一、醫(yī)療器械存在巨大的網(wǎng)絡(luò)安全隱患

　　近年來，隨著精準(zhǔn)醫(yī)療國家戰(zhàn)略的不斷推進(jìn)，醫(yī)療器械從封閉、笨重走向開放、移動，醫(yī)療器械智能化和云化成為未來的發(fā)展方向。但是，隨著智能可穿戴設(shè)備和大數(shù)據(jù)醫(yī)療的高速發(fā)展，醫(yī)療器械所面臨的網(wǎng)絡(luò)安全威脅也在與日俱增。

　　醫(yī)療器械作為一個(gè)信息實(shí)體，包括醫(yī)療器械現(xiàn)場設(shè)備和醫(yī)療信息系統(tǒng)兩部分。醫(yī)療器械既包括胰島素泵等可穿戴醫(yī)療設(shè)備，也包括核磁共振儀等大型醫(yī)療器械。醫(yī)療信息系統(tǒng)既包括部署在醫(yī)院的醫(yī)療器械控制系統(tǒng)和醫(yī)療器械管理系統(tǒng)，也包括部署在云端的醫(yī)療器械數(shù)據(jù)采集與監(jiān)控系統(tǒng)。

　　由于醫(yī)療器械長期處于封閉簡單的應(yīng)用場景，因此產(chǎn)品在設(shè)計(jì)時(shí)強(qiáng)調(diào)設(shè)備的功能性及可用性，對安全性考慮不足，普遍存在安全漏洞且升級困難，通信協(xié)議缺少加密認(rèn)證機(jī)制等安全隱患。黑客可以利用上述安全隱患對醫(yī)療器械進(jìn)行攻擊，造成醫(yī)療數(shù)據(jù)泄露、醫(yī)療事故甚至醫(yī)院功能癱瘓等嚴(yán)重后果。

　　1.1  醫(yī)療數(shù)據(jù)泄露隱患突出

　　在全球范圍內(nèi)，醫(yī)療數(shù)據(jù)面臨的網(wǎng)絡(luò)安全威脅趨于嚴(yán)峻。因數(shù)據(jù)使用價(jià)值高、安全保障和風(fēng)險(xiǎn)管理措施較落后等因素，使醫(yī)療數(shù)據(jù)成為黑客們鐘愛的竊取目標(biāo)。最近幾年，病歷電子化、物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用等在醫(yī)療界轟轟烈烈展開，原本存在于醫(yī)院內(nèi)網(wǎng)的醫(yī)療數(shù)據(jù)趨于云化存儲，但是多數(shù)醫(yī)療系統(tǒng)和軟件在設(shè)計(jì)之初并沒與完全考慮到未來互聯(lián)互通時(shí)可能存在的安全問題，極易受到黑客的攻擊。

　　據(jù)Bitglass的數(shù)據(jù)顯示，2020年美國的醫(yī)療保健數(shù)據(jù)泄露事件數(shù)量呈兩位數(shù)倍數(shù)增長，與2019年相比，泄露事件增加了55%以上，達(dá)到599起違規(guī)事件，影響了超過2640萬人。每條被破壞記錄的平均成本從429美元增加到499美元，醫(yī)療保健組織蒙受了132億美元的損失。

　　2020年4月，據(jù)外媒報(bào)道，黑客正在出售慧影醫(yī)療技術(shù)公司的實(shí)驗(yàn)數(shù)據(jù)源代碼，該技術(shù)依靠先進(jìn)的AI技術(shù)輔助進(jìn)行新型冠狀病毒檢測。黑客對外的出售帖子聲稱已經(jīng)獲得了COVID-19檢測技術(shù)代碼，以及COVID-19實(shí)驗(yàn)數(shù)據(jù)。出售價(jià)格為4個(gè)比特幣。出售的主要數(shù)據(jù)包括：1.5 MB的用戶數(shù)據(jù)、1GB的技術(shù)內(nèi)容、以及檢測技術(shù)源代碼、150MB的新冠病毒的實(shí)驗(yàn)室成果內(nèi)容等。

　　1.2  醫(yī)療器械安全測評結(jié)果不容樂觀

　　國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心參照《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》和行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求，面向醫(yī)用診斷X射線影像設(shè)備、監(jiān)護(hù)類設(shè)備、物理治療及康復(fù)設(shè)備對國內(nèi)外知名的10家醫(yī)療器械廠商生產(chǎn)的19款設(shè)備開展安全測評工作。測評項(xiàng)主要包括保密性、完整性、可得性、安全審計(jì)等。測評發(fā)現(xiàn)各類設(shè)備均存在安全隱患，測評結(jié)果如圖1所示。

