美国知名科技媒体《连线》长期撰稿人吉姆·曾特(Kim Zetter)日前对现代医院医疗设备领域所面临的风险展开了一次详尽的调查。在调查中,曾特发现目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,而这一风险甚至可能会造成致命的后果。然而,许多医疗机构还是出于这样或那样的原因没有对此给予足够的重视。
以下是文章主要内容:
当我的同事斯科特·埃文(Scott Erven)被获准使用“中西部健康医疗中心”(Midwest health care facilities)大部分医疗器械的时候,他就肯定自己能够从中找到许多安全漏洞。但出乎他意料之外的是,埃文没有想到自己竟然能够找到如此之多的设备漏洞。
在这个为期两年的研究中,埃文和他的团队发现主要被用于为病患按剂量注入诸如吗啡这些药物的“药物输液泵”(drug infusion pumps)可以被远程控制以改变预先设定的输入剂量;具备蓝牙连接功能的心脏电击器可能被远程控制,并给予病患不恰当的电击次数;黑客可以通过入侵医院网络的方式访问诸如X光成像这些隐私数据,或者重置用于存储血液等医疗用冰箱的恒温设定。
除此之外,埃文和他的团队还发现别有用心的人士甚至可以在紧急时刻使医疗设备突然蓝屏、重启甚至是完全删除预先设定好的参数。
“许多医院都没有意识到他们医疗设备所面临的巨大风险,尽管已经有研究证明了这一事实,但医疗机构仍然没有对此给予足够的重视。他们没有对此展开测试,同时也没有重视起自己所面临的风险。”埃文说道。
埃文目前是负责全美100家医疗机构设备管理Essentia Health公司的信息安全主管,该公司在2012年对旗下业务所涉及医疗机构进行了一次全面调查,并允许埃文公布了部分研究数据。在埃文的报告中,他并没有指出具体哪个品牌的医疗设备存在风险,只是表示“现有广泛的医疗设备都存在着一些通用的安全漏洞,其中包括过于简单的用户名和密码,或者极其容易被黑客入侵的用户界面”。
而且,这些所存在漏洞的医疗设备大多是经由医疗机构的内部网络进行连接,但这些所谓的内部网络同时又与互联网相通。因此,黑客完全可以通过钓鱼方式入侵医院员工电脑,进而接入这一内部网络进行破坏。或者,黑客可以通过将笔记本带到医院连接内部网络的方式进行接入。
“这些机构中只有很少一部分设备能够真正抵御攻击,一旦你接入了他们的网络你就可以扫描,并发现绝大多数已连接设备,这非常容易。”埃文补充道。
情况堪忧
据悉,埃文是在将自己的研究和其他安全顾问的研究结论加以整合后才真正意识到这一领域所存在的严重安全问题的。而且,这些问题所覆盖的领域包括了心脏去颤器、药物输液泵、硬件密码等诸多方面。
“我们得到了来自管理层的支持来展开这次针对医疗设备领域的调查,我们几乎测试了所有当前环境下可能使用到的设备。”埃文表示。
在此次调查中,该团队发现医疗机构所广泛使用的嵌入式web服务(允许不同设备进行数据共享的一种服务)存在着巨大漏洞,埃文认为:“许多嵌入式web服务允许设备间进行未经授权或者未加密的数据分享,因此我们可以人为改变它们所分享的医疗数据,而患者则可能因此得到错误的诊断或者处方药。医生们非常依赖于这些数据来进行判断,而我们却可以通过这些漏洞擅自修改数据。”
同时,这一团队还发现了存在于存储血液等医疗用冰箱设备中的漏洞。
“这些设备均拥有一个允许用户进行温度设定的网页用户界面,虽然这一设备会在温度超过预设范围的情况下向相关人员自动发送通知邮件提醒,但黑客完全可以通过破解密码的方式关闭这一功能,并擅自更改设定温度。”埃文说道。
而且,类似的入侵还可以被用于改变CT设备的照射强度等方面,并有可能对患者身体造成不必要的伤害。
后知后觉报告显示,越来越多的医疗机构最近才开始意识到自己所面临巨大安全风险。而且,现有医疗设备在设计过程中更多的只是注重于可靠性、性能等方面的考虑,安全因素并没有纳入设计者的主要考虑范围内。
“医疗设备提供商目前没有任何现成的安全规划,他们在将产品推出市场前也不需要进行类似的安全分析。”埃文表示。
去年春天,美国食品及药物管理局(Food and Drug Administration)和国土安全部(Department Of Homeland Security)在得知大约300种医疗设备存在密码过于简单的问题后曾向相关医疗机构发出过类似警告,并要求它们对此进行检查。但事实上医疗机构本身能做的并不多,他们更多的只能依赖于设备生产商来解决现有设备的问题,并在未来的医疗设备中内置更加安全的加密机制。
目前,美国食品及药物管理局已经出台了要求医疗设备制造厂商强制检查出厂设备的安全性指导意见,而医疗机构也有权利要求自己的供应商全力履行这一义务。然而,许多供应商认为这样的要求可能很难真正满足,因为这需要他们将自己的系统重新提交给食品及药物管理局进行申报。
来源:腾讯科技
为你推荐
资讯 福建省医保局印发单列门诊统筹支付医保药品目录(2024年版)
根据2024年6月发布的《福建省医保药品单列门诊统筹支付管理办法(试行)》,为了让参保患者无需住院、在门诊就医也能用上国家谈判药品、享受医保待遇,将适用于门诊治疗、使用周...
