醫院成為“犯罪天堂”:當黑客開始通過心臟起搏器遠程殺人互聯網+
救死扶傷的醫院也能成為 黑客的殺人“天堂”,你信嗎?
在科幻小說《球狀閃電》中,女主人公林云通過激活宏聚變,摧毀了全球電子設備的芯片,將三分之一的國土拉回到農業時代,終止了一場現代核戰爭。
這個故事直指人類在數字時代不得不面對的一個兩難困境(Dilemma):數字技術固然潛力巨大,可是一旦無處不在的網絡出現了紕漏,引發大規模破壞性事件的概率也將大大提升。稍有不慎,人類就會被自己追逐的東西拉進深淵。醫療設備聯網所帶來的安全風險,像一個正在被打開的“潘多拉魔盒”,讓我們不得不對“數字繁榮”保持高度警惕。
救死扶傷的醫院也能成為
黑客的殺人“天堂”,你信嗎?
過去,安全漏洞工具化所帶來的威脅,大多都停留在網絡世界里。比如敲詐勒索、售賣醫療數據、利用醫院服務器挖礦等等。
像是一年前的勒索病毒綁架全球多個醫院銀行系統,導致網絡癱瘓、業務無法正常流轉,只需支付比特幣贖金即可恢復。
可是,通過網絡安全漏洞遠程殺人,在醫院設備聯網的大環境下正在變得越來越容易。越來越多的黑客黑入醫院,以“收割生命”作為“彩頭”,這就有點令人毛骨悚然了。
一般來說,主要有兩種方式:
1. 篡改關鍵醫療數據。比如截取血液、尿液的測試報告并更改結果,將錯誤的信息發送到醫院的醫療記錄系統,導致醫生做出錯誤的用藥判斷。
加州大學圣地亞哥分校和戴維斯分校的研究人員做過相關實驗,在加州大學測試設備、計算機、服務器組成的醫療實驗室,可以修改正常的血液測試結果,讓鉀含量偏低,如果醫生因此實施了鉀IV治療,很有可能導致患者心臟病發作,甚至死亡。
2. 入侵人體植入設備。越來越多的醫療設備可以采用無線通訊技術并與人體結合,比如心臟起搏器、能夠檢測身體器官數據的“智能藥丸”、與腦部刺激器結合治療帕金森和電線的設備等等。
植入醫療輔助設備讓患者獲得了高效、方便的全新醫療解決方案,但也因此成為危險的溫床。2017年,美國的健康公司Abbott就曾召回過46.5萬個存在安全漏洞的心臟起搏器,以避免設備遭到黑客攻擊。
未來隨著“體聯網”的發展,人類可能擁有前所未有的超能力,也可能被遠在千里之外的黑客“彈指間灰飛煙滅”。
對于大多數人來說,唯一可以聊以安慰的,或許是這種類型的攻擊通常不會針對一般公眾,而是用來攻擊比較高調的目標,比如國家元首或社會名人。美國副總統迪克-切尼(Dick Cheney)的心臟起搏器,就曾在2013年收到過“死亡警告”。
總之,當我們享受醫療數字化、智能化所帶來的更方便、安全的醫療服務時,也必須承受整個醫療網絡面臨的安全隱患。
追名逐利or報復社會:
醫院為什么令黑客趨之若鶩?
醫院為什么這么容易淪為黑客的攻擊目標呢?一般來說有以下幾種原因:
1. 醫院的信息化越來越普遍,卻又在IT管理上存在短板。現如今為了方便管理,醫療信息化、上云已經成為了大趨勢。但是對于很多醫院,尤其是公立醫院來說,他們缺乏基本的信息化人才,只能將IT基礎建設外包出去。但外包服務往往質量參差不一,更不會提供持續性的安全防護服務。隨著近些年醫療物聯網設備的增多,醫院的IT漏洞開始成倍增加。醫院又缺乏專門的信息安全團隊,IT人員缺乏有效持續的網絡安全培訓,應對攻擊的反應時效落后,也會進一步擴大損失。
2. 針對醫院作案收益大、可操縱性強。相比在街頭實施暴力,控制醫院中的某一臺呼吸機、篡改某一項檢測結果的數據,顯然能更加精準的實施作案。不僅如此,在以前關于醫療數據的文章中,我們也提到了黑客攻擊醫院數據庫,常常是為了盜取用戶資料。或許沒那么多人想付錢給黑客讓他們取走他人姓名,但哪些明星整容、哪些政客生病等等信息,自然會有人高價買單。
3. 攻擊醫院一旦成功負面影響大,更能滿足黑客的炫技心理。偷窺、勒索、破壞,攻擊醫院這樣的社會關鍵組織,讓展示技術與獲利行為融合在一起,還會給公眾帶來心理上的恐懼,多重激勵共同催化了愈演愈烈的攻擊事件。
總而言之,醫療行為具備更高的商業價值和更低的犯罪成本,這就讓其面臨的安全問題變得更加頻繁,也更加難以防范。
醫療安全:
一場不死不休的持久攻堅戰
一部缺乏安全的手機,可能成為個人隱私泄露的間諜;而一個缺乏安全的醫療產業,則可能導致一場社會級災難片。
不管我們愿不愿意,各種醫療設備和診療流程,都在不可逆轉地被數字化。但凡是能插電的,都在被聯上網。
說了這么多,到底如何才能把醫療漏洞的威脅最大程度地扼殺在萌芽狀態呢?
對于正處在焦慮和危險之中的醫院,或許以下幾個方法可以幫助其逃出困境:
首先,通過防火墻和網絡分割,提升醫療基礎設施的安全等級。比如,為醫療記錄和醫療設備設立防火墻密碼保護,每個設備只與一臺服務器通信,減少黑客進入醫院網絡的機會,避免黑客攻擊“火燒連營”。
需要注意的是,這種自我隔離式的安全防護,很可能因為醫生、患者的手機、ipad、USB等外部設備而破功。
因此,更重要的是第二點:提升醫院的網絡安全防護能力。一方面,醫院需要加強對IT人員的培訓,將網絡安全列入醫療設備管理,讓安全防護日常化、規范化;另一方面,提高醫院網絡通信和資源信息的加密標準,用更新的標準FHIR(快速醫療互操作性資源)取代HL7(衛生信息用戶層交換協議)。
第三,引入外援,借助云計算企業的集成迭代能力,將部分功能和數據放在云上,為醫療安全多上一把鎖。目前頭部云服務商都能提供私有云、公有云、混合云等多元化服務,來滿足醫院對數據隱私、業務拓展和網絡安全的多重顧慮,可以用更小的代價提供保護。同時,科技公司的安全意識和迭代升級能力更強,能夠更為及時地應對新型攻擊。
能做到以上幾點,基本可以解決大量安全隱患和不可控因素,改善醫療產業的安全現狀。
但從某種意義上說,安全永遠是相對的。當人類釋放出技術這頭猛獸,就注定是它的馴化者:接受它所帶來的偉大饋贈,也注定要與駕馭它的惡魔搏斗,不死不休。
1.TMT觀察網遵循行業規范,任何轉載的稿件都會明確標注作者和來源;
2.TMT觀察網的原創文章,請轉載時務必注明文章作者和"來源:TMT觀察網",不尊重原創的行為TMT觀察網或將追究責任;
3.作者投稿可能會經TMT觀察網編輯修改或補充。
