美國知名科技媒體《連線》長期撰稿人吉姆-曾特(Kim Zetter)日前對現(xiàn)代醫(yī)院醫(yī)療設(shè)備領(lǐng)域所面臨的風(fēng)險(xiǎn)展開了一次詳盡的調(diào)查。在調(diào)查中，曾特發(fā)現(xiàn)目前醫(yī)院所使用的大多數(shù)醫(yī)療設(shè)備都存在著被黑客入侵的風(fēng)險(xiǎn)，而這一風(fēng)險(xiǎn)甚至可能會造成致命的后果。然而，許多醫(yī)療機(jī)構(gòu)還是出于這樣或那樣的原因沒有對此給予足夠的重視。

以下是文章主要內(nèi)容：

當(dāng)我的同事斯科特-埃文(Scott Erven)被獲準(zhǔn)使用“中西部健康醫(yī)療中心”(Midwest health care facilities)大部分醫(yī)療器械的時(shí)候，他就肯定自己能夠從中找到許多安全漏洞。但出乎他意料之外的是，埃文沒有想到自己竟然能夠找到如此之多的設(shè)備漏洞。

在這個(gè)為期兩年的研究中，埃文和他的團(tuán)隊(duì)發(fā)現(xiàn)主要被用于為病患按劑量注入諸如嗎啡這些藥物的“藥物輸液泵”(drug infusion pumps)可以被遠(yuǎn)程控制以改變預(yù)先設(shè)定的輸入劑量;具備藍(lán)牙連接功能的心臟電擊器可能被遠(yuǎn)程控制，并給予病患不恰當(dāng)?shù)碾姄舸螖?shù);黑客可以通過入侵醫(yī)院網(wǎng)絡(luò)的方式訪問諸如X光成像這些隱私數(shù)據(jù)，或者重置用于存儲血液等醫(yī)療用冰箱的恒溫設(shè)定。

除此之外，埃文和他的團(tuán)隊(duì)還發(fā)現(xiàn)別有用心的人士甚至可以在緊急時(shí)刻使醫(yī)療設(shè)備突然藍(lán)屏、重啟甚至是完全刪除預(yù)先設(shè)定好的參數(shù)。

“許多醫(yī)院都沒有意識到他們醫(yī)療設(shè)備所面臨的巨大風(fēng)險(xiǎn)，盡管已經(jīng)有研究證明了這一事實(shí)，但醫(yī)療機(jī)構(gòu)仍然沒有對此給予足夠的重視。他們沒有對此展開測試，同時(shí)也沒有重視起自己所面臨的風(fēng)險(xiǎn)。”埃文說道。

埃文目前是負(fù)責(zé)全美100家醫(yī)療機(jī)構(gòu)設(shè)備管理Essentia Health公司的信息安全主管，該公司在2012年對旗下業(yè)務(wù)所涉及醫(yī)療機(jī)構(gòu)進(jìn)行了一次全面調(diào)查，并允許埃文公布了部分研究數(shù)據(jù)。在埃文的報(bào)告中，他并沒有指出具體哪個(gè)品牌的醫(yī)療設(shè)備存在風(fēng)險(xiǎn)，只是表示“現(xiàn)有廣泛的醫(yī)療設(shè)備都存在著一些通用的安全漏洞，其中包括過于簡單的用戶名和密碼，或者極其容易被黑客入侵的用戶界面”。

而且，這些所存在漏洞的醫(yī)療設(shè)備大多是經(jīng)由醫(yī)療機(jī)構(gòu)的內(nèi)部網(wǎng)絡(luò)進(jìn)行連接，但這些所謂的內(nèi)部網(wǎng)絡(luò)同時(shí)又與互聯(lián)網(wǎng)相通。因此，黑客完全可以通過釣魚方式入侵醫(yī)院員工電腦，進(jìn)而接入這一內(nèi)部網(wǎng)絡(luò)進(jìn)行破壞?；蛘?，黑客可以通過將筆記本帶到醫(yī)院連接內(nèi)部網(wǎng)絡(luò)的方式進(jìn)行接入。

“這些機(jī)構(gòu)中只有很少一部分設(shè)備能夠真正抵御攻擊，一旦你接入了他們的網(wǎng)絡(luò)你就可以掃描，并發(fā)現(xiàn)絕大多數(shù)已連接設(shè)備，這非常容易。”埃文補(bǔ)充道。

