醫(yī)療器械行業(yè)網(wǎng)絡(luò)安全分析報(bào)告
2021-09-23
來源:網(wǎng)絡(luò)安全應(yīng)急技術(shù)國(guó)家工程實(shí)驗(yàn)室
一、醫(yī)療器械存在巨大的網(wǎng)絡(luò)安全隱患
近年來,隨著精準(zhǔn)醫(yī)療國(guó)家戰(zhàn)略的不斷推進(jìn),醫(yī)療器械從封閉、笨重走向開放、移動(dòng),醫(yī)療器械智能化和云化成為未來的發(fā)展方向。但是,隨著智能可穿戴設(shè)備和大數(shù)據(jù)醫(yī)療的高速發(fā)展,醫(yī)療器械所面臨的網(wǎng)絡(luò)安全威脅也在與日俱增。
醫(yī)療器械作為一個(gè)信息實(shí)體,包括醫(yī)療器械現(xiàn)場(chǎng)設(shè)備和醫(yī)療信息系統(tǒng)兩部分。醫(yī)療器械既包括胰島素泵等可穿戴醫(yī)療設(shè)備,也包括核磁共振儀等大型醫(yī)療器械。醫(yī)療信息系統(tǒng)既包括部署在醫(yī)院的醫(yī)療器械控制系統(tǒng)和醫(yī)療器械管理系統(tǒng),也包括部署在云端的醫(yī)療器械數(shù)據(jù)采集與監(jiān)控系統(tǒng)。
由于醫(yī)療器械長(zhǎng)期處于封閉簡(jiǎn)單的應(yīng)用場(chǎng)景,因此產(chǎn)品在設(shè)計(jì)時(shí)強(qiáng)調(diào)設(shè)備的功能性及可用性,對(duì)安全性考慮不足,普遍存在安全漏洞且升級(jí)困難,通信協(xié)議缺少加密認(rèn)證機(jī)制等安全隱患。黑客可以利用上述安全隱患對(duì)醫(yī)療器械進(jìn)行攻擊,造成醫(yī)療數(shù)據(jù)泄露、醫(yī)療事故甚至醫(yī)院功能癱瘓等嚴(yán)重后果。
1.1 醫(yī)療數(shù)據(jù)泄露隱患突出
在全球范圍內(nèi),醫(yī)療數(shù)據(jù)面臨的網(wǎng)絡(luò)安全威脅趨于嚴(yán)峻。因數(shù)據(jù)使用價(jià)值高、安全保障和風(fēng)險(xiǎn)管理措施較落后等因素,使醫(yī)療數(shù)據(jù)成為黑客們鐘愛的竊取目標(biāo)。最近幾年,病歷電子化、物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用等在醫(yī)療界轟轟烈烈展開,原本存在于醫(yī)院內(nèi)網(wǎng)的醫(yī)療數(shù)據(jù)趨于云化存儲(chǔ),但是多數(shù)醫(yī)療系統(tǒng)和軟件在設(shè)計(jì)之初并沒與完全考慮到未來互聯(lián)互通時(shí)可能存在的安全問題,極易受到黑客的攻擊。
據(jù)Bitglass的數(shù)據(jù)顯示,2020年美國(guó)的醫(yī)療保健數(shù)據(jù)泄露事件數(shù)量呈兩位數(shù)倍數(shù)增長(zhǎng),與2019年相比,泄露事件增加了55%以上,達(dá)到599起違規(guī)事件,影響了超過2640萬人。每條被破壞記錄的平均成本從429美元增加到499美元,醫(yī)療保健組織蒙受了132億美元的損失。
2020年4月,據(jù)外媒報(bào)道,黑客正在出售慧影醫(yī)療技術(shù)公司的實(shí)驗(yàn)數(shù)據(jù)源代碼,該技術(shù)依靠先進(jìn)的AI技術(shù)輔助進(jìn)行新型冠狀病毒檢測(cè)。黑客對(duì)外的出售帖子聲稱已經(jīng)獲得了COVID-19檢測(cè)技術(shù)代碼,以及COVID-19實(shí)驗(yàn)數(shù)據(jù)。出售價(jià)格為4個(gè)比特幣。出售的主要數(shù)據(jù)包括:1.5 MB的用戶數(shù)據(jù)、1GB的技術(shù)內(nèi)容、以及檢測(cè)技術(shù)源代碼、150MB的新冠病毒的實(shí)驗(yàn)室成果內(nèi)容等。
1.2 醫(yī)療器械安全測(cè)評(píng)結(jié)果不容樂觀
國(guó)家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心參照《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》和行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求,面向醫(yī)用診斷X射線影像設(shè)備、監(jiān)護(hù)類設(shè)備、物理治療及康復(fù)設(shè)備對(duì)國(guó)內(nèi)外知名的10家醫(yī)療器械廠商生產(chǎn)的19款設(shè)備開展安全測(cè)評(píng)工作。測(cè)評(píng)項(xiàng)主要包括保密性、完整性、可得性、安全審計(jì)等。測(cè)評(píng)發(fā)現(xiàn)各類設(shè)備均存在安全隱患,測(cè)評(píng)結(jié)果如圖1所示。
