當前位置首頁 > 行業資訊 > 行情動態 > 正文

恐怖!看看黑客入侵醫療設備後都幹了什麽

發布日期:2016-06-02 來源: 醫療器械招商産業網 查看次數: 945
核心提示:2013年秋,比利·裏奧斯從他位于加利福尼亞州的家中飛往明尼蘇達州的羅切斯特,來到大的非營利性綜合醫療機構梅奧診所接受一項任務。裏奧斯是一位“白帽”黑客,也就是說客戶會雇用像他這樣的人侵入自己的電腦系統。他的客戶名單包括五角大樓、主要的國防承包商、微軟、谷歌和其他一些他不方便透露的名字。他擺弄的對象包括武器系統、飛機零件甚至電網,侵入華盛頓州大的公用事業區的網絡,向官員們展示

  2013年秋,比利·裏奧斯從他位于加利福尼亞州的家中飛往明尼蘇達州的羅切斯特,來到全球最大的非營利性綜合醫療機構梅奧診所接受一項任務。裏奧斯是一位“白帽”黑客,也就是說客戶會雇用像他這樣的人侵入自己的電腦系統。他的客戶名單包括五角大樓、主要的國防承包商、微軟、谷歌和其他一些他不方便透露的名字。他擺弄的對象包括武器系統、飛機零件甚至電網,侵入華盛頓州最大的公用事業區的網絡,向官員們展示他們可以如何改進公共安全。相比之下,梅奧診所的這項任務顯得平淡得多。他猜想自己只需要做一些例行的尋找漏洞的工作,單獨一人在整潔安靜的房間裏忙活一周就行了。

  但當他抵達這裏時,他驚訝地發現會議室裏滿是熟悉的面孔。梅奧診所召集了一個全明星陣容,這些人裏面有大約一打電腦高手、來自這個國家最大的一些網絡安全公司的調查員以及在黑帽技術大會和年度黑客大會這類會議上技驚四座的那種黑客。這些研究人員被分成幾組,醫院管理人員將大約40種不同的醫療設備擺在他們面前。竭盡所能搞破壞,使出一切黑客手段來攻擊它們——這就是研究人員接到的指令。

  如今醫療設備都聯網了,就像手提電腦和智能手機,這些設備運行著標准的操作系統,活在互聯網上。和包括汽車與花園噴灑器在內的物聯網的其他組成部分一樣,它們與服務器相通,許多設備可以被遠程控制。對裏奧斯來說,有一點變得顯而易見,就是醫院的管理人員的確有很多理由擔心黑客。

  裏奧斯稱:“每一天,那場面就好像是菜單上的每一台設備都被碾壓了一樣。情況非常糟糕。”這些工作小組沒有時間去深入研究他們所發現的這些設備的弱點,這在一定程度上是因爲他們發現了太多這樣的問題——毫無防禦能力的操作系統、無法更改的通用密碼等。

  從這些白帽黑客的入侵活動中發現問題的梅奧診所向其醫療設備供應商提出了新的安全要求,規定在簽訂采購合同前對每台設備都進行測試,以確保它們符合標准。裏奧斯對這家醫院的舉動表示贊賞,但他知道只有爲數不多的醫院擁有足夠的資源和影響力可以做到這一點,而且他在完成這項工作時已經深信不疑:醫院遲早會被黑客入侵,受到傷害的會是病人。由于職業關系,他獲得了深入窺探各種敏感行業的特權,而醫院看起來至少比標准的安全水准落後了10年。裏奧斯稱:“有人會采取進一步舉動。只要有人開始嘗試,他們就能夠做到這一點。阻止他們下手的唯一手段就是指望他們能良心發現。”

  裏奧斯現年37歲,曾在美國海軍陸戰隊效力,而且參加過伊拉克戰爭。在海軍陸戰隊服役期間,裏奧斯爲信號情報部門工作,後來在美國國防部信息系統局謀得差事。他的家庭辦公室被電腦、一台焊接機和大量醫療設備擠得滿滿的。

  在完成梅奧診所的工作後不久,裏奧斯訂購了他的第一台醫療設備——Hospira公司制造的一台Symbiq輸液泵。他沒有刻意針對某個特定的制造商或産品型號展開調查;他只是碰巧在eBay上看到了售價大約爲100美元的這麽一台設備。在沒有得到某種許可的情況下購買這樣一台設備是合法的嗎?他感到困惑。