　　圖1 醫(yī)療器械安全測評結(jié)果

　　在保密性方面，測試項(xiàng)包括存儲保密性、傳輸保密性和患者隱私數(shù)據(jù)保護(hù)。共有15款測評設(shè)備未加密醫(yī)療設(shè)備工作站中的健康數(shù)據(jù)，僅有部分廠商采用AES256等算法對用戶配置等信息進(jìn)行加密。測評設(shè)備均采用節(jié)點(diǎn)認(rèn)證或白名單機(jī)制，但其中有11款沒有使用加密的網(wǎng)絡(luò)傳輸協(xié)議傳輸數(shù)據(jù)。測評設(shè)備均支持對可導(dǎo)出的健康數(shù)據(jù)進(jìn)行匿名化處理。

　　在完整性方面，主要從身份鑒別角度測試。所有設(shè)備均基于操作系統(tǒng)口令實(shí)現(xiàn)用戶身份鑒別，其中有15款設(shè)備提供了手動鎖定、無操作自動注銷的功能。

　　在可得性方面，測試項(xiàng)包括授權(quán)用戶能否正常訪問數(shù)據(jù)并進(jìn)行健康數(shù)據(jù)歸檔。所有設(shè)備均實(shí)現(xiàn)了授權(quán)用戶數(shù)據(jù)的正常訪問，共有11款提供了健康數(shù)據(jù)歸檔的功能，但未對歸檔數(shù)據(jù)進(jìn)行加密，也沒有設(shè)計(jì)相應(yīng)的防篡改機(jī)制。

　　在安全審計(jì)方面，測試項(xiàng)主要包括抗抵賴性、可核查性和審計(jì)控制，共有10款設(shè)備未采用足夠的有效機(jī)制實(shí)現(xiàn)健康數(shù)據(jù)抗抵賴，且審計(jì)日志記錄可以被修改。同時(shí)，審計(jì)日志存在不夠詳盡、缺少關(guān)鍵信息等問題。

　　其他附加測試包括物理防護(hù)、系統(tǒng)加固。除5款設(shè)備外，其余廠商均通過設(shè)置物理鎖的方式保護(hù)工作站的數(shù)據(jù)安全。除1款設(shè)備外，其余設(shè)備均在一定程度上提供了系統(tǒng)加固功能，如防火墻、端口關(guān)閉、快捷鍵封閉等。

　　1.3  醫(yī)院功能癱瘓的風(fēng)險(xiǎn)不容忽視

　　醫(yī)院信息系統(tǒng)（HIS）是一個(gè)復(fù)雜的信息平臺，其中運(yùn)行著管理信息系統(tǒng)、臨床醫(yī)療信息系統(tǒng)（CIS）和高級應(yīng)用系統(tǒng)等。管理信息系統(tǒng)主要面向醫(yī)院管理，包括掛號、收費(fèi)、藥房、住院、病案等功能。臨床醫(yī)療信息系統(tǒng)（CIS）面向臨床醫(yī)療過程，包括門診、檢查報(bào)告、醫(yī)囑處理、影像診斷、醫(yī)療器械操作等功能。高級應(yīng)用系統(tǒng)包括醫(yī)學(xué)圖像實(shí)時(shí)傳輸與查詢、歸檔系統(tǒng)（PACS）、病人病案系統(tǒng)（CPR）等重要支撐系統(tǒng)。

　　臨床醫(yī)療流程高度依賴這些信息系統(tǒng)，如果對這些系統(tǒng)實(shí)施攻擊，可以造成醫(yī)院功能部分或者全面的癱瘓，造成嚴(yán)重影響公共安全和社會穩(wěn)定的惡性事件。醫(yī)院信息系統(tǒng)面臨的主要網(wǎng)絡(luò)攻擊威脅有兩個(gè)：惡意代碼感染和勒索攻擊。

　　1.3.1 惡意代碼感染層出不窮

　　許多醫(yī)院信息系統(tǒng)和醫(yī)療器械操作臺運(yùn)行的是舊版的Windows操作系統(tǒng)如Windows 2000或Windows XP，廠商一般不提供安全更新或操作系統(tǒng)升級，醫(yī)院也沒有升級系統(tǒng)的動力。而醫(yī)院信息系統(tǒng)維護(hù)部門缺少足夠的網(wǎng)絡(luò)安全專家，無法有效預(yù)防和應(yīng)對惡意代碼的肆虐。

