CNCERT:醫療器械行業網絡安全分析報告
一、醫療器械存在巨大的網絡安全隱患
近年來,隨著精準醫療國家戰略的不斷推進,醫療器械從封閉、笨重走向開放、移動,醫療器械智能化和云化成為未來的發展方向。但是,隨著智能可穿戴設備和大數據醫療的高速發展,醫療器械所面臨的網絡安全威脅也在與日俱增。
醫療器械作為一個信息實體,包括醫療器械現場設備和醫療信息系統兩部分。醫療器械既包括胰島素泵等可穿戴醫療設備,也包括核磁共振儀等大型醫療器械。醫療信息系統既包括部署在醫院的醫療器械控制系統和醫療器械管理系統,也包括部署在云端的醫療器械數據采集與監控系統。
由于醫療器械長期處于封閉簡單的應用場景,因此產品在設計時強調設備的功能性及可用性,對安全性考慮不足,普遍存在安全漏洞且升級困難,通信協議缺少加密認證機制等安全隱患。黑客可以利用上述安全隱患對醫療器械進行攻擊,造成醫療數據泄露、醫療事故甚至醫院功能癱瘓等嚴重后果。
1.1 醫療數據泄露隱患突出
在全球范圍內,醫療數據面臨的網絡安全威脅趨于嚴峻。因數據使用價值高、安全保障和風險管理措施較落后等因素,使醫療數據成為黑客們鐘愛的竊取目標。最近幾年,病歷電子化、物聯網設備和云服務的使用等在醫療界轟轟烈烈展開,原本存在于醫院內網的醫療數據趨于云化存儲,但是多數醫療系統和軟件在設計之初并沒與完全考慮到未來互聯互通時可能存在的安全問題,極易受到黑客的攻擊。
據Bitglass的數據顯示,2020年美國的醫療保健數據泄露事件數量呈兩位數倍數增長,與2019年相比,泄露事件增加了55%以上,達到599起違規事件,影響了超過2640萬人。每條被破壞記錄的平均成本從429美元增加到499美元,醫療保健組織蒙受了132億美元的損失。
2020年4月,據外媒報道,黑客正在出售慧影醫療技術公司的實驗數據源代碼,該技術依靠先進的AI技術輔助進行新型冠狀病毒檢測。黑客對外的出售帖子聲稱已經獲得了COVID-19檢測技術代碼,以及COVID-19實驗數據。出售價格為4個比特幣。出售的主要數據包括:1.5 MB的用戶數據、1GB的技術內容、以及檢測技術源代碼、150MB的新冠病毒的實驗室成果內容等。
1.2 醫療器械安全測評結果不容樂觀
國家互聯網應急技術處理協調中心參照《醫療器械網絡安全注冊技術審查指導原則》和行業網絡安全標準要求,面向醫用診斷X射線影像設備、監護類設備、物理治療及康復設備對國內外知名的10家醫療器械廠商生產的19款設備開展安全測評工作。測評項主要包括保密性、完整性、可得性、安全審計等。測評發現各類設備均存在安全隱患,測評結果如圖1所示。
圖1 醫療器械安全測評結果
在保密性方面,測試項包括存儲保密性、傳輸保密性和患者隱私數據保護。共有15款測評設備未加密醫療設備工作站中的健康數據,僅有部分廠商采用AES256等算法對用戶配置等信息進行加密。測評設備均采用節點認證或白名單機制,但其中有11款沒有使用加密的網絡傳輸協議傳輸數據。測評設備均支持對可導出的健康數據進行匿名化處理。
在完整性方面,主要從身份鑒別角度測試。所有設備均基于操作系統口令實現用戶身份鑒別,其中有15款設備提供了手動鎖定、無操作自動注銷的功能。
在可得性方面,測試項包括授權用戶能否正常訪問數據并進行健康數據歸檔。所有設備均實現了授權用戶數據的正常訪問,共有11款提供了健康數據歸檔的功能,但未對歸檔數據進行加密,也沒有設計相應的防篡改機制。
在安全審計方面,測試項主要包括抗抵賴性、可核查性和審計控制,共有10款設備未采用足夠的有效機制實現健康數據抗抵賴,且審計日志記錄可以被修改。同時,審計日志存在不夠詳盡、缺少關鍵信息等問題。
其他附加測試包括物理防護、系統加固。除5款設備外,其余廠商均通過設置物理鎖的方式保護工作站的數據安全。除1款設備外,其余設備均在一定程度上提供了系統加固功能,如防火墻、端口關閉、快捷鍵封閉等。
1.3 醫院功能癱瘓的風險不容忽視