圖1 醫(yī)療器械安全測(cè)評(píng)結(jié)果
在保密性方面,測(cè)試項(xiàng)包括存儲(chǔ)保密性、傳輸保密性和患者隱私數(shù)據(jù)保護(hù)。共有15款測(cè)評(píng)設(shè)備未加密醫(yī)療設(shè)備工作站中的健康數(shù)據(jù),僅有部分廠商采用AES256等算法對(duì)用戶配置等信息進(jìn)行加密。測(cè)評(píng)設(shè)備均采用節(jié)點(diǎn)認(rèn)證或白名單機(jī)制,但其中有11款沒有使用加密的網(wǎng)絡(luò)傳輸協(xié)議傳輸數(shù)據(jù)。測(cè)評(píng)設(shè)備均支持對(duì)可導(dǎo)出的健康數(shù)據(jù)進(jìn)行匿名化處理。
在完整性方面,主要從身份鑒別角度測(cè)試。所有設(shè)備均基于操作系統(tǒng)口令實(shí)現(xiàn)用戶身份鑒別,其中有15款設(shè)備提供了手動(dòng)鎖定、無操作自動(dòng)注銷的功能。
在可得性方面,測(cè)試項(xiàng)包括授權(quán)用戶能否正常訪問數(shù)據(jù)并進(jìn)行健康數(shù)據(jù)歸檔。所有設(shè)備均實(shí)現(xiàn)了授權(quán)用戶數(shù)據(jù)的正常訪問,共有11款提供了健康數(shù)據(jù)歸檔的功能,但未對(duì)歸檔數(shù)據(jù)進(jìn)行加密,也沒有設(shè)計(jì)相應(yīng)的防篡改機(jī)制。
在安全審計(jì)方面,測(cè)試項(xiàng)主要包括抗抵賴性、可核查性和審計(jì)控制,共有10款設(shè)備未采用足夠的有效機(jī)制實(shí)現(xiàn)健康數(shù)據(jù)抗抵賴,且審計(jì)日志記錄可以被修改。同時(shí),審計(jì)日志存在不夠詳盡、缺少關(guān)鍵信息等問題。
其他附加測(cè)試包括物理防護(hù)、系統(tǒng)加固。除5款設(shè)備外,其余廠商均通過設(shè)置物理鎖的方式保護(hù)工作站的數(shù)據(jù)安全。除1款設(shè)備外,其余設(shè)備均在一定程度上提供了系統(tǒng)加固功能,如防火墻、端口關(guān)閉、快捷鍵封閉等。
1.3 醫(yī)院功能癱瘓的風(fēng)險(xiǎn)不容忽視
醫(yī)院信息系統(tǒng)(HIS)是一個(gè)復(fù)雜的信息平臺(tái),其中運(yùn)行著管理信息系統(tǒng)、臨床醫(yī)療信息系統(tǒng)(CIS)和高級(jí)應(yīng)用系統(tǒng)等。管理信息系統(tǒng)主要面向醫(yī)院管理,包括掛號(hào)、收費(fèi)、藥房、住院、病案等功能。臨床醫(yī)療信息系統(tǒng)(CIS)面向臨床醫(yī)療過程,包括門診、檢查報(bào)告、醫(yī)囑處理、影像診斷、醫(yī)療器械操作等功能。高級(jí)應(yīng)用系統(tǒng)包括醫(yī)學(xué)圖像實(shí)時(shí)傳輸與查詢、歸檔系統(tǒng)(PACS)、病人病案系統(tǒng)(CPR)等重要支撐系統(tǒng)。
臨床醫(yī)療流程高度依賴這些信息系統(tǒng),如果對(duì)這些系統(tǒng)實(shí)施攻擊,可以造成醫(yī)院功能部分或者全面的癱瘓,造成嚴(yán)重影響公共安全和社會(huì)穩(wěn)定的惡性事件。醫(yī)院信息系統(tǒng)面臨的主要網(wǎng)絡(luò)攻擊威脅有兩個(gè):惡意代碼感染和勒索攻擊。
1.3.1 惡意代碼感染層出不窮
許多醫(yī)院信息系統(tǒng)和醫(yī)療器械操作臺(tái)運(yùn)行的是舊版的Windows操作系統(tǒng)如Windows 2000或Windows XP,廠商一般不提供安全更新或操作系統(tǒng)升級(jí),醫(yī)院也沒有升級(jí)系統(tǒng)的動(dòng)力。而醫(yī)院信息系統(tǒng)維護(hù)部門缺少足夠的網(wǎng)絡(luò)安全專家,無法有效預(yù)防和應(yīng)對(duì)惡意代碼的肆虐。
2020年新冠疫情期間,醫(yī)療系統(tǒng)面臨前所未有的挑戰(zhàn),全國(guó)各級(jí)醫(yī)院的網(wǎng)絡(luò)通訊均處于高度警備狀態(tài),訪問量劇增,網(wǎng)絡(luò)攻擊事件大幅增多。期間,國(guó)家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測(cè)發(fā)現(xiàn)北京某三甲醫(yī)院由于信息系統(tǒng)存在漏洞遭到網(wǎng)絡(luò)黑客組織持續(xù)性攻擊,部分服務(wù)器被植入木馬程序,樣本命名為“XX確診新型肺炎病毒”。攻擊者通過誘導(dǎo)受害者點(diǎn)擊樣本進(jìn)行木馬植入,植入成功后,受控機(jī)器利用永恒之藍(lán)漏洞對(duì)指定IP段進(jìn)行掃描,若內(nèi)網(wǎng)機(jī)器存在漏洞便植入擴(kuò)散“XX確診新型肺炎病毒”樣本,面臨嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。