2025-04-20 13:34
资讯 首批中国消费名品名单,医药健康企业有哪些?
近日,工业和信息化部办公厅发布首批中国消费名品名单,分为中国消费名品名单和中国消费名品成长企业名单。首批中国消费名品名单共包括93个企业品牌和43个区域品牌。中国消费名...
2025-04-20 11:17
资讯 携手共绘“个性化近视手术”新蓝图:爱尔眼科与爱尔康启动100家医院全光塑技术战略合作
双方将以技术共享为核心,以人才培养为支撑,以科研协作为纽带,全力推进屈光手术标准化诊疗体系建设,加速前沿技术在临床领域的普及应用
文/ 屈慧莹 2025-04-19 23:35
资讯 CDE:简化港澳已上市传统口服中成药内地上市注册审批申报资料及技术要求
允许香港、澳门特区本地登记的生产企业持有,并经香港、澳门特区药品监督管理部门批准上市且在香港、澳门特区使用15年以上,生产过程符合药品生产质量管理规范(GMP)要求的传统...
2025-04-18 18:54
资讯 君德医药完成近亿元A轮融资,加速推进创新药械组合平台建设与产品上市
本轮融资主要用于首个减重口服器械的注册及生产销售,以及加速多个核心创新药械组合技术平台的产品管线研发进程。
2025-04-18 14:34
资讯 礼来首个小分子口服GLP-1RA药物orforglipron 3期临床研究成功
Orforglipron是首个成功完成3期临床研究的小分子GLP-1类药物,各剂量组平均A1C降幅为1 3%至1 6%
2025-04-18 14:12
资讯 WSOPRAS 2025落幕:中国眼整形闪耀国际舞台,李冬梅教授代表爱尔眼科获2027年大会主办权
4月10日至12日,世界眼整形重建外科学会(WSOPRAS)2025年国际峰会在土耳其伊斯坦布尔盛大举行。
文/李林 2025-04-18 09:27
资讯 华东医药2024年报出炉,营收超400亿,创新产品密集上市
报告显示,2024年公司合计实现营业收入419 06亿元,同比增长3 16%;实现归母净利润35 12亿元,同比增长23 72%,实现扣非归母净利润33 52亿元,同比增长22 48%。
2025-04-17 21:18
资讯 讯飞医疗与爱奥乐医疗联合首发AI血压计,开启高血压管理新时代
4月11日,在备受瞩目的乌镇健康大会上,讯飞医疗与爱奥乐医疗联合首发AI血压计,作为行业首款搭载医疗大模型的AI血压计,引领家用医疗器械从单一检测工具进化为全周期健康管理解...
2025-04-17 20:34
资讯 又一款常用药物被暂停采购资格
近日,上海阳光采购网发布通知,因未按要求调整药价,自2025年4月15日24时起暂停仁和堂药业有限公司盐酸地芬尼多片(25mg*12片 板 盒,铝塑)采购资格。
2025-04-17 15:29
资讯 超16亿元,达仁堂“清仓”中美史克
日前,达仁堂发布公告称,公司拟分别向赫力昂(中国)、Haleon CH SARL(简称“赫力昂(英国))转让所持有的中美天津史克制药有限公司(简称“中美史克”)4 6%股权份额、7...
2025-04-17 15:08
资讯 上海发布10款重点监控品种
根据上海此前发布的相关规则,医疗机构根据市场供需情况在阳光采购平台采购药品是,“红黄绿线”议价将实时提醒采购产品的价格是否存在问题,从而保证临床需求,并避免不合理调价。
2025-04-16 22:15
资讯 马斯克称今年将首次在人体植入“盲视”设备,让失明者重见光明
4月初,马斯克在多个场合宣布,公司计划于今年底首次在人体内植入名为“Blindsight(盲视)”的脑机接口设备,目标是让完全失明者重见光明。
2025-04-16 14:28
资讯 诺令生物完成数亿元人民币C轮融资,加速出海步伐和多元化产品布局
本轮融资将主要用于核心产品“便携式一氧化氮(NO)吸入治疗仪”的产能扩充、全球化推广,以及围绕NO缓释与发生技术的创新管线研发
2025-04-15 17:12
资讯 扬帆出海正当时:Cytiva 为中国生物药企绘制全球合规航海图
峰会聚焦法规解读、国际监管环境、中国生物药企业出海案例等关键议题,通过专家分享和深入解读,为中国生物药企提供全球化战略指导和合规支持;
2025-04-15 17:00