  在每一間病房裏幾乎都可以看到輸液泵,通常它們被固定在病人床邊的一個金屬架上,自動將靜脈滴注、可注射藥物或其他液體輸入病人的血流當中。Hospira于2015年被輝瑞制藥公司收購,該公司在輸液泵市場上占據主導地位。在該公司網站上,有文章解釋說,這種“智能輸液泵”旨在通過實現靜脈藥物輸送自動化來提高病人的安全保障,文章稱,輸液不當在所有用藥錯誤當中占56%。

  裏奧斯把買來的輸液泵連接到網絡上後發現,對這台設備進行遠程控制並在觸摸屏上“按下”按鈕可以做到,就像真的有人站在這台設備前操作一樣,可以將儀器設定爲把整瓶藥水都輸入病人體內。他說,如果有醫生或護士站在儀器面前,或許可以發現設備被遠程操控,能夠在整瓶藥水滴空前停止這種輸入,但如果由醫院員工在集中監測站負責照看輸液泵,就不會注意到這點。

  2014年春,裏奧斯將他的發現打成定稿,發送給美國國土安全部下屬的工業控制系統網絡應急響應小組。他列出了自己發現的弱點,並建議Hospira進行進一步分析以回答兩個問題:在Hospira的其他設備中是否也存在同樣的脆弱性問題?這種漏洞可能給病人帶來什麽樣的潛在後果?美國國土安全部轉而聯系了美國食品藥品監督管理局,後者把這份報告轉給了Hospira。幾個月後,裏奧斯沒有收到任何回應。裏奧斯稱:“FDA似乎要等到真的有人被殺死才會說,‘好吧,是的,這是我們需要擔憂的問題。’”

  裏奧斯是近幾年來針對醫療設備領域展開獨立調查的一小群人士之一,他們利用自己發現的安全漏洞來引發巨大影響。傑伊·拉德克利夫是一名研究人員,也是糖尿病患者,他現身2011年的年度黑客大會,向觀衆展示了他如何操縱自己的美敦力胰島素泵,讓它釋放出可能致命的劑量。第二年,來自新西蘭的黑客巴納比·傑克在澳大利亞舉行的會議上展示了他如何遠程入侵一台起搏器,讓它發出一次危險的顫動。2013年,在原定參加黑帽技術大會的前一周,傑克死于藥物過量。他原本許諾將在此次會議上公布一個系統,這個系統能夠將任何通過無線連接的胰島素泵精確定位在90米的半徑範圍內,然後改變這些設備所管理的胰島素劑量。

  這種攻擊行爲令設備制造商和醫院管理者感到憤怒,他們說,這種表演出來的黑客行爲讓公衆因爲恐慌而對那些利遠大于弊的科技敬而遠之。在2014年的行業論壇上,某家醫院的信息技術管理人士猛烈抨擊裏奧斯和其他研究人員,稱他們在沒有任何一例患者傷害事故可歸咎于醫療設備網絡安全松懈的情況下就歇斯底裏地煽風點火。美國聯盟醫療體系的無線通信經理裏克·漢普頓稱:“我很感謝你們想要參與進來,但是坦白說,你們在《國民問詢》周刊上擬出的標題帶來的只有問題,而沒有任何作用。”還有一次,在一個有很多業內管理人士和聯邦官員旁聽的電話會議上,設備供應商們沖著裏奧斯大聲呼叱。

  裏奧斯說:“他們所有的設備都名不副實,所有的系統都名不副實。所有的臨床應用也都名不副實——但沒人在乎。這很荒唐,對吧?任何試圖證明這種現狀合理的人都不是生活在現實世界中,他們生活在幻境中。”

  2014年秋天,總部位于加州聖馬特奧的TrapX Security的分析師開始在60多家醫院安裝追蹤醫療設備黑客行爲的軟件。TrapX創建了特定醫療設備的虛擬副本,然後進行安裝,就好像它們在網上而且在運行一樣。對黑客來說,由TrapX安插的虛擬CT掃描儀的操作系統看起來和真的沒有區別。但是,虛擬設備可以讓TrapX監控黑客們在整個醫院網絡的活動。6個月後,TrapX得出結論,所有醫院裏面都有曾經被惡意軟件感染過的醫療設備。

  在多起案例中,黑客們對醫院員工實施“魚叉式網絡釣魚”攻擊,誘使他們打開看起來像是來自已知發件人的電子郵件,當他們上鈎之後,病毒就會感染醫院的電腦。在一個案例中,黑客滲透到一個護士站的電腦裏,從那裏開始將惡意軟件散播到整個網絡,最終溜進放射性儀器、血氣分析儀和其他設備。許多儀器運行的是便宜、老舊的操作系統,如Windows XP,甚至Windows 2000。醫院的防病毒保護系統很快對電腦進行了殺毒清洗,但這些醫療設備就沒有這麽好的防禦系統了。

  TrapX的總經理卡爾·賴特稱,參與這項研究的醫院都依賴設備制造商來維護儀器的安全。這種服務是不定期的,而且是應對性的而不是預防性的。賴特稱:“醫療設備不會在遭受攻擊時向醫療保健提供商發出警告,它們根本沒有自我保護能力。”賴特以前曾是美國軍方的信息安全官員。

  當黑客侵入了某台設備後,他們就潛伏在那裏,將這台儀器作爲永久基地,從那裏偵測整個醫院的網絡。賴特稱,他們的目標是竊取個人醫療數據。

  醫療檔案常常包含信用卡信息,還有社會保險號碼、地址、生日、家族關系和醫療病史——這些信息可以用來創建虛假身份與信貸額度,從而實施保險詐騙甚至敲詐勒索。單單一個信用卡號在網絡黑市上的售價往往不超過10美元;而醫療檔案能夠賣出10倍于它的價格。對于黑客來說,他們在乎的就是轉售價值。

  TrapX的分析師在醫院裏設置的誘捕設備可以讓他們觀察那些試圖通過受感染設備將醫療記錄偷出醫院的黑客。賴特稱,這種追蹤把他們帶到東歐的一台服務器,這台服務器被認爲是受控于一個臭名昭著的俄羅斯犯罪團夥。總的說來,他們會從東歐的這台控制服務器登錄,侵入一台血氣分析儀;然後,他們會從這台儀器進入一個數據源,把數據記錄拖回到血氣分析儀,然後偷走。賴特稱,之所以能夠斷定黑客是通過醫療設備來竊取數據,是因爲在一台血氣分析儀中發現了本不該在那裏出現的病人數據。

  除了這種命令與控制惡意軟件可以令數據記錄失竊外,TrapX還發現了一種名叫Citadel的勒索軟件,它能限制電腦用戶使用文檔,這樣黑客就會要求電腦用戶付款,才能重新獲得使用權。研究人員發現,沒有證據表明黑客真的在這些儀器上安裝了勒索軟件,但僅僅是這種軟件的存在就足以令人不安。

  醫院對網絡入侵行爲一般都秘而不宣。即使是這樣,還是會有一些關于惡意軟件帶來破壞的零星報道出現。2011年,佐治亞州勞倫斯維爾的醫療中心Gwinnett Medical Center對所有非急診病人關閉3天,因爲一種病毒使其電腦系統陷入癱瘓。美國和澳大利亞的醫生辦公室曾報告過一些網絡犯罪行爲的案例,在這些案例中,黑客對病人數據庫加密並索取贖金。審計公司畢馬威在2015年8月公布的一項調查顯示,81%的醫療信息技術管理人士曾表示,他們工作場所的電腦系統在過去兩年內曾經遭受過網絡攻擊。

  目睹這一切,裏奧斯變得很焦慮,希望聯邦監管機構能注意到他在Hospira輸液泵上發現的弱點。2014年夏季,他向國土安全部發去提醒函,詢問Hospira是否已經響應他的建議。據國土安全部回複的郵件顯示,該公司“對于驗證其他輸液泵是否易受攻擊不感興趣”。幾周後,裏奧斯發現自己也處在一個容易受攻擊的位置:躺在一張病床上動彈不得,竟然要完全依賴一台輸液泵。

  2014年7月底,裏奧斯開始在睡覺時鼾聲大作,嚴重幹擾了他的睡眠,迫使他跑去看醫生,醫生在他的鼻腔裏靠近腦膜的地方發現了一塊息肉。這塊息肉被切除了——這只是一個簡單的門診手術——但是幾天之後,裏奧斯出現了發燒症狀,還發現有透明的液體從他的鼻子裏流出來。

