中文站

揭秘医疗安全防卫战:“我们仍在购买不安全的医疗设备”

原文:The Fight to Secure Vulnerable Medical Devices From Hackers

作者:Lindsay Gellman

约书亚·科尔曼是一名网络安全研究员,他称自己是一名“善良的黑客”。去年春天,他带着11岁的女儿在新罕布什尔州的一家医院进行血液治疗。在经过了几个小时的等待之后,他觉得那晚肯定会非常漫长,所以他回去了一趟,从家里带来了女儿的睡衣。回来后,他发现女儿的身上多了一个Hospira输液泵,在这种设备上有一个特别容易受到网络攻击的网络连接装置。


“美国食品和药物管理局早在差不多两年前就已经禁止医院使用这种设备了,因为这东西太危险了,而他们竟然在我孩子的身上使用”,科尔曼告诉我。

科尔曼前几天一直都在关注美国受勒索软件WannaCry的影响,WannaCry已经渗透到全球的医疗中心以及一些大学和电信公司之中,在这些机构的网络中疯狂传播。勒索软件是一种恶意软件,它们通常会将计算机硬盘上的数据进行加密,然后,攻击者会要求受害者支付一笔赎金以换取对数据的解密。所以,科尔曼一直都认为这些机构对大规模的黑客攻击并没有提前做好准备,并且他们的安全标准往往会落后于联邦政府的建议。

事实证明,全国各地的医院、诊所和医生办公室里的许多医疗设备早在几年甚至几十年前就应该被淘汰了。如果核磁共振机或输液泵上的网络连接设备仍然可以工作,那么医院一般不会更换它们。现在,科尔曼除了是一名好父亲之外,还是大西洋理事会智囊团的网络安全创新研究员,以及著名的”白帽子”志愿者组织“I is the Cavalry”的联合创始人。网络安全专业人士表示,老的设备往往会存在一些极易被黑客利用的软件漏洞, 而且这些漏洞都很难彻底解决。

“现在最大的问题是,医院并不会购买新的设备,而且这些充满着安全隐患的设备会一直使用下去,直到设备坏了,”科尔曼说。

科尔曼希望这些老旧的不安全的设备能被医院淘汰掉。令人担忧的是,除了在WannaCry传播期间被冻结的系统或被劫持的医疗记录之外,黑客还可以主动操纵医疗设备来伤害病人,例如,通过输液泵来控制药物的致命剂量。虽然新的设备不是百分之一百安全,但它们通常更加安全。因此,科尔曼和其他一些人正在敦促卫生保健服务提供者淘汰旧的或“遗留下来的”设备,而用新型号来代替。

为了推动卫生保健服务提供者行动起来,他提出了一个类似于“旧车换现金计划”的想法。“旧车换现金计划”是2009年的联邦汽车退税计划,该计划的目的是淘汰耗油量大的汽车。该计划被称为汽车折价补贴制度,人们用燃油效率低的车辆换取现金,然后用来购买更新更节能的车辆。

不过,几个月之后,该计划的预算就用完了。同样,根据科尔曼的想法,卫生保健服务提供者将获得旧设备的补偿款,然后用于购买新设备。科尔曼表示,虽然他不是经济学方面的专家,但他认为设备制造商可能愿意部分补贴该计划,因为这将有助于他们清理库存。

临床信息安全主管凯文·麦克唐纳说,像明尼苏达州罗切斯特的梅奥诊所这样的大医院是非常欢迎这种计划的。麦克唐纳把多年前建立的成千上万的网络设备称之为“恶意软件和勒索软件的温床”。旧设备的漏洞可能包括密码无法更改、运行在过时的第三方软件基础之上(例如Windows XP),以及不兼容软件补丁或者升级包。其他一些软件错误也会随着操作系统年代的久远而逐渐积累起来。

目前的“医疗设备现金折价计划”正是科尔曼之前所设想的方案。这是卫生和公共服务部于2016召开的医疗保健行业网络安全工作组提出的众多解决方案之一。报告中指出:“政府和行业应该制定激励措施(像旧车换现金这样的激励计划),逐步淘汰遗留和不安全的医疗卫生技术”,并推动执行“更好的采购方案”。 

食品药物管理局设备和放射健康中心的科学和战略合作伙伴关系主任苏珊娜·施瓦兹博士告诉我,该机构近年来一直致力于将像科尔曼这样的白帽子黑客引入到更多的传统领域之中,比如设备供应商,并采纳他们的建议。

“安全研究人员发挥着非常突出的作用,主要是因为他们从技术角度引入了非常专业的知识。坦率地说,这种专业知识在整个医疗卫生界和整个医疗设备行业中并不存在。“ 她说。

施瓦茨说,白帽子黑客是在2013年开始接触她的,因为他们在设备软件中发现了一些问题。第二年,研究员比利里·奥斯警告美国国土安全部,他发现了某些型号的Hospira输液泵可以进行数字化操作。他的警告后来传到食品药物管理局那里,后者在2015年发布了禁止医院使用该类型输液泵的公告。然而,正如科尔曼所发现的那样,这些设备仍然在许多临床应用中使用。

科尔曼认为,食品药物管理局的公告反映了该机构围绕着网络威胁的思路正在转变。他说:“在过去的几年里,必须要有人死亡才能让食品药物管理局采取行动。“ “我们不得不等待某个人死掉。”他补充道。科尔曼表示,他和其他人都认为,网络威胁与其他的威胁不太一样,针对网络威胁我们需要提前采取预防措施。他说,机构已经重点关注那些已经被确认但尚未被攻击的软件漏洞。

对于旧车换现金计划这个提议,施瓦茨称之是一个“值得进一步探索的有趣想法”,并表示“需要结合经济分析进行更深入的研究”。她在一封电子邮件中写道,这可能属于医疗保健和公共卫生部门协调委员会(HSCC)的职责范围,该委员会是一个将公共和私营团体聚集在一起的独立机构。 HSCC网络安全执行总监格雷格·加西亚表示,这个想法已成为一些讨论的主题,但尚未作为一个正式的建议提出来。

施瓦茨说,快速实施的是该任务的第二个建议,即食品药物管理局最终要求设备制造商提供一份“软件清单”。科尔曼将该概念类比为一个设备包含的所有软件程序的列表。如果大规模的网络攻击是针对一个或多个程序进行的,那么至少医院会意识到他们的设备可能会受到损害,从而可以采取一些措施来降低损害。在2018年4月的医疗器械安全行动计划中,食品药物管理局表示,他们正在考虑寻求其他权威机构,来要求将该清单作为设备制造商上市前提交给食品药物管理局审查的材料的一部分。

科尔曼说,他对目前的进展感到鼓舞,特别是在近些年来机构医疗设备的网络安全风险还没有得到太多主流的关注的情况下。在WannaCry攻击发生之前,关于医学网络安全的大多数话题都与个人、家庭设备有关,例如与互联网连接的心脏起搏器或胰岛素泵,其风险已在主流媒体中描述得很详细。例如,在2011年的迈阿密网络安全会议上,已故黑客巴纳比杰克演示了一个无线胰岛素泵如何被操纵来提供致命的剂量。 2012年,电视节目Homeland描述了对无线心脏起搏器的攻击。前副总统迪克切尼看了这一集电视节目,并关掉了自己心脏起搏器上的无线互联网连接。

与此同时,美国食品和药物管理局去年曾经公布有近50万个能连接互联网的心脏起搏器被召回,因为这些设备很容易受到潜在的网络攻击。但设备制造商Abbott(前身为St. Jude Medical)很快就提供了一个固件更新补丁程序,该补丁可以堵住可能会被黑客利用的漏洞。所有患者都要下载这个补丁。

科尔曼不会忽视这些与个人产品相关的网络安全风险。但是他特别关注的是机构所拥有的设备,它们使用非常广泛,而且常常因为太老而无法修补。此外,设备从设计到进入市场通常需要六到七年的时间。即使医院用最新的设备替换了所有的老设备,那这也肯定无法从容应对当前的网络安全问题。

“现在,基于Windows XP的设备仍然能通过食品和药物管理局的批准。”科尔曼说,“它超级、超级老,微软已经不再维护了。然而,你却可以将这种全新的设备推向市场,并持续推广15年。”

梅奥诊所的麦克唐纳同意这些观点,他补充说道,目前在用的大部分设备都没有达到理想中的安全标准,因此必须要在全行业范围内进行推动。 “我们仍在购买不安全的医疗设备”,他说。