　　2020年新冠疫情期間，醫(yī)療系統(tǒng)面臨前所未有的挑戰(zhàn)，全國各級醫(yī)院的網(wǎng)絡(luò)通訊均處于高度警備狀態(tài)，訪問量劇增，網(wǎng)絡(luò)攻擊事件大幅增多。期間，國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測發(fā)現(xiàn)北京某三甲醫(yī)院由于信息系統(tǒng)存在漏洞遭到網(wǎng)絡(luò)黑客組織持續(xù)性攻擊，部分服務(wù)器被植入木馬程序，樣本命名為“XX確診新型肺炎病毒”。攻擊者通過誘導(dǎo)受害者點(diǎn)擊樣本進(jìn)行木馬植入，植入成功后，受控機(jī)器利用永恒之藍(lán)漏洞對指定IP段進(jìn)行掃描，若內(nèi)網(wǎng)機(jī)器存在漏洞便植入擴(kuò)散“XX確診新型肺炎病毒”樣本，面臨嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。

　　1.3.2  勒索攻擊愈演愈烈

　　對醫(yī)院功能癱瘓的擔(dān)憂并非杞人憂天，這些信息系統(tǒng)在設(shè)計(jì)之初并沒有將網(wǎng)絡(luò)攻擊納入考慮，其安全性主要基于內(nèi)網(wǎng)隔離。但是，隨著互聯(lián)網(wǎng)醫(yī)療的不斷推進(jìn)，這些系統(tǒng)開始暴露在互聯(lián)網(wǎng)上，遭受越來越多的網(wǎng)絡(luò)攻擊威脅。黑客通過網(wǎng)絡(luò)安全漏洞控制醫(yī)院信息系統(tǒng)、進(jìn)而向醫(yī)院索要贖金的勒索攻擊，正在成為主要的安全危害。

　　Hackensack Merdian Health是美國新澤西州最大的醫(yī)療機(jī)構(gòu)，2019年底其網(wǎng)絡(luò)遭到了黑客攻擊，導(dǎo)致一定數(shù)量的計(jì)算機(jī)被勒索軟件給感染。因系統(tǒng)受到攻擊而癱瘓，醫(yī)護(hù)人員只能在沒有任何計(jì)算機(jī)設(shè)備輔助的情況下開展工作，部分手術(shù)延期進(jìn)行。為重新獲得對系統(tǒng)的控制權(quán)，該院不得不向黑客支付了解鎖文件的贖金。

　　二、醫(yī)療器械行業(yè)網(wǎng)絡(luò)安全保障工作應(yīng)加快推進(jìn)

　　面對醫(yī)療器械網(wǎng)絡(luò)安全現(xiàn)狀，我國已出臺《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，目前正在加快推進(jìn)醫(yī)療器械全生命周期網(wǎng)絡(luò)安全保障工作，在設(shè)計(jì)開發(fā)、生產(chǎn)、分銷、部署和維護(hù)等每一個(gè)階段都要納入網(wǎng)絡(luò)安全的考量。具體建議如下：

　　2.1  強(qiáng)化頂層設(shè)計(jì)，推進(jìn)法規(guī)和標(biāo)準(zhǔn)建設(shè)

　　針對醫(yī)療器械網(wǎng)絡(luò)與數(shù)據(jù)安全工作的突出問題，積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)建立進(jìn)程。圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》，加快建立專項(xiàng)法規(guī)和國家標(biāo)準(zhǔn)同步發(fā)展的醫(yī)療器械網(wǎng)絡(luò)安全管理體系。

　　切實(shí)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù)，加強(qiáng)數(shù)據(jù)資源在采集、存儲、傳輸、應(yīng)用和開放等環(huán)節(jié)的保護(hù)政策，依法依規(guī)落實(shí)個(gè)人信息和重要數(shù)據(jù)境內(nèi)存儲、對外提供需開展安全評估等要求；強(qiáng)化用戶個(gè)人信息保護(hù)，有效減少用戶個(gè)人信息的泄露、損毀和非法利用。

　　2.2  積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全檢測和認(rèn)證

　　加快落實(shí)《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，針對醫(yī)療設(shè)備、配套軟件、遠(yuǎn)程數(shù)據(jù)采集服務(wù)器三個(gè)信息實(shí)體建立詳實(shí)可操作的測試標(biāo)準(zhǔn)，并在醫(yī)療器械上市審批前委托具有設(shè)備測試專業(yè)資質(zhì)的機(jī)構(gòu)開展測評工作。

　　2.3  建立人員培訓(xùn)制度，培育醫(yī)療器械網(wǎng)絡(luò)安全人才隊(duì)伍

　　重視對在職人員的培養(yǎng)，形成醫(yī)療器械從業(yè)人員網(wǎng)絡(luò)安全知識更新和能力可持續(xù)提升的培養(yǎng)模式。定期組織網(wǎng)絡(luò)安全培訓(xùn)，提升政府工作人員、各級醫(yī)院領(lǐng)導(dǎo)和信息化工程師、醫(yī)療器械工程師的整體安全意識和技術(shù)水平。