  他在斯坦福醫院待了兩周,病房裏滿是各種曾經被他侵入的醫療設備。他的病床和一個網絡接口相連。他的腿上纏繞著壓力綁帶,定時擠壓他的小腿以促進血液循環,它們也是和一台電腦相連的。他數了一下,他的病房裏一共有16台聯網設備,還有8個無線接入點。在這些設備中,最顯眼的一台就是CareFusion輸液泵。這台機器控制著輸入他手臂的液體。他注意到同屋的另一位病人使用的是一台Hospira輸液泵。裏奧斯說:“我不停地想,‘我該告訴他嗎?’”最終,他選擇保持沉默。

  當他能夠掙紮著爬下床時,裏奧斯把他的輸液泵推進了浴室,在這裏好好觀察了一下。他回憶說:“我看著無線網卡,按下上面的按鈕,看看我能進入什麽樣的菜單。”結果更加深了他的憂慮。“無論他們使用什麽Wi-Fi密碼來讓這台輸液泵加入網絡,我總能輕而易舉地破解。 ”

  在走廊裏,裏奧斯發現了一個由電腦控制的藥品櫃。醫生和護士通常使用編碼身份識別卡來進行操作。但是裏奧斯知道這個系統有內置漏洞:一個硬編碼密碼就能打開櫃子裏的所有抽屜。這種通用密碼在很多醫療設備中很常見,而且其中的許多密碼是無法更改的。裏奧斯和一位工作夥伴已經就這些密碼的脆弱性向國土安全部發出了警告,該機構也將他的發現通知了供應商。但是,他們什麽也沒有做,至少在這家醫院是這樣。他很快發現,這台設備抽屜裏的所有藥品他原本都可以自由拿取。“這個時候他們還沒有修複這個問題,所以我在上面試了幾個密碼,然後我的反應是,‘還真能打開啊!’”

  當他出院之後,他試圖重新給Hospira以壓力。他已經告訴聯邦政府他知道如何破壞這些輸液泵,但當他返回家中後,他決定錄制一個視頻來說明他可以如何輕易地做到這一點。他把攝像頭直接對准輸液泵的觸摸屏,然後演示如何遠程按動按鈕,快速突破密碼保護,給注入器解鎖,然後隨心所欲地進行操控。然後,他寫出了樣本計算機代碼,把它發送給國土安全部和美國食品藥品監督管理局,這樣他們就可以親自測試一下他的工作。

  裏奧斯稱:“我們不得不拍攝視頻,寫出可能真正致人于死地的漏洞代碼,才能讓這件事受到認真對待。事情不該是這樣的。”

  但是,此舉引起了FDA的注意。最終,在裏奧斯提出警告一年多之後,FDA于2015年7月發布了一份公告,敦促醫院停止使用Hospira公司的Symbiq輸液泵,因爲這種設備可能允許未經授權的使用者控制它並改變輸液泵輸送的藥品劑量。FDA下屬機構醫療器械與輻射健康中心負責協調網絡安全動議的蘇珊娜·施瓦茨稱:“此舉開創了先例,這是我們第一次專門因爲網絡安全問題而召回一種産品。”輝瑞公司發言人麥凱·吉姆森稱:“臨床情況下,還沒有已知的Hospira産品被黑客入侵的案例,而且公司已經與業內利益相關者合作,確保這種情況不會發生。”

  醫學研究界沒有因爲這份公告而歡慶勝利。Hospira表示,它將和供應商合作以糾正任何存在的問題,而且Symbiq型號的産品已經從市場下架。但是,FDA這份公告的作用僅此而已:它沒有強迫該公司修複已經在醫院和診所使用的這種儀器,它也沒有要求該公司證明類似的網絡安全漏洞不會影響其他型號的輸液泵。對于一些研究人員來說,這份公告所代表的勝利不具任何實質意義。

  FDA面臨棘手的挑戰:它所要擬定的規則既要有足夠的具體性,使其能真正發揮作用,又要有足夠的普遍性,比不斷突變的威脅更能持久,而且對規則修訂的速度要比該機構必須認證的産品的更新速度快得多。該機構于2014年10月敲定了一套指導方針,建議——而不是要求——醫療設備制造商在他們的設計和開發階段考慮網絡安全風險,還要求他們向該機構遞交文件資料,確認他們已經發現的任何潛在風險。但是,這個義務不僅僅落在制造商的肩上;施瓦茨強調,醫療保健提供商和監管機構也必須參與解決這個難題,她把這個挑戰稱爲“一項共擔的責任和一份共享的所有權”。