情況堪憂

據(jù)悉，埃文是在將自己的研究和其他安全顧問的研究結(jié)論加以整合后才真正意識到這一領(lǐng)域所存在的嚴(yán)重安全問題的。而且，這些問題所覆蓋的領(lǐng)域包括了心臟去顫器、藥物輸液泵、硬件密碼等諸多方面。

“我們得到了來自管理層的支持來展開這次針對醫(yī)療設(shè)備領(lǐng)域的調(diào)查，我們幾乎測試了所有當(dāng)前環(huán)境下可能使用到的設(shè)備。”埃文表示。

在此次調(diào)查中，該團(tuán)隊(duì)發(fā)現(xiàn)醫(yī)療機(jī)構(gòu)所廣泛使用的嵌入式web服務(wù)(允許不同設(shè)備進(jìn)行數(shù)據(jù)共享的一種服務(wù))存在著巨大漏洞，

埃文認(rèn)為：“許多嵌入式web服務(wù)允許設(shè)備間進(jìn)行未經(jīng)授權(quán)或者未加密的數(shù)據(jù)分享，因此我們可以人為改變它們所分享的醫(yī)療數(shù)據(jù)，而患者則可能因此得到錯(cuò)誤的診斷或者處方藥。醫(yī)生們非常依賴于這些數(shù)據(jù)來進(jìn)行判斷，而我們卻可以通過這些漏洞擅自修改數(shù)據(jù)。”

同時(shí)，這一團(tuán)隊(duì)還發(fā)現(xiàn)了存在于存儲血液等醫(yī)療用冰箱設(shè)備中的漏洞。

“這些設(shè)備均擁有一個(gè)允許用戶進(jìn)行溫度設(shè)定的網(wǎng)頁用戶界面，雖然這一設(shè)備會在溫度超過預(yù)設(shè)范圍的情況下向相關(guān)人員自動(dòng)發(fā)送通知郵件提醒，但黑客完全可以通過破解密碼的方式關(guān)閉這一功能，并擅自更改設(shè)定溫度。”埃文說道。

而且，類似的入侵還可以被用于改變CT設(shè)備的照射強(qiáng)度等方面，并有可能對患者身體造成不必要的傷害。

后知后覺

報(bào)告顯示，越來越多的醫(yī)療機(jī)構(gòu)最近才開始意識到自己所面臨巨大安全風(fēng)險(xiǎn)。而且，現(xiàn)有醫(yī)療設(shè)備在設(shè)計(jì)過程中更多的只是注重于可靠性、性能等方面的考慮，安全因素并沒有納入設(shè)計(jì)者的主要考慮范圍內(nèi)。

“醫(yī)療設(shè)備提供商目前沒有任何現(xiàn)成的安全規(guī)劃，他們在將產(chǎn)品推出市場前也不需要進(jìn)行類似的安全分析。”埃文表示。

去年春天，美國食品及藥物管理局(Food and Drug Administration)和國土安全部(Department Of Homeland Security)在得知大約300種醫(yī)療設(shè)備存在密碼過于簡單的問題后曾向相關(guān)醫(yī)療機(jī)構(gòu)發(fā)出過類似警告，并要求它們對此進(jìn)行檢查。但事實(shí)上醫(yī)療機(jī)構(gòu)本身能做的并不多，他們更多的只能依賴于設(shè)備生產(chǎn)商來解決現(xiàn)有設(shè)備的問題，并在未來的醫(yī)療設(shè)備中內(nèi)置更加安全的加密機(jī)制。

目前，美國食品及藥物管理局已經(jīng)出臺了要求醫(yī)療設(shè)備制造廠商強(qiáng)制檢查出廠設(shè)備的安全性指導(dǎo)意見，而醫(yī)療機(jī)構(gòu)也有權(quán)利要求自己的供應(yīng)商全力履行這一義務(wù)。然而，許多供應(yīng)商認(rèn)為這樣的要求可能很難真正滿足，因?yàn)檫@需要他們將自己的系統(tǒng)重新提交給食品及藥物管理局進(jìn)行申報(bào)。