信息來(lái)源：安全客

現(xiàn)如今，暗網(wǎng)市場(chǎng)中導(dǎo)出都充斥著針對(duì)醫(yī)療設(shè)備的惡意攻擊服務(wù)，其中包括針對(duì)醫(yī)療設(shè)備的勒索軟件、帶有惡意代碼跟后門(mén)的“醫(yī)療”應(yīng)用程序，以及各種針對(duì)醫(yī)療行業(yè)的欺詐攻擊服務(wù)等等。毫無(wú)疑問(wèn)，網(wǎng)絡(luò)犯罪分子正在嘗試突破醫(yī)療行業(yè)的安全界限。

網(wǎng)絡(luò)犯罪分子們正在嘗試尋找新的方式來(lái)利用醫(yī)療領(lǐng)域中的安全缺陷，并從中謀取巨額非法收益。為了實(shí)現(xiàn)這個(gè)目標(biāo)，網(wǎng)絡(luò)犯罪分子們會(huì)嘗試誘使絕望的病人下載健康信息應(yīng)用程序，用惡意軟件感染他們的設(shè)備，用勒索軟件攻擊醫(yī)院的基礎(chǔ)設(shè)施，有的甚至還會(huì)在非法的網(wǎng)絡(luò)市場(chǎng)中向病人出售欺詐性的保險(xiǎn)和違禁藥品。

安全研究人員在本周舉行的RSA 2020大會(huì)上表示，醫(yī)療保健行業(yè)是網(wǎng)絡(luò)罪犯利潤(rùn)極其豐厚的市場(chǎng)。安全專(zhuān)家表示，醫(yī)療行業(yè)之所以會(huì)成為網(wǎng)絡(luò)犯罪分子們的香餑餑，不僅因?yàn)獒t(yī)療行業(yè)存儲(chǔ)了大量病患的個(gè)人身份識(shí)別信息（PII），而且很多的醫(yī)療設(shè)備以及醫(yī)院基礎(chǔ)設(shè)施都缺乏基本的安全防護(hù)。而且從病人的角度來(lái)看，整個(gè)醫(yī)療行業(yè)充滿了很多在積極尋求醫(yī)療救助時(shí)感到無(wú)比脆弱和絕望的人，這一點(diǎn)會(huì)讓他們很容易就成為了網(wǎng)絡(luò)犯罪分子們的詐騙獵物。

Fortinet的高級(jí)安全研究員Aamir Lakhani在本周二的RSA大會(huì)上表示，醫(yī)學(xué)專(zhuān)家和患者需要充分意識(shí)到最新出現(xiàn)的那些安全風(fēng)險(xiǎn)類(lèi)型。Aamir Lakhani說(shuō)到：“網(wǎng)絡(luò)犯罪分子根本不會(huì)在乎你是否真的有醫(yī)療相關(guān)方面的問(wèn)題，他們只想賺錢(qián)，并且是從你你身上賺錢(qián)，他們會(huì)把你作為獵物和攻擊目標(biāo)。而且，我們也看到了越來(lái)越多的針對(duì)醫(yī)療設(shè)備以及醫(yī)療相關(guān)的物聯(lián)網(wǎng)嵌入設(shè)備的新威脅和新技術(shù)。”

目前的醫(yī)療環(huán)境已經(jīng)被2019年發(fā)生過(guò)的幾次大型數(shù)據(jù)泄露事件所破壞得體無(wú)完膚了。其中最為嚴(yán)重的一次就是美國(guó)醫(yī)療收集機(jī)構(gòu)(AMCA)的那些數(shù)據(jù)泄露事件了，當(dāng)時(shí)總共有2500萬(wàn)名患者受到了事件的影響，而其他引人注目的數(shù)據(jù)泄露事件受害者還包括醫(yī)療保險(xiǎn)公司Dominion National（296萬(wàn)患者）和UW Medicine（97萬(wàn)患者）。

這些發(fā)生數(shù)據(jù)泄露的數(shù)據(jù)庫(kù)中包含了病患的醫(yī)療信息、醫(yī)療保險(xiǎn)數(shù)據(jù)、信用卡號(hào)碼和手機(jī)號(hào)碼等個(gè)人身份識(shí)別信息，而這些泄露出去的數(shù)據(jù)隨后便出現(xiàn)在了暗網(wǎng)市場(chǎng)中隨時(shí)待售。實(shí)際上，安全研究人員還專(zhuān)門(mén)跟其中一個(gè)數(shù)據(jù)庫(kù)背后的賣(mài)家取得了聯(lián)系，而且賣(mài)家也跟他們展示了真實(shí)的泄露數(shù)據(jù)以作證明。

當(dāng)然了，相比數(shù)據(jù)泄露來(lái)說(shuō)，更加危險(xiǎn)的應(yīng)該屬于勒索軟件攻擊了。這種類(lèi)型的攻擊將導(dǎo)致醫(yī)院和醫(yī)療網(wǎng)絡(luò)的運(yùn)營(yíng)中斷，包括DCH醫(yī)療系統(tǒng)和Hackensack醫(yī)療健康服務(wù)，而這兩者都曾向網(wǎng)絡(luò)罪犯支付過(guò)贖金。

Aamir Lakhani認(rèn)為：“來(lái)自這些泄露數(shù)據(jù)庫(kù)的病患個(gè)人身份識(shí)別信息（PII）非常有價(jià)值，這些信息包括用戶的姓名、家庭住址、信用卡信息和手機(jī)賬戶信息等等，這些都是網(wǎng)絡(luò)犯罪分子嚴(yán)重的香餑餑。”

醫(yī)療設(shè)備中的安全漏洞

但除了數(shù)據(jù)泄露之外，網(wǎng)絡(luò)犯罪分子還將目光投向了醫(yī)療領(lǐng)域的其他攻擊面上。其中一些是由于設(shè)備本身的漏洞造成的，包括麻醉機(jī)和緊急反應(yīng)器通信系統(tǒng)等潛在的關(guān)鍵設(shè)備。

比如說(shuō)，Lakhani還專(zhuān)門(mén)指出了安全研究專(zhuān)家在Fujifilm FCR Capsula X/Carbon X設(shè)備中發(fā)現(xiàn)的一個(gè)關(guān)鍵安全漏洞（CVE-2019-10950），而這種設(shè)備主要用于X射線等診斷數(shù)據(jù)的成像顯示。這個(gè)嚴(yán)重的安全漏洞將允許遠(yuǎn)程攻擊者通過(guò)發(fā)送精心構(gòu)建的惡意請(qǐng)求來(lái)繞過(guò)目標(biāo)設(shè)備的安全限制，該漏洞是由不安全的Telnet服務(wù)中不正確的訪問(wèn)控制所造成的。這個(gè)漏洞將允許攻擊者訪問(wèn)目標(biāo)設(shè)備的底層操作系統(tǒng)，并允許攻擊者修改X光的檢查和診斷結(jié)果，并最終導(dǎo)致正在查看X光檢查結(jié)果的醫(yī)生對(duì)患者的健康問(wèn)題作出錯(cuò)誤的診斷。

Lakhani表示，他們還在某款智能家庭血糖監(jiān)測(cè)儀中發(fā)現(xiàn)了一個(gè)安全漏洞，這種監(jiān)測(cè)儀可以幫助糖尿病患者測(cè)量自己的血糖水平。安全研究人員在對(duì)這款智能家庭血糖監(jiān)測(cè)儀進(jìn)行了仔細(xì)分析研究之后，發(fā)現(xiàn)這款設(shè)備與智能手機(jī)應(yīng)用程序之間的通信是通過(guò)NFC實(shí)現(xiàn)的，但這種通信方式?jīng)]有實(shí)現(xiàn)任何的身份認(rèn)證機(jī)制，這也就意味著任何人都可以與目標(biāo)設(shè)備進(jìn)行配對(duì)，并查看設(shè)備與智能手機(jī)之間傳輸?shù)臄?shù)據(jù)，其中包括佩戴監(jiān)測(cè)儀的事件、目標(biāo)用戶的血糖水平等等。不過(guò)研究人員目前已經(jīng)將這個(gè)漏洞上報(bào)給了設(shè)備制造廠商，廣大用戶無(wú)需過(guò)多擔(dān)心。

醫(yī)療設(shè)備中存在安全漏洞并非什么新鮮事了，Medtronic的胰島素泵和除顫器之前就曾被曝出過(guò)存在嚴(yán)重的安全漏洞。安全研究人員也表示，隨著物聯(lián)網(wǎng)技術(shù)的發(fā)展，越來(lái)越多的設(shè)備會(huì)通過(guò)網(wǎng)絡(luò)連接在一起，這種類(lèi)型的安全威脅只會(huì)繼續(xù)升級(jí)。