  說到分攤責任,麻煩就來了。在這套指導方針公布之後,美國醫院協會致信FDA稱,醫療保健提供商很樂于做好自己份內的事,但它敦促該機構采取更多措施“讓設備制造商爲網絡安全負起責任”。該協會稱,設備供應商必須更迅速地對弱點做出反應,在問題發生時及時進行修複。與此同時,設備供應商指出,犯罪分子如果不能首先突破醫院和診所的防火牆,就無法侵入他們的設備;那麽,在醫療保健提供商顯然有必要增強他們自己的網絡保護措施的情況下,爲什麽每個人談論的都是對設備的監管?FDA發布公告之後,Hospira在一份聲明中將醫院防火牆和網絡安全列爲“抵禦醫療設備篡改行爲的主要防線”,還表示它自己內部的保護只是“額外增加了一層安全系數”。還有人認爲,裏奧斯等安全研究人員正在迫使這個行業采取的安全措施可能會給患者護理帶來阻礙。

  在由FDA發起的論壇上,來自波士頓麻省總醫院的麻醉師引用了自動藥品櫃爲例來說明自己的觀點。在裏奧斯告訴政府這些密碼容易遭受攻擊之後,有些醫院開始實行指紋掃描作爲備用的安全措施。朱利安·戈德曼醫生說:“現在,手術室裏的人員通常會戴手套。”他指出,手忙腳亂地摘下手套,擺弄存放藥品的抽屜,還要確保被汙染的血液不沾在裸露的手上,再重新套上手套——這不但麻煩,而且有可能是一種危險的、浪費時間的行爲。戈德曼稱:“當你轉過身去想要夠著這些抽屜時,你聽到喀喀喀喀的聲音,它們鎖住了——就在你想要打開抽屜取一件重要藥品的時候。”

  裏奧斯稱,只要制造商或醫院真的行動起來,他不在乎他們到底如何修複這個問題。Hospira的事例讓他相信,要實現這個目標的唯一途徑就是繼續向制造商施壓,大聲喊出他們的名字,直到他們被迫關注這個問題。自動藥品櫃並不是他發現的唯一使用硬編碼密碼的設備;裏奧斯和研究夥伴特裏·麥科克爾一起,發現由大約40家不同公司制造的約300種不同設備存在這同一個弱點。當政府在發布關于這個問題的通告時,沒有公布這些供應商的名字,裏奧斯稱,這些供應商都沒有修複密碼問題。他說:“現狀告訴我,如果不對某家特定的供應商施壓,他們是不會采取任何行動的。”

  自FDA關于Hospira的公告于2015年7月發布以來,成箱的醫療設備被不斷運抵裏奧斯的家門口。沒有人付錢來讓他侵入自己的系統,也沒有人爲他報銷費用。他說:“我很幸運,我一直做得很成功,所以購買一台2000美元的輸液泵對我來說沒什麽大不了的,只要有時間我就會研究它。”

  然而,對于新晉的獨立研究人員來說,無法獲取設備可能成爲阻止他們跨入研究門檻的障礙。輸液泵相對來說還比較便宜,但核磁共振成像設備至少要花上幾萬美元。而且購買放射性設備還需要有特別許可證。爲了鼓勵更多人來研究這些設備,裏奧斯正在努力創建一個出租醫療設備的圖書館;他和研究夥伴已經開始遊說醫院讓他們使用舊設備,他們還希望通過衆籌方式購買新設備。

  和裏奧斯的努力相比,2015年圍繞Hospira公告所産生的喧囂也許更能吸引新的研究人員加入這個領域。密歇根大學阿基米德醫療設備安全研究中心的負責人、工程教授Kevin Fu十多年來一直在調查醫療設備安全問題,他發現2015年人們對這個領域的興趣比以往任何時候都要強烈。他說:“每天我都會聽到一個以往從未聽說過的名字,這個人以前從未做過和醫療設備有關的研究。然後出人意料地,他們發現了一些問題。”

  在一個陽光燦爛的秋日,裏奧斯從市中心一家星巴克匆匆購買了一杯冰咖啡。他要讓自己振作起來。也許在空閑的時候,他會抓起辦公室裏的某台設備,看看自己能找到裏面的什麽漏洞。這些設備當中的一台正在強有力地吸引著他,就像在請求被黑一樣。2014年出院之後,他在網上閑逛,發現了一台CareFusion輸液泵,和束縛了他兩周時間的那台設備一模一樣。現在,這台設備就立在他辦公室的檔案櫃邊上。

  “它是我的下一個目標。”裏奧斯說。

網頁評論共有0條評論

本周排行 本月排行