美國知名科技媒體《連線》長期撰稿人吉姆-曾特(Kim Zetter)日前對現(xiàn)代醫(yī)院醫(yī)療設備領域所面臨的風險展開了一次詳盡的調查。在調查中，曾特發(fā)現(xiàn)目前醫(yī)院所使用的大多數(shù)醫(yī)療設備都存在著被黑客入侵的風險，而這一風險甚至可能會造成致命的后果。然而，許多醫(yī)療機構還是出于這樣或那樣的原因沒有對此給予足夠的重視。

以下是文章主要內容：

當我的同事斯科特-埃文(Scott Erven)被獲準使用“中西部健康醫(yī)療中心”(Midwest health care facilities)大部分醫(yī)療器械的時候，他就肯定自己能夠從中找到許多安全漏洞。但出乎他意料之外的是，埃文沒有想到自己竟然能夠找到如此之多的設備漏洞。

在這個為期兩年的研究中，埃文和他的團隊發(fā)現(xiàn)主要被用于為病患按劑量注入諸如嗎啡這些藥物的“藥物輸液泵”(drug infusion pumps)可以被遠程控制以改變預先設定的輸入劑量;具備藍牙連接功能的心臟電擊器可能被遠程控制，并給予病患不恰當?shù)碾姄舸螖?shù);黑客可以通過入侵醫(yī)院網絡的方式訪問諸如X光成像這些隱私數(shù)據(jù)，或者重置用于存儲血液等醫(yī)療用冰箱的恒溫設定。

除此之外，埃文和他的團隊還發(fā)現(xiàn)別有用心的人士甚至可以在緊急時刻使醫(yī)療設備突然藍屏、重啟甚至是完全刪除預先設定好的參數(shù)。

“許多醫(yī)院都沒有意識到他們醫(yī)療設備所面臨的巨大風險，盡管已經有研究證明了這一事實，但醫(yī)療機構仍然沒有對此給予足夠的重視。他們沒有對此展開測試，同時也沒有重視起自己所面臨的風險。”埃文說道。

埃文目前是負責全美100家醫(yī)療機構設備管理Essentia Health公司的信息安全主管，該公司在2012年對旗下業(yè)務所涉及醫(yī)療機構進行了一次全面調查，并允許埃文公布了部分研究數(shù)據(jù)。在埃文的報告中，他并沒有指出具體哪個品牌的醫(yī)療設備存在風險，只是表示“現(xiàn)有廣泛的醫(yī)療設備都存在著一些通用的安全漏洞，其中包括過于簡單的用戶名和密碼，或者極其容易被黑客入侵的用戶界面”。

而且，這些所存在漏洞的醫(yī)療設備大多是經由醫(yī)療機構的內部網絡進行連接，但這些所謂的內部網絡同時又與互聯(lián)網相通。因此，黑客完全可以通過釣魚方式入侵醫(yī)院員工電腦，進而接入這一內部網絡進行破壞。或者，黑客可以通過將筆記本帶到醫(yī)院連接內部網絡的方式進行接入。

“這些機構中只有很少一部分設備能夠真正抵御攻擊，一旦你接入了他們的網絡你就可以掃描，并發(fā)現(xiàn)絕大多數(shù)已連接設備，這非常容易。”埃文補充道。

情況堪憂

據(jù)悉，埃文是在將自己的研究和其他安全顧問的研究結論加以整合后才真正意識到這一領域所存在的嚴重安全問題的。而且，這些問題所覆蓋的領域包括了心臟去顫器、藥物輸液泵、硬件密碼等諸多方面。

“我們得到了來自管理層的支持來展開這次針對醫(yī)療設備領域的調查，我們幾乎測試了所有當前環(huán)境下可能使用到的設備。”埃文表示。

在此次調查中，該團隊發(fā)現(xiàn)醫(yī)療機構所廣泛使用的嵌入式web服務(允許不同設備進行數(shù)據(jù)共享的一種服務)存在著巨大漏洞，

埃文認為：“許多嵌入式web服務允許設備間進行未經授權或者未加密的數(shù)據(jù)分享，因此我們可以人為改變它們所分享的醫(yī)療數(shù)據(jù)，而患者則可能因此得到錯誤的診斷或者處方藥。醫(yī)生們非常依賴于這些數(shù)據(jù)來進行判斷，而我們卻可以通過這些漏洞擅自修改數(shù)據(jù)。”

同時，這一團隊還發(fā)現(xiàn)了存在于存儲血液等醫(yī)療用冰箱設備中的漏洞。

“這些設備均擁有一個允許用戶進行溫度設定的網頁用戶界面，雖然這一設備會在溫度超過預設范圍的情況下向相關人員自動發(fā)送通知郵件提醒，但黑客完全可以通過破解密碼的方式關閉這一功能，并擅自更改設定溫度。”埃文說道。

而且，類似的入侵還可以被用于改變CT設備的照射強度等方面，并有可能對患者身體造成不必要的傷害。

后知后覺

報告顯示，越來越多的醫(yī)療機構最近才開始意識到自己所面臨巨大安全風險。而且，現(xiàn)有醫(yī)療設備在設計過程中更多的只是注重于可靠性、性能等方面的考慮，安全因素并沒有納入設計者的主要考慮范圍內。

“醫(yī)療設備提供商目前沒有任何現(xiàn)成的安全規(guī)劃，他們在將產品推出市場前也不需要進行類似的安全分析。”埃文表示。

去年春天，美國食品及藥物管理局(Food and Drug Administration)和國土安全部(Department Of Homeland Security)在得知大約300種醫(yī)療設備存在密碼過于簡單的問題后曾向相關醫(yī)療機構發(fā)出過類似警告，并要求它們對此進行檢查。但事實上醫(yī)療機構本身能做的并不多，他們更多的只能依賴于設備生產商來解決現(xiàn)有設備的問題，并在未來的醫(yī)療設備中內置更加安全的加密機制。

目前，美國食品及藥物管理局已經出臺了要求醫(yī)療設備制造廠商強制檢查出廠設備的安全性指導意見，而醫(yī)療機構也有權利要求自己的供應商全力履行這一義務。然而，許多供應商認為這樣的要求可能很難真正滿足，因為這需要他們將自己的系統(tǒng)重新提交給食品及藥物管理局進行申報。