大家可能還記得Anthem和CareFirst那兩次數(shù)據(jù)泄露事故，仔細(xì)算來今年醫(yī)療行業(yè)已經(jīng)經(jīng)歷了大量的類似事件，漏洞百出的醫(yī)療網(wǎng)絡(luò)廣受詬病。但是，卻尚沒有報道能指出，其實醫(yī)療設(shè)備上存在的安全隱患才是這些數(shù)據(jù)泄露事故的源頭。倘若不加以遏制，這類事件以后還可能繼續(xù)發(fā)生。

Trapx公司發(fā)現(xiàn)，其實大多數(shù)醫(yī)療組織的機器設(shè)備及網(wǎng)絡(luò)都存在漏洞，無法保證沒有MEDIJACK攻擊發(fā)生過。醫(yī)療系統(tǒng)的主干網(wǎng)絡(luò)被滲透，很可能是因為醫(yī)療設(shè)備老舊，或者系統(tǒng)沒打補丁。如血液分析儀和X光掃描儀等設(shè)備連上外網(wǎng)后，黑客會在設(shè)備種下后門。

Trapx的總經(jīng)理Carl Wright寫了一封郵件給SCMagazine：

“我們的研究人員發(fā)現(xiàn)，黑客通過設(shè)定多種攻擊模式，可以制造出專門針對特殊的醫(yī)療設(shè)備的攻擊手段。結(jié)合醫(yī)療診斷和補救的難度，以及設(shè)備里面儲存的高價值醫(yī)療數(shù)據(jù)來看，醫(yī)療設(shè)備是黑客們近乎完美的獵物。”

對設(shè)備供應(yīng)商和醫(yī)療組織的思考

TrapX剖析研究了他們發(fā)現(xiàn)的各種案例，他們發(fā)現(xiàn)大多數(shù)醫(yī)院其實都使用了強悍的防火墻和完美的安全解決方案來輔助IT部門工作。但諷刺的是，最重要的醫(yī)療設(shè)備的安全卻無人問津。

通常情況下，醫(yī)療設(shè)備一旦運行后，連續(xù)奮戰(zhàn)很多天都不會關(guān)閉。這種情況就導(dǎo)致即使是專業(yè)檢測人員，也不能全面檢查設(shè)備操作系統(tǒng)的安全。

“每一場因為外網(wǎng)攻擊導(dǎo)致設(shè)備遭受病毒感染的事件，在美國都是很嚴(yán)重的事故。這些事件會被醫(yī)療機構(gòu)歸類為HIPAA(健康保險攜帶和責(zé)任)的安全事故。鑒于當(dāng)今環(huán)境下，病人的數(shù)據(jù)很容易受到黑客的威脅，醫(yī)療設(shè)備制造商需要推廣他們遏制風(fēng)險的策略，以便阻止數(shù)據(jù)泄露的發(fā)生，這樣醫(yī)院才能更好更安全地為病人服務(wù)。”

Wright建議，這些受MEDIJACK風(fēng)險威脅的醫(yī)療組織，應(yīng)該設(shè)計出更好的安全策略。此外，專業(yè)安全人員必須盡力取得設(shè)備供應(yīng)商的支持，共同來抵御這類攻擊。每臺設(shè)備的生命周期也應(yīng)該做好標(biāo)準(zhǔn)化，供應