(wù)器遭到黑客攻擊,多達(dá)100萬(wàn)人受到影響;
2014年8月,美國(guó)第二大上市醫(yī)院集團(tuán)——Community Health遭到黑客攻擊,被竊信息包括患者的姓名、地址、生日和社會(huì)安全號(hào)碼等;
2016年2月,位于洛杉磯的好萊塢長(zhǎng)老會(huì)醫(yī)療中心遭到黑客勒索軟件攻擊,支付1.7萬(wàn)美元后恢復(fù);
2016年2月,兩家德國(guó)醫(yī)院——盧卡斯醫(yī)院、Klinikum Arnsberg醫(yī)院受到勒索軟件攻擊;
2016年5月,美國(guó)Merge Health care公司,一臺(tái)關(guān)鍵醫(yī)療設(shè)備在心臟手術(shù)期間因?yàn)檐浖\(yùn)行的PC上安裝的殺毒軟件的定時(shí)掃描而崩潰。
結(jié)語(yǔ)
雖然,較于金融、軍事以及各大公司網(wǎng)絡(luò),醫(yī)療行業(yè)網(wǎng)絡(luò)的被黑客攻擊的機(jī)率的確少得多,但是,一個(gè)明顯的趨勢(shì):醫(yī)療行業(yè)已經(jīng)逐漸成為所有系統(tǒng)中最脆弱的一個(gè)。
其中一個(gè)最重要的原因就是醫(yī)療行業(yè)對(duì)待網(wǎng)絡(luò)攻擊的懈怠態(tài)度。美國(guó)約翰霍普金斯大學(xué)信息安全協(xié)會(huì)的計(jì)算機(jī)科學(xué)家以及技術(shù)總監(jiān)Avi Rubin表示:
“醫(yī)療行業(yè)系統(tǒng)是我見(jiàn)過(guò)漏洞最多的一個(gè)系統(tǒng),如果金融行業(yè)在對(duì)待網(wǎng)絡(luò)安全問(wèn)題跟醫(yī)療行業(yè)的態(tài)度一樣,那么估計(jì)沒(méi)人有膽量把錢(qián)交給這些機(jī)構(gòu)了。”
隨著醫(yī)療設(shè)施遭受黑客攻擊的威脅加劇,且攻擊形式日趨多樣性,比如針對(duì)性攻擊、勒索軟件攻擊、DDoS攻擊等,醫(yī)療設(shè)備廠商和醫(yī)院技術(shù)團(tuán)隊(duì)?wèi)?yīng)該重視網(wǎng)絡(luò)安全防范,多關(guān)注一些醫(yī)療設(shè)備安全問(wèn)題,避免成為黑客的攻擊目標(biāo)。