医疗器械网络的安全隐患显得越发严峻

[导读] 随着网络时代的到来，医疗设备越来越多地连接到互联网。医院通过网络可以改善医疗服务，但是相应地也会面对网络安全风险。和其他的计算机系统一样，医疗设备也很容易受到安全漏洞的影响，医疗器械网络安全出现

随着网络时代的到来，医疗设备越来越多地连接到互联网。医院通过网络可以改善医疗服务，但是相应地也会面对网络安全风险。和其他的计算机系统一样，医疗设备也很容易受到安全漏洞的影响，医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者或使用者受到伤害或死亡。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。

威胁和漏洞无法消除，如何降低风险显得尤为重要。国内外的医疗设备网络安全问题处于什么样的环境中？这个赛道又哪些创业公司以全新的方法论和技术可以构筑防火墙？动脉网曾持续关注过医疗网络安全问题，据2017年的数据显示，美国2010-2015年医疗信息泄露事件次数每年发生200多起。而今，形势甚至变得更为严峻，2018就发生503起医疗保健数据泄露事件。

FortiGuard的实验室报告称，2017年医疗保健平均每个组织平均每天有近32,000次入侵攻击，而在其他行业这个数字是超过14,300次。显然，医疗行业受到了更多的攻击。在国内，情况也不容乐观，2017年，《法制日报》发布了一篇名为《7亿条个人信息遭泄露浙江判决特大侵犯公民信息案》的报道，曝出黑客入侵了某部委的医疗服务信息系统，大量孕检信息遭到泄露和买卖。

然而有一个值得关注的趋势，黑客们不再满足于提取医疗记录和患者数据。他们把手伸向了医疗设备，威胁患者的安全。多年来，医疗机构一直在保护患者的个人健康信息(PHI)。随着物联网时代的到来，医疗行业将面临新的挑战。医疗物联网涵盖输液泵、核磁共振成像仪、x光机、心脏监护仪等医疗设备，它们都可能成为被攻击勒索的对象。

尽管医疗物联网可以提高医疗保健的效率，但是如果没有安全保护的医疗物联网设备，它也会导致更大风险暴露。随着5G技术的飞速发展，物联网的到来正在加速，而还没有设置网络安全保护的医疗设备宛如在网络攻击面前“裸奔”。一个例子就是2017年5月WannaCry勒索病毒攻击英国国家医疗服务体系（NHS）。

在2018年2月，《The Naked Security 》报道了WannaCry是如何影响英国国家医疗服务体系(NHS)的。报道中阐述勒索软件针对的是运行在Windows XP工作站的MRI和CT扫描仪。虽然这次攻击的影响仅仅是勒索钱财以释放设备，但更大的担忧是，恶意软件可能会影响设备的操作，干扰设备的移动方式，干扰扫描信号，甚至改变结果。

2017年，《福布斯》也报道了美国一家医院的拜耳Medrad设备被感染。拜耳的一位发言人证实，该公司已收到两份来自美国客户的报告，报告显示设备受到了勒索软件的攻击，但没有透露具体是哪些产品受到了影响。两个站点也在24小时候恢复了运作。黑客可以直接攻击医疗设备，进行勒索，除此之外，医疗设备还可能成为他们的帮凶，成为窃听的工具。在2017年8月，FDA召回了近50万个心脏起搏器，原因是担心无线窃听。就连美国前副总统迪克切尼(Dick Cheney)也对他的心脏起搏器进行了修改，以确保它不受攻击。

史密斯医疗公司的Medfusion 4000无线注射器输液泵也是一个例子。这种输液泵在全球范围内使用，用于在疾病护理环境中从注射器中输送小剂量药物。据ICS-CERT在2017年9月报道，这些设备包含8个可以远程利用的漏洞。据Gartner Research称，到2020年，25％的医疗保健攻击将来自物联网设备。SANS报告称，医院中大约17％的网络攻击来自医疗终端，报告中77％的医院表示医疗设备的安全风险是他们最关心的问题。

为什么医疗组织会受到攻击。因为医疗数据价值高而保护薄弱，其次受够攻击最多的行业就是金融行业。对于医院来说，因为HIPAA法案，有关患者信息的泄露或者设备遭到攻击，医院将遭到更严重的惩罚。在国内也不例外，2018年发布的《网络安全等级保护条例（征求意见稿）》中把信息系统的安全等级分为了5级，其中提出将“会造成特别严重损害”的情况下，信息系统应采取的保护等级提高到第三级。

而关于国内医院应对网络安全攻击的模式，曹晓均副主任告诉动脉网：“在应对网络安全的时候，有经验的第三方公司依照医院的具体环境和情况制定安全方案，院内审批后协同执行安全建设。”

但是根据现实情况来说，依据腾讯智慧安全、中国医院协会信息管理专业委员会（CHIMA）联合研究发布《医疗行业安全指数报告》中指出，在卫健委指导下，全国医院信息安全建设水平不断提升。《报告》显示，国内38%的医院指数值处于良好水平，22%的医院处于优秀水平，显示出在卫健委指导下，全国医院信息安全建设水平正在不断提升。

但是也有一些问题暴露，医疗行业信息安全建设意识薄弱，核心数据缺乏有效的安全防护。问题主要表现为：网络空间资产端口开放较多，隐患大，如开放远程登录服务的比例高达50%；外网电脑的安全风险较多，可能会给不法访问者以可乘之机；线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险；医疗行业已经成为勒索病毒攻击的主要目标，医疗业务连续性受到挑战。