醫院信息系統(HIS)是一個復雜的信息平臺,其中運行著管理信息系統、臨床醫療信息系統(CIS)和高級應用系統等。管理信息系統主要面向醫院管理,包括掛號、收費、藥房、住院、病案等功能。臨床醫療信息系統(CIS)面向臨床醫療過程,包括門診、檢查報告、醫囑處理、影像診斷、醫療器械操作等功能。高級應用系統包括醫學圖像實時傳輸與查詢、歸檔系統(PACS)、病人病案系統(CPR)等重要支撐系統。
臨床醫療流程高度依賴這些信息系統,如果對這些系統實施攻擊,可以造成醫院功能部分或者全面的癱瘓,造成嚴重影響公共安全和社會穩定的惡性事件。醫院信息系統面臨的主要網絡攻擊威脅有兩個:惡意代碼感染和勒索攻擊。
1.3.1 惡意代碼感染層出不窮
許多醫院信息系統和醫療器械操作臺運行的是舊版的Windows操作系統如Windows 2000或Windows XP,廠商一般不提供安全更新或操作系統升級,醫院也沒有升級系統的動力。而醫院信息系統維護部門缺少足夠的網絡安全專家,無法有效預防和應對惡意代碼的肆虐。
2020年新冠疫情期間,醫療系統面臨前所未有的挑戰,全國各級醫院的網絡通訊均處于高度警備狀態,訪問量劇增,網絡攻擊事件大幅增多。期間,國家互聯網應急技術處理協調中心監測發現北京某三甲醫院由于信息系統存在漏洞遭到網絡黑客組織持續性攻擊,部分服務器被植入木馬程序,樣本命名為“XX確診新型肺炎病毒”。攻擊者通過誘導受害者點擊樣本進行木馬植入,植入成功后,受控機器利用永恒之藍漏洞對指定IP段進行掃描,若內網機器存在漏洞便植入擴散“XX確診新型肺炎病毒”樣本,面臨嚴重的網絡安全風險。
1.3.2 勒索攻擊愈演愈烈
對醫院功能癱瘓的擔憂并非杞人憂天,這些信息系統在設計之初并沒有將網絡攻擊納入考慮,其安全性主要基于內網隔離。但是,隨著互聯網醫療的不斷推進,這些系統開始暴露在互聯網上,遭受越來越多的網絡攻擊威脅。黑客通過網絡安全漏洞控制醫院信息系統、進而向醫院索要贖金的勒索攻擊,正在成為主要的安全危害。
Hackensack Merdian Health是美國新澤西州最大的醫療機構,2019年底其網絡遭到了黑客攻擊,導致一定數量的計算機被勒索軟件給感染。因系統受到攻擊而癱瘓,醫護人員只能在沒有任何計算機設備輔助的情況下開展工作,部分手術延期進行。為重新獲得對系統的控制權,該院不得不向黑客支付了解鎖文件的贖金。
二、醫療器械行業網絡安全保障工作應加快推進
面對醫療器械網絡安全現狀,我國已出臺《醫療器械網絡安全注冊技術審查指導原則》,目前正在加快推進醫療器械全生命周期網絡安全保障工作,在設計開發、生產、分銷、部署和維護等每一個階段都要納入網絡安全的考量。具體建議如下:
2.1 強化頂層設計,推進法規和標準建設
針對醫療器械網絡與數據安全工作的突出問題,積極推進醫療器械網絡安全法規和標準建立進程。圍繞《網絡安全法》《數據安全法》《個人信息保護法》,加快建立專項法規和國家標準同步發展的醫療器械網絡安全管理體系。
切實加強網絡數據和用戶信息保護,加強數據資源在采集、存儲、傳輸、應用和開放等環節的保護政策,依法依規落實個人信息和重要數據境內存儲、對外提供需開展安全評估等要求;強化用戶個人信息保護,有效減少用戶個人信息的泄露、損毀和非法利用。
2.2 積極推進醫療器械網絡安全檢測和認證
加快落實《醫療器械網絡安全注冊技術審查指導原則》,針對醫療設備、配套軟件、遠程數據采集服務器三個信息實體建立詳實可操作的測試標準,并在醫療器械上市審批前委托具有設備測試專業資質的機構開展測評工作。
2.3 建立人員培訓制度,培育醫療器械網絡安全人才隊伍
重視對在職人員的培養,形成醫療器械從業人員網絡安全知識更新和能力可持續提升的培養模式。定期組織網絡安全培訓,提升政府工作人員、各級醫院領導和信息化工程師、醫療器械工程師的整體安全意識和技術水平。
文章來源:關鍵基礎設施安全應急響應中心
