医疗设备是安全重灾区,搞不好身体会被黑客控制

编者按:植入身体内的医疗设备,有很多具有联接其他设备的功能。这些设备对病人的身体有着至关重要的影响。但是,它们真的安全吗?如果它们被黑客攻击了,我们该怎么办?

黑客侵入医疗设备造就了今天的骇人头条。Dick Cheney要求更换他的心脏起搏器,为的是更好地避免黑客侵入。Johnson&Johnson(强生)在去年秋天提醒他们的顾客,他们的胰岛素泵存在着一个安全隐患。St.Jude(圣裘德)已经在处理公司的除颤器、起搏器和其他电子医疗产品的漏洞上花了数月的时间。你可能会想,现在这些电子医疗设施的制造厂商已经开始学到了安全改革(的重要性)。但是,专家们警告说,他们并没有。

由于电子式植入医疗设备存在着潜在的安全隐患,黑客们正在不断增加对这些设备的攻击。为了保卫这些医疗器械(的安全性),需要在两个方面都采取紧急措施。我们需要保护病人,以使得黑客们不能入侵一个胰岛素泵来注射致死的剂量。这些脆弱的医疗设备还连接到大量的传感器和监视器,使其成为更大的医院网络的潜在切入点。这反过来可能意味着偷窃敏感的医疗记录,或一个毁灭性的勒索软件攻击,威胁着被攻击的人质,直到管理人员支付赎金。

威胁研究公司Trend Micro的首席网络安全官Ed Cabrera说:“整个勒索的世界都已经改变了。你确实可能陷入到这种生死状况——要命(交赎金)或死亡(不交赎金)。”

健康行业和互联网

对植入式医疗设备的攻击是如此的值得警惕,因为这些设备太隐私了。 你肯定不会想要你的身体或你的皮肤上的东西被一个犯罪分子遥控。 不幸的是,许多类型的这些设备易受攻击。 例如,在12月对新一代植入式心脏除颤器的调查中,英国和比利时的研究人员发现,目前市场上10个植入型心律除颤器的专有通信协议中存在安全缺陷。

具有无线连接、远程监控、近场通信技术这些功能的医疗设备,允许卫生专业人员调整和微改动,无需手术开创面调整。 这本是一件很好的事情, 但这些便利也创造了潜在的接触点。 这些设备上的专有代码,意味着对于制造商之外的其他任何人,需要精心地逆向编程软件(如研究人员所做的植入式心脏除颤器)才能评估设备的安全性,更不要说发现缺陷。

鉴于互联医疗设备的普及,这些设备暴露的机会增多了。 虽然植入式设备引起了最大的关注,但更广泛的医疗保健小工具,在医疗行业中造成了严重的曝光和潜在的危险。 根据物联网安全公司Zingbox最近的研究,美国医院目前平均每床连接10到15台具有这些功能的医疗设备。而一个大型医院系统,如迈阿密的杰克逊纪念医院,可以有超过5000张床。

“我们倾向于认为医疗保健行业是非常保守的,要想享受医疗保险是非常慢的,主要因为法规和责任问题。但是由于使用物联网设备的巨大好处,医院正在部署越来越多的这些设备。” Zingbox的首席技术官May Wang这样说道, “在过去三年中,医疗行业被黑客入侵的次数,甚至超过了金融业。 越来越多的黑客攻击开始针对医疗设备。”

这种情况产生的部分原因,是因为有这么多容易攻击的目标。 根据最新Trend Micro的调查,仅在美国就有超过36,000个医疗保健相关设备,很容易在Shodan上发现——这是一种用于搜索已连接设备的搜索引擎。 当然,并不是所有的这些目标都是易被攻破的,但由于这些设备的公开暴露,攻击者更有可能针对他们。 研究还表明,暴露的医疗保健设备系统中,很多的部分仍然使用过时的操作系统,这可能会使其易受攻击。 例如,在调查中,超过3%的已暴露设备仍然使用Windows XP,这是一个已停用的Microsoft操作系统,不会再接收安全更新。 “目前的挑战,是识别所有易受攻击的设备,并制定一个保护它们的计划。”Cabrera说。

一种名为MedJack的攻击方式

与台式电脑和服务器不同,物联网设备不能运行杀毒软件和其他的端点数据安全检查。它们的多样性、和一开始就对其安全性的漠视,往往使他们无法妥协。 在一个目前使用的、被称为MedJack的攻击方法中,攻击者将恶意软件注入医疗设备,然后通过网络扩散。 在这些类型的攻击中发现的医疗数据可用于税务欺诈或身份盗窃,甚至可用于跟踪药物处方,使黑客能够在线订购药物,然后在暗网(Dark Web)上销售。

这些攻击也在不断发展。 例如,根据网络透明和安全公司TrapX的调查,MedJack在最近几个月采用了新的、更复杂的方法。 该公司使用仿真技术在医院网络上植入假的医疗设备,冒充如CT扫描仪类的设备。 作为黑客探测和选择的目标,TrapX观察到MedJack攻击者故意使用旧的恶意软件来瞄准过时的操作系统,如正在运行Windows XP和Windows Server 2003的医疗设备。通过攻击传统技术,黑客可以避免被检测出来。因为在网络中,运行这些操作系统的其他部分不会标记出来这些活动。 而较新的服务已经修补旧的恶意软件,并自动将其分类为次要威胁。

TrapX营销副总裁Anthony James说:“每次我们进入医疗机构展示我们的产品时,我们不幸地发现他们也是MedJack攻击的受害者。” “大多数的机构没有意识到这个问题,因为没有人监测他们的医疗保健设备是否存在攻击者。 没有人在考虑CT扫描仪或MRI机器(是假的),也没人注意到启动板上受到的更广泛攻击。”

一旦黑客有了立足之地,他们可以利用他们的位置,对于多种不同类型的网络展开攻击。越来越受欢迎的选择是对大型医院进行勒索软件攻击,让黑客可以一次性获得快速和慷慨的支付。像去年夏天得克萨斯州彩虹儿童诊所受到攻击的一样,许多这样的攻击,采取加密数字记录、并将其作为绑架筹码的传统途径。但是,新一代的勒索软件攻击采取了不同的方法,破坏对数字系统的访问入口,然后要求赎金,以便他们可以正常运行。在去年的臭名昭着的好莱坞长老会医疗中心勒索软件攻击中,医院的计算机离线了一个星期。同一时间对德国医院的勒索软件攻击,禁用了医院内部的电子邮件,让医院员工只能被迫使用纸和传真机。保持医院数据或系统赎金的有效性在于重新获得控制的紧迫性。医院面临失去不仅是金钱,更是关键的资源,以保持患者能够活着。

提高安全性的方案

与其他物联网设备一样,有两个必要的组件来提高安全性。 首先,诸如监视表和监视器这种的医疗设备,已经上市多年的这些设备需要防御,如安全扫描、以及用于下载补丁和更新的简单机制。 然而,展望未来,还需要鼓励未来的几代设备从一开始就提供更强大的安全保护。 太多的制造商在早期规划阶段忽略安全性,或者仅仅依赖可能本身就易受攻击的第三方组件。

幸运的是,现在已经有了一些进展。 食品和药物管理局(FDA)在大约2013年就开始更严格地评估设备网络安全性,以此作为产品批准的标准,并且这个标准在不断地更新。 FDA的标准主要基于国家标准与技术研究所(NIST)于2014年对关键基础设施网络安全框架的指导。 NIST目前正在修订版本,并发布了一个单独的标志性文件,详细介绍了开发安全、可靠数字系统的基本方法。 这不是可强制执行的,但它是一个开始。

NIST的作者之一Ron Ross说:“如果人们选择采用这一指导文件,就可以对所有系统的可靠性产生巨大影响,从智能手机,到医疗设备,到工业控制系统,甚至是发电厂。它绝对可以帮助确保医疗设备更可靠,因为文档中的指导,可以帮助消除可能被意外、或有目的地被利用的漏洞。”

这仅仅是一个美好的愿景

无党派关键基础设施技术研究所的高级研究员,James Scott说:“FDA向医疗器械技术社区提供的建议基本上只不过是一个小提醒。 事实上,这个行业需要做出些真正的努力。”

FDA确实有一些可行的权威理念。FDA的“设备和放射健康中心”的科学和战略合作伙伴主任Suzanne Schwartz说,如果医疗设备不符合该机构的网络安全标准,该机构已经推迟甚至阻止了它们上市。她补充说,FDA已经看到了基础网络安全保护的改进,这些改进正在应用于审查新产品。但由于设备可能需要多年的开发,而FDA在只有过去几年里才开始专注于网络安全问题,该机构知道可能需要一些时间才能看到结果。

“安全不是一个可选项,”Schwartz说, “制造商应当选择一个替代方法(注重安全性),而他们有能力这样做。但‘保证安全’这一想法对他们来说只是一个可选的考虑。这样是不对的。”

即使已经实施了这些措施,但确保现有设备的安全并保护新设备是一个渐进的过程。 同时,医疗保健行业作为一个整体还暴露在威胁之下,连累着无辜的患者。

本文转自d1net(转载)

时间: 2017-07-03

医疗设备是安全重灾区,搞不好身体会被黑客控制的相关文章

人们的身体开始受到黑客的威胁

本文讲的是 人们的身体开始受到黑客的威胁,美国前副总统迪克·切尼曾担心恐怖分子通过入侵他的心脏的方法把他杀死,于是在2013年,他的医生禁止了他的心脏移植的无线功能. 切尼的担心并非毫无根据,入侵人体植入设备.心脏起搏器.仿生假肢虽然很困难,却不是不可能的,而且后果非常可怕.比如,控制你的仿生假肢,加大胰岛素自动注射剂量到致命的程度等. 人们正在把越来越多的电子设备植入身体,这些芯片能够发送和接收无线数据.但同时,我们面临的安全威胁也越来越大. 比如,在最近的一次科技实验中,研究人员成功的入侵一