1.3.2 勒索攻擊愈演愈烈
對(duì)醫(yī)院功能癱瘓的擔(dān)憂并非杞人憂天,這些信息系統(tǒng)在設(shè)計(jì)之初并沒有將網(wǎng)絡(luò)攻擊納入考慮,其安全性主要基于內(nèi)網(wǎng)隔離。但是,隨著互聯(lián)網(wǎng)醫(yī)療的不斷推進(jìn),這些系統(tǒng)開始暴露在互聯(lián)網(wǎng)上,遭受越來越多的網(wǎng)絡(luò)攻擊威脅。黑客通過網(wǎng)絡(luò)安全漏洞控制醫(yī)院信息系統(tǒng)、進(jìn)而向醫(yī)院索要贖金的勒索攻擊,正在成為主要的安全危害。
Hackensack Merdian Health是美國(guó)新澤西州最大的醫(yī)療機(jī)構(gòu),2019年底其網(wǎng)絡(luò)遭到了黑客攻擊,導(dǎo)致一定數(shù)量的計(jì)算機(jī)被勒索軟件給感染。因系統(tǒng)受到攻擊而癱瘓,醫(yī)護(hù)人員只能在沒有任何計(jì)算機(jī)設(shè)備輔助的情況下開展工作,部分手術(shù)延期進(jìn)行。為重新獲得對(duì)系統(tǒng)的控制權(quán),該院不得不向黑客支付了解鎖文件的贖金。
二、醫(yī)療器械行業(yè)網(wǎng)絡(luò)安全保障工作應(yīng)加快推進(jìn)
面對(duì)醫(yī)療器械網(wǎng)絡(luò)安全現(xiàn)狀,我國(guó)已出臺(tái)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》,目前正在加快推進(jìn)醫(yī)療器械全生命周期網(wǎng)絡(luò)安全保障工作,在設(shè)計(jì)開發(fā)、生產(chǎn)、分銷、部署和維護(hù)等每一個(gè)階段都要納入網(wǎng)絡(luò)安全的考量。具體建議如下:
2.1 強(qiáng)化頂層設(shè)計(jì),推進(jìn)法規(guī)和標(biāo)準(zhǔn)建設(shè)
針對(duì)醫(yī)療器械網(wǎng)絡(luò)與數(shù)據(jù)安全工作的突出問題,積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)建立進(jìn)程。圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》,加快建立專項(xiàng)法規(guī)和國(guó)家標(biāo)準(zhǔn)同步發(fā)展的醫(yī)療器械網(wǎng)絡(luò)安全管理體系。
切實(shí)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù),加強(qiáng)數(shù)據(jù)資源在采集、存儲(chǔ)、傳輸、應(yīng)用和開放等環(huán)節(jié)的保護(hù)政策,依法依規(guī)落實(shí)個(gè)人信息和重要數(shù)據(jù)境內(nèi)存儲(chǔ)、對(duì)外提供需開展安全評(píng)估等要求;強(qiáng)化用戶個(gè)人信息保護(hù),有效減少用戶個(gè)人信息的泄露、損毀和非法利用。
2.2 積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全檢測(cè)和認(rèn)證
加快落實(shí)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》,針對(duì)醫(yī)療設(shè)備、配套軟件、遠(yuǎn)程數(shù)據(jù)采集服務(wù)器三個(gè)信息實(shí)體建立詳實(shí)可操作的測(cè)試標(biāo)準(zhǔn),并在醫(yī)療器械上市審批前委托具有設(shè)備測(cè)試專業(yè)資質(zhì)的機(jī)構(gòu)開展測(cè)評(píng)工作。
2.3 建立人員培訓(xùn)制度,培育醫(yī)療器械網(wǎng)絡(luò)安全人才隊(duì)伍
重視對(duì)在職人員的培養(yǎng),形成醫(yī)療器械從業(yè)人員網(wǎng)絡(luò)安全知識(shí)更新和能力可持續(xù)提升的培養(yǎng)模式。定期組織網(wǎng)絡(luò)安全培訓(xùn),提升政府工作人員、各級(jí)醫(yī)院領(lǐng)導(dǎo)和信息化工程師、醫(yī)療器械工程師的整體安全意識(shí)和技術(shù)水平。