草根影响力新视野 夜未央编译

当今,中国制造的医疗设备逐渐引起关注,并成为网络安全风险的焦点。尽管这些设备的普及带来了许多便利,专家们警告,这些设备的安全漏洞可能会对美国的医疗系统构成严重威胁。近期,Contec CMS8000这款医疗监测仪便成为备受关注的问题设备。这款设备主要用来追踪病人的生命体征,包括心电图、心率、血氧饱和度、非侵入性血压、体温及呼吸频率等。近来,美国FDA(食品药品监督管理局)与CISA(网络安全与基础设施安全局)都发出了警告,指出该设备存在“后门”,这是一个易于被利用的漏洞,可能让骇客轻易更改设备配置。

CISA的研究团队描述了该设备的“异常网络流量”,并指出后门使设备能够下载并执行未经验证的远端文件,这些文件的IP地址不是来自医疗设备制造商或医疗机构,而是来自第三方大学。这样的行为与医疗设备的一般做法极为不符,显示出明显的安全隐患。CISA进一步解释说,这一漏洞的后果可能会非常严重。举例来说,若设备错误显示病人的肾脏功能失常或呼吸衰竭,医护人员可能因此进行不必要的处置,这些处置可能对病人造成伤害。

医疗与IT领域的专家对Contec设备的安全漏洞并不感到意外。他们早已警告过,许多医疗设备的安全措施过于薄弱,这可能会导致一场巨大的安全危机。西科夫大学商学院的教授克里斯多福·考夫曼(Christopher Kaufman)专门研究IT与颠覆性技术,他指出,医疗设备的安全隐患可能会迅速恶化,成为一个亟待解决的重大问题。

美国医院协会(AHA)也对中国制造的医疗设备在美国市场的广泛使用表示担忧。AHA代表著美国超过5000家医院和诊所,该协会认为来自中国的医疗设备对美国医疗系统构成了严重的安全威胁。对于Contec设备的安全问题,AHA强烈呼吁尽快解决这一漏洞。AHA的国家网络安全与风险顾问约翰·里吉(John Riggi)指出,这一问题应该被列为优先处理的问题,并强调“在骇客入侵之前,我们必须雪铁龙行修补”。

CISA报告中指出,目前尚未有可用的软件补丁来解决这一漏洞,但政府正与Contec公司合作,试图解决这一问题。然而,问题的根源在于,目前尚不清楚美国境内究竟有多少台这种监测仪。里吉表示,由于医院中设备数量庞大,无法确定具体数量,而根据估计,这些设备在美国的数量可能达到数千台。里吉进一步指出,中国对这些设备的潜在访问权限,可能对美国的医疗数据、战略安全和供应链造成极大风险。

房间 空的 医院 医 病 床 诊所 保健 医药 生病 治疗 病房 健康 关怀 设备 临床 急 地板 复原 内 保险 复苏 毯子 室内 清洁 自在 帮助 室内 外伤 没有人 援助 作业 不育 手术
图片取自:(示意图123rf)

短期内,FDA建议医疗系统和患者确保该设备仅在本地运行,或者禁用任何远程监控功能;如果远程监控是唯一选择,则应该在有可替代设备的情况下停止使用该设备。到目前为止,FDA表示未发生任何与该漏洞相关的网络安全事件、伤害或死亡情况。AHA也告知其成员,直到该漏洞的修补程序出台,医院应该确保该设备无法再连接到因特网,并且与医院内部网络进行隔离。

尽管Contec监测仪暴露的漏洞引发了广泛关注,但这也仅仅是众多来自中国的医疗设备中,存在安全隐患的一个典型例子。里吉指出,许多美国医院因为预算有限,常常选择购买来自中国的低价医疗设备。这些设备可能会让中国对美国的医疗信息产生访问权限,并将收集到的数据转交回中国,这些数据的后续处理方式鲜为人知。虽然从当前的情况来看,医疗风险主要体现在数据的收集和再利用上,但里吉也指出,从理论上来看,名人或其他重要人物的医疗设备,可能会成为骇客攻击的目标。

信息安全研究员阿拉斯·纳札罗瓦斯(Aras Nazarovas)也对CISA的警告表示担忧。他指出,像Contec CMS8000这样的医疗设备通常会接入敏感的病人数据,并直接与生命攸关的功能相连。当这些设备的防护措施不足时,它们就成为骇客的易攻目标,可能会被远端操控,进而改变设备显示的数据或设定,甚至完全禁用设备。纳札罗瓦斯警告说,如果设备不够安全,骇客甚至可以在医院或患者毫无察觉的情况下,远程改变设备的运行方式。

医疗设备漏洞的后果可能是致命的。纳札罗瓦斯举例说,如果一个病人的监测仪突然停止向医生发出心率过低的警报,或发送错误的数据,这将导致误诊或诊断延误,从而对病人造成生命威胁。他进一步指出,Contec CMS8000Epsimed MN-120(这是同款设备的另一品牌名称)可能成为骇客入侵医院网络的入口。

越来越多的医院和诊所开始关注这一问题。阿拉斯加州朱诺市的巴特利特地区医院就表示,虽然该院并未使用Contec监测仪,但他们始终保持对安全风险的关注。巴特利特医院发言人艾琳·哈丁(Erin Hardin)表示:“随著医院面临的网络安全攻击风险增加,我们必须定期进行监控。”

然而,正如考夫曼所指出的,仅仅依赖常规的监控手段,仍无法解决设备本身安全性差的根本问题。他还指出,政府机构负责保障医疗设备安全的部门正面临裁员和资源削减,这使得许多负责审查医疗设备安全的FDA员工已经离开,进一步加剧了这一问题的恶化。根据20221月美国政府问责办公室的报告,超过一半的连网医疗设备存在已知的重大安全漏洞。考夫曼担心,随著时间推移,这一问题只会愈发严重。

医疗设备的安全问题早已为人所知,然而,这些问题的后果可能极为严重,甚至会对医疗系统本身造成灾难性的影响。医疗数据公司Censys的资深安全研究员西拉斯·卡特勒(Silas Cutler)也指出,这一问题的后果可能不仅限于高层人士,对普通患者而言,医院系统遭遇攻击,造成的连锁反应可能更加致命。

资料来源https://www.cnbc.com

Related Posts: