信息來源:安全客
現如今���,暗網市場中導出都充斥著針對醫(yī)療設備的惡意攻擊服務,其中包括針對醫(yī)療設備的勒索軟件�、帶有惡意代碼跟后門的“醫(yī)療”應用程序,以及各種針對醫(yī)療行業(yè)的欺詐攻擊服務等等��。毫無疑問�����,網絡犯罪分子正在嘗試突破醫(yī)療行業(yè)的安全界限���。
網絡犯罪分子們正在嘗試尋找新的方式來利用醫(yī)療領域中的安全缺陷����,并從中謀取巨額非法收益����。為了實現這個目標,網絡犯罪分子們會嘗試誘使絕望的病人下載健康信息應用程序���,用惡意軟件感染他們的設備����,用勒索軟件攻擊醫(yī)院的基礎設施,有的甚至還會在非法的網絡市場中向病人出售欺詐性的保險和違禁藥品�����。
安全研究人員在本周舉行的RSA 2020大會上表示�,醫(yī)療保健行業(yè)是網絡罪犯利潤極其豐厚的市場。安全專家表示��,醫(yī)療行業(yè)之所以會成為網絡犯罪分子們的香餑餑��,不僅因為醫(yī)療行業(yè)存儲了大量病患的個人身份識別信息(PII)��,而且很多的醫(yī)療設備以及醫(yī)院基礎設施都缺乏基本的安全防護��。而且從病人的角度來看�����,整個醫(yī)療行業(yè)充滿了很多在積極尋求醫(yī)療救助時感到無比脆弱和絕望的人�,這一點會讓他們很容易就成為了網絡犯罪分子們的詐騙獵物�����。
Fortinet的高級安全研究員Aamir Lakhani在本周二的RSA大會上表示,醫(yī)學專家和患者需要充分意識到最新出現的那些安全風險類型����。Aamir Lakhani說到:“網絡犯罪分子根本不會在乎你是否真的有醫(yī)療相關方面的問題,他們只想賺錢���,并且是從你你身上賺錢���,他們會把你作為獵物和攻擊目標。而且�����,我們也看到了越來越多的針對醫(yī)療設備以及醫(yī)療相關的物聯網嵌入設備的新威脅和新技術����。”
目前的醫(yī)療環(huán)境已經被2019年發(fā)生過的幾次大型數據泄露事件所破壞得體無完膚了��。其中最為嚴重的一次就是美國醫(yī)療收集機構(AMCA)的那些數據泄露事件了�����,當時總共有2500萬名患者受到了事件的影響,而其他引人注目的數據泄露事件受害者還包括醫(yī)療保險公司Dominion National(296萬患者)和UW Medicine(97萬患者)��。
這些發(fā)生數據泄露的數據庫中包含了病患的醫(yī)療信息����、醫(yī)療保險數據、信用卡號碼和手機號碼等個人身份識別信息�����,而這些泄露出去的數據隨后便出現在了暗網市場中隨時待售���。實際上�,安全研究人員還專門跟其中一個數據庫背后的賣家取得了聯系����,而且賣家也跟他們展示了真實的泄露數據以作證明。
當然了�����,相比數據泄露來說���,更加危險的應該屬于勒索軟件攻擊了����。這種類型的攻擊將導致醫(yī)院和醫(yī)療網絡的運營中斷�,包括DCH醫(yī)療系統(tǒng)和Hackensack醫(yī)療健康服務,而這兩者都曾向網絡罪犯支付過贖金����。
Aamir Lakhani認為:“來自這些泄露數據庫的病患個人身份識別信息(PII)非常有價值,這些信息包括用戶的姓名��、家庭住址��、信用卡信息和手機賬戶信息等等�,這些都是網絡犯罪分子嚴重的香餑餑?��!?