滿足患者需求

除了數(shù)據(jù)泄露、網(wǎng)絡(luò)攻擊和勒索軟件之外，網(wǎng)絡(luò)犯罪分子還會(huì)利用網(wǎng)絡(luò)詐騙和惡意應(yīng)用程序等方式來(lái)滿足病患在醫(yī)療援助方面的需求。比如說(shuō)，很多網(wǎng)絡(luò)犯罪分子就會(huì)嘗試希望從治療糖尿病的高成本中獲利。雖然法律在藥品價(jià)格上面有嚴(yán)格的規(guī)定，但一瓶10毫升的胰島素在美國(guó)的話，有保險(xiǎn)的售價(jià)是20美元，沒(méi)有保險(xiǎn)的售價(jià)則高達(dá)400美元。不過(guò)，同樣數(shù)量的胰島素如果從非法網(wǎng)絡(luò)市場(chǎng)中的經(jīng)銷(xiāo)商那里購(gòu)買(mǎi)的話，價(jià)格只有2美元不到。值得一提的是，從非法市場(chǎng)上購(gòu)買(mǎi)藥品會(huì)給用戶帶來(lái)各種各樣的危險(xiǎn)，比如危險(xiǎn)的副作用，以及假藥和錯(cuò)藥等等。除此之外，網(wǎng)絡(luò)犯罪分子還會(huì)嘗試從病人身上獲利，比如說(shuō)向目標(biāo)用戶提供保險(xiǎn)欺詐服務(wù)，他們甚至還可以提供偽造的病例證明。

在研究過(guò)程中，Lakhani還發(fā)現(xiàn)了很多聲稱(chēng)可以幫助患有各種疾病患者的各種應(yīng)用程序。比如說(shuō)，在病人在尋找治療糖尿病的方法時(shí)發(fā)現(xiàn)了一個(gè)應(yīng)用程序，這個(gè)應(yīng)用程序聲稱(chēng)可以為患者提供更多關(guān)于治療的信息。但安裝后，該應(yīng)用程序會(huì)要求獲得手機(jī)短信、GPS、聯(lián)系人信息等權(quán)限。但實(shí)際上，經(jīng)過(guò)進(jìn)一步檢查，我們就能發(fā)現(xiàn)該應(yīng)用程序是在為目標(biāo)用戶注冊(cè)付費(fèi)服務(wù)，并且利用手機(jī)支付數(shù)百美元的訂閱服務(wù)費(fèi)。

另一個(gè)糖尿病應(yīng)用程序（打著提供糖尿病醫(yī)學(xué)信息的幌子）正在獲取目標(biāo)用戶的明文數(shù)據(jù)并將其傳輸?shù)揭慌_(tái)位于亞洲地區(qū)的服務(wù)器上；而另一個(gè)糖尿病應(yīng)用程序（血糖測(cè)試應(yīng)用程序）正在提供惡意廣告軟件并試圖訪問(wèn)用戶的設(shè)備麥克風(fēng)和GPS數(shù)據(jù)。

我們能做些什么？

展望未來(lái)，Lakhani表示，醫(yī)院、醫(yī)療設(shè)備制造商和醫(yī)療系統(tǒng)需要在安全方面展開(kāi)更加深度的合作，特別是現(xiàn)在醫(yī)院正在逐步部署和采用更多的物聯(lián)網(wǎng)設(shè)備，卻未能做好應(yīng)對(duì)醫(yī)療連接設(shè)備所帶來(lái)的安全和隱私挑戰(zhàn)的準(zhǔn)備。

MITRE信息技術(shù)技術(shù)中心的信息技術(shù)和網(wǎng)絡(luò)安全集成專(zhuān)家Penny Chase也在RSA大會(huì)上表示，醫(yī)療安全需要成為醫(yī)療機(jī)構(gòu)、醫(yī)療設(shè)備制造商、操作設(shè)備的臨床醫(yī)生以及患者之間共同的責(zé)任。具體而言，從醫(yī)療器械的角度來(lái)看，可以包括解決醫(yī)療器械設(shè)計(jì)和開(kāi)發(fā)過(guò)程中的安全問(wèn)題、明確制造商的責(zé)任以及促進(jìn)“信息共享和風(fēng)險(xiǎn)評(píng)估的協(xié)作和協(xié)調(diào)方法”等步驟。如果這些問(wèn)題不能得到有效解決，安全問(wèn)題可能危及醫(yī)療領(lǐng)域的機(jī)密性和完整性。