8 月底,飞利浦心血管系统产品出现安全漏洞,泄露患者隐私并造成进一步安全威胁的新闻再次引起了人们对于联网医疗设备安全性的关注与探讨。这已经不是医疗设备第一次爆出漏洞了,每一次漏洞都意味着大量患者信息泄露以及部分不幸患者面临的生命威胁。
早在2007 年,美国前副总统迪克·切尼就曾为防止刺客通过干扰起搏器进行攻击,而让医生将其心脏起搏器的无线功能关闭。2008 年,密歇根大学的安全研究人员曾发现,可以从起搏器中提取敏感信息行,甚至可以通过改变起搏规律或关闭起搏器威胁生命。
2016 年,网络安全公司 MedSec Holdings 与做空机构 Muddy Waters 合作公开了一份安全漏洞报告,声称美国老牌医疗器械制造商 St. Jude Medical 制造的心脏起搏器存在漏洞,可能被黑客入侵。后来这两家公司却遭到 St. Jude Medical 的起诉,罪名是不实报道和诽谤。同年 10 月,St. Jude 制造的心脏去颤器电池提早没电,造成两起死亡案例。公司宣布召回 4000 件产品。最终,还是美国食品药品管理局(FDA)确认了报告的真实性。
2017 年 5 月 White Scope 安全公司研究人员发现,四家知名厂商的家用监控系统、植入设备、起搏器编程器和病患支持网络都存在安全问题。四款起搏器编程器所使用的第三方库总共存在 8000 多个漏洞。攻击者可以利用起搏器漏洞编写并远程运行代码,导致心脏跳动频率修改甚至停止。到 9 月份,FDA 也发布安全公告称,Abbott Laboratories(原 St. Jude Medical)所生产的心脏起搏器存在安全漏洞,这些漏洞可被黑客利用,篡改设备设置并将其关闭,对病人造成致命威胁。美国国内有 46.5 万台设备受影响,国外有 28 万台受影响。患者必须要找医生或者供应商才能修复漏洞,进行固件更新。
上述只是心脏起搏器等心血管系统产品所出现的安全问题。放眼整个医疗系统,网络被黑、电脑感染勒索病毒、设备本身存在漏洞等问题近年来不断增加,牵动着医院和患者的神经。此外,运动手环等医疗穿戴设备的风靡也带来了安全隐患。2018 年上半年的热播日本电视剧《非正常死亡》的第 6 集中,凶手在戴在耳后、用于监控心率等健康指标的运动设备上动了手脚,随后通过调整电流实施谋杀。这无疑是现实的缩影。
医疗系统容易遭受攻击的一大原因是医疗网络边界不断开放,而医疗机构所使用的电脑等终端很多都是尚未更新的老旧设备,web服务器、DNS服务器、mail服务器等端口和服务往往因为被忽视而长期开放,容易被攻击者利用。2017 年大规模爆发的 WannaCry 勒索病毒就是通过 445 端口传播,当时也影响了很多医疗机构。由于医疗机构的业务与患者的人身安全直接相关且资料高度重要,因此很容易成为勒索攻击的对象。
此外,包括心脏起搏器在内的医疗设备大多通过一些无线协议(如 MQTT 等)直接与其他设备连接并通信,这就意味着攻击者可以通过这些协议的通信代理组件找到相关的医疗设备,发起攻击。还有一些医疗系统或平台的访问限制不够严格,直接向警方等执法机构开放权限,导致患者信息极易泄露。截至 2018 年 9 月份,共有约 90 万澳大利亚居民选择退出其政府的“我的健康记录(My Healthcare Record)”系统,就是因为这个系统向警察开放权限,存在信息滥用风险。
近年来,利用软件供应链漏洞发起攻击收到了很多攻击者的青睐,医疗机构也无法幸免。医疗行业高度依赖合作机构的网络,如果攻击者无法直接攻击医疗组织,就会通过供应商等其他渠道下手。攻击者还可以通过供应商或供应链来瞄准较大的行业,甚至潜伏很长时间,形成 APT 攻击。2018 年 7 月底,新家坡卫生部医疗系统网络遭遇入侵,150 万公民健康数据泄露,新家坡国家总理李显龙的医疗信息也包括在内。当时的分析认为,这是一起来自“民族国家”的有针对性的 APT 攻击,获取的数据将用于对个人或组织进行进一步威胁。
来自供应链的攻击对医疗机构而言是一个重大威胁。一方面,攻击链暴露的薄弱点更多,更容易被利用;另一方面,攻击者可以通过一些原本可信的渠道进入敏感区域,甚至躲过监控。
利用供应链漏洞的黑客通常会采用以下三种形式发起攻击:
劫持供应商的域并将流量引导到另一个受感染的域;
直接入侵供应商的签署证书软件;这种方式一般很难预防,软件被感染,供应商的证书签名也难以幸免,这意味着任何检查证书有效性的接收系统都可能被暴露。
攻击第三方主机服务,与主机相关的网站可能会被感染并将病毒传播到供应链上的其他机构中。
由于医疗机构大量依赖第三方服务,且近年来越来越多的医疗设备开始联网,因此很容易受到攻击。
美国 卫生与公众服务部 (Department of Health and Human services) 的调查结果显示,90% 的医疗机构入侵事件都是因为供应商出现了问题。HIMSS Analytics 与 Symantec 的共同研究结果则表明,82% 的受访医疗机构都表示曾在董事会层面讨论了网络安全政策,但只有 40% 的人认为网络安全是需要定期安排实施的事项。而推动医疗机构网络安全投资的三大主要原因都是与合规或审查有关的风险评估、HIPAA合规性以及安全或财务审计。
此外,75% 的医疗机构在安全方面的预算不超过 6%,明显低于安全业务更成熟的金融行业的投入。其中,预算、人员短缺和技能不足是阻碍医疗机构部署安全措施的三大要素,与其他行业网络安全建设所面临的难题相似。
这些调查结果表明,虽然网络安全问题已经得到了医疗机构的重视,但在实际落地中仍有待发展。
正如开头所说,越来越多的医疗设备联网带来了医疗领域中新的安全问题。根据 Ponemon Institute 最近的一项研究,80% 的设备制造商和医疗机构认为医疗设备的安全很重要。与此同时,67% 的设备制造商和 56% 的医疗机构预计在未来 12 个月内会出现设备安全漏洞。
黑客控制医疗设备并影响其功能,进而获取患者资料甚至危及患者生命的后果式医疗设备安全无比重要的一大原因。此外,医疗设备上的恶意软件还可能导致医疗服务中断,设备漏洞给网络带来的感染和入侵或可能严重影响其他医疗服务业务。虽然医疗设备和设备网络本身十分复杂,导致相关安全建设面临重重挑战,但由于与患者安全息息相关,因此这将成为未来医疗系统安全建设的一大重点。
近年来,医院、知名企业甚至政府都接连受到勒索软件的攻击以及一些成熟黑客组织的 APT 攻击。这也迫使医疗机构正视网络安全问题,实实在在做出防御。毕竟不论是病毒勒索还是医疗设备被远程控制,都是人命关天的事。面对当前的重大挑战,医疗机构应该:
将网络安全视为商业风险,而不仅仅是技术挑战;
让董事会层面和管理层意识到安全问题的严重性并定期实施安全检查和防御;
提升员工安全意识,并根据员工的角色和职责进行培训;
招聘并留住懂安全的员工;
设立医疗安全官或医疗设备安全专家等安全相关的新职务,以解决特定的安全挑战;
在购买设备时考虑安全隐患;
测试并实施网络安全事件响应协议
如果能将这些实践纳入整个网络安全建设体系,医疗机构将更优能力应对安全风险。当然,对于为了钱而不考虑设备安全性的供应商,还是需要监管机构出台更严厉的措施,用合规促进安全。
http://www.freebuf.com/news/14880.html
https://www.reuters.com/article/us-st-jude-medical-cyber-idUSKCN11D1FR
http://www.freebuf.com/news/135899.html
https://www.hackread.com/465k-pacemakers-vulnerable-users-must-go-to-doctors-for-fix/
https://healthtechmagazine.net/article/2018/08/healthcare-cybersecurity-how-providers-can-catch
*本文作者:AngelaY,转载请注明来自 FreeBuf.COM