醫(yī)療設備中的安全漏洞
但除了數據泄露之外�,網絡犯罪分子還將目光投向了醫(yī)療領域的其他攻擊面上�����。其中一些是由于設備本身的漏洞造成的����,包括麻醉機和緊急反應器通信系統(tǒng)等潛在的關鍵設備���。
比如說,Lakhani還專門指出了安全研究專家在Fujifilm FCR Capsula X/Carbon X設備中發(fā)現的一個關鍵安全漏洞(CVE-2019-10950)���,而這種設備主要用于X射線等診斷數據的成像顯示���。這個嚴重的安全漏洞將允許遠程攻擊者通過發(fā)送精心構建的惡意請求來繞過目標設備的安全限制,該漏洞是由不安全的Telnet服務中不正確的訪問控制所造成的����。這個漏洞將允許攻擊者訪問目標設備的底層操作系統(tǒng),并允許攻擊者修改X光的檢查和診斷結果���,并最終導致正在查看X光檢查結果的醫(yī)生對患者的健康問題作出錯誤的診斷��。
Lakhani表示�����,他們還在某款智能家庭血糖監(jiān)測儀中發(fā)現了一個安全漏洞�,這種監(jiān)測儀可以幫助糖尿病患者測量自己的血糖水平�����。安全研究人員在對這款智能家庭血糖監(jiān)測儀進行了仔細分析研究之后��,發(fā)現這款設備與智能手機應用程序之間的通信是通過NFC實現的���,但這種通信方式沒有實現任何的身份認證機制��,這也就意味著任何人都可以與目標設備進行配對���,并查看設備與智能手機之間傳輸的數據,其中包括佩戴監(jiān)測儀的事件��、目標用戶的血糖水平等等���。不過研究人員目前已經將這個漏洞上報給了設備制造廠商��,廣大用戶無需過多擔心�����。
醫(yī)療設備中存在安全漏洞并非什么新鮮事了��,Medtronic的胰島素泵和除顫器之前就曾被曝出過存在嚴重的安全漏洞�����。安全研究人員也表示���,隨著物聯網技術的發(fā)展�,越來越多的設備會通過網絡連接在一起�����,這種類型的安全威脅只會繼續(xù)升級�。
滿足患者需求
除了數據泄露、網絡攻擊和勒索軟件之外�,網絡犯罪分子還會利用網絡詐騙和惡意應用程序等方式來滿足病患在醫(yī)療援助方面的需求。比如說�,很多網絡犯罪分子就會嘗試希望從治療糖尿病的高成本中獲利。雖然法律在藥品價格上面有嚴格的規(guī)定�����,但一瓶10毫升的胰島素在美國的話�,有保險的售價是20美元,沒有保險的售價則高達400美元����。不過�����,同樣數量的胰島素如果從非法網絡市場中的經銷商那里購買的話,價格只有2美元不到����。值得一提的是,從非法市場上購買藥品會給用戶帶來各種各樣的危險�����,比如危險的副作用����,以及假藥和錯藥等等。除此之外��,網絡犯罪分子還會嘗試從病人身上獲利�����,比如說向目標用戶提供保險欺詐服務�����,他們甚至還可以提供偽造的病例證明。
在研究過程中�,Lakhani還發(fā)現了很多聲稱可以幫助患有各種疾病患者的各種應用程序。比如說����,在病人在尋找治療糖尿病的方法時發(fā)現了一個應用程序,這個應用程序聲稱可以為患者提供更多關于治療的信息��。但安裝后��,該應用程序會要求獲得手機短信����、GPS、聯系人信息等權限����。但實際上,經過進一步檢查�,我們就能發(fā)現該應用程序是在為目標用戶注冊付費服務,并且利用手機支付數百美元的訂閱服務費��。
另一個糖尿病應用程序(打著提供糖尿病醫(yī)學信息的幌子)正在獲取目標用戶的明文數據并將其傳輸到一臺位于亞洲地區(qū)的服務器上�;而另一個糖尿病應用程序(血糖測試應用程序)正在提供惡意廣告軟件并試圖訪問用戶的設備麥克風和GPS數據。
我們能做些什么�����?
展望未來,Lakhani表示�����,醫(yī)院���、醫(yī)療設備制造商和醫(yī)療系統(tǒng)需要在安全方面展開更加深度的合作,特別是現在醫(yī)院正在逐步部署和采用更多的物聯網設備�����,卻未能做好應對醫(yī)療連接設備所帶來的安全和隱私挑戰(zhàn)的準備���。
MITRE信息技術技術中心的信息技術和網絡安全集成專家Penny Chase也在RSA大會上表示����,醫(yī)療安全需要成為醫(yī)療機構��、醫(yī)療設備制造商���、操作設備的臨床醫(yī)生以及患者之間共同的責任���。具體而言���,從醫(yī)療器械的角度來看,可以包括解決醫(yī)療器械設計和開發(fā)過程中的安全問題�、明確制造商的責任以及促進“信息共享和風險評估的協作和協調方法”等步驟。如果這些問題不能得到有效解決�,安全問題可能危及醫(yī)療領域的機密性和完整性。