医疗行业成泄密“重灾区” 专家教你五步化解危机

医疗行业的IT团队务必提高警惕,当前医疗卫生行业出现了越来越多的数据泄露事件,自己所在的医疗单位一不留神就会被黑客盯上.作为全球服务器安全.虚拟化及云计算安全厂商,趋势科技已经注意到医疗机构已经成为网络犯罪的"重灾区",其不仅需要面对传统病毒防护,还需要防范日益精进的APT攻击.因此,趋势科技建议用户是时候重新审视安全防护体系的有效性,并利用最新的云安全技术保护核心数据. 患者数据跨越多个系统,黑客更容易找到"攻击点" 在"身份窃取资源中心"(

恐怖!看看黑客入侵医疗设备后都干了什么

当黑客侵入了某台设备后,他们就潜伏在那里,将这台仪器作为永久基地,从那里侦测整个医院的网络 "FDA似乎要等到真的有人被杀死才会说,'好吧,是的,这是我们需要担忧的问题'" 2013年秋,比利·里奥斯(Billy Rios)从他位于加利福尼亚州的家中飞往明尼苏达州的罗切斯特,来到全球最大的非营利性综合医疗机构梅奥诊所(Mayo Clinic)接受一项任务.里奥斯是一位"白帽"黑客,也就是说客户会雇用像他这样的人侵入自己的电脑系统.他的客户名单包括五角大楼.主要的国防

智慧医疗设备将是缓解心理健康的一大帮手

每天都有一名美国医生自杀,我国也不容乐观,便携式医疗设备将缓解医护人员的精神压力! 医生是一个令人向往的职业,但成为一名医生却必须是饱受风霜的.在青春年少时,学子们拼命考大学,几年后终于毕业了,却又要拼命考医学院.在等待医学院毕业时,还要考住院医考试,申请住院医生培训计划.在别人卿卿我我的时候,他们永远在为下一步打拼. 医生们经历了漫长的躯体磨难与心理的煎熬,每天担负着救死扶伤的重任,最终被精神压力所打败,在恐惧.茫然.痛苦及自我怀疑中选择结束自己的生命,这是多么悲伤的事情. 据美国自杀预防基金

公立医院的医疗设备也要共享了

9月中旬,发改委和卫计委联合下发关于<疑难病症诊治能力提升工程项目遴选工作方案>(以下简称<方案>)的通知,要遴选出100所左右省部级医院,由中央财政资金专项支持,强化专科建设,且每省至少安排1个项目.依据<方案>,未来选中的医院,将鼓励其牵头组建区域的专科联盟等多种形式医联体,实现优质资源纵向流动,促进分级诊疗.在<方案>中,还有一项重要内容:(这些省部级医院)将根据功能定位等,合理配置专科发展建设必需的50万元以上设备,并且将鼓励建立区域大型医疗设备共建

Orange与TAPcheck携手开发联网医疗设备

本文讲的是Orange与TAPcheck携手开发联网医疗设备,日前,隶属于Plus Prevention Group,专业从事医疗保健产品生产和销售的TAPcheck与Orange Business Services签署合作协议,TAPcheck将整合Orange Business Services的Flexible Computing平台,并将自己的各种医疗保健应用软件托管于该平台上,因此可以随时将自己的医疗产品联网.此合作协议使得TAPcheck能够向市场推出端到端的服务. 该协作在初期仅限

有谁知道目前心血管科都使用哪些可输出DICOM文件的医疗设备,DICOM的标准是几?

问题描述 如题,我想知道国内的心血管科都使用哪些可以输出DICOM文件的医疗设备,而这些设备有没有共同的DICOM标准?标准是多少~!~!请知情人帮忙解决,万分感谢,送所有分!!!!!! 解决方案 解决方案二:帮顶

医疗设备网络安全FDA指南解读

医疗设备的安全性正日益受到关注.在本文中,专家Mike Villegas探讨了如何用好最新的针对医疗设备制造商的FDA网络安全指南. 在2014年10月24日,据路透社报道,美国国土安全部正在对输液泵和植入式心脏设备等医疗设备和医院设备中二十几个疑似网络安全漏洞进行调查,他们担心这些漏洞可能会被攻击者利用.这些漏洞不仅危害人类生命安全--当然这是最关键的风险,而且也会损害这些设备的完整性和安全性. 美国食品药品管理局(FDA)在2014年10月2日发布了<Content of Premarket

保护医疗设备数据安全 医院也需出把力

随着联网医疗设备愈加普及,医疗服务模式得以创新,可以实现远程监测患者,但同时也带来了一些安全隐患:网络犯罪分子正在通过恶意软件,突破医院的网络系统. 2016年,安全研究机构MedSec联手投资研究机构Muddy Waters Capital公开披露圣犹达医疗公司(St. Jude Medical) 心脏起搏器存在安全漏洞,容易被网络犯罪分子进行攻击.随后美国食品和药物管理局(FDA)对其进行调查,并发布了一条安全警告:圣犹达医疗公司Merlin@home传输系统使用的射频加密技术存在安全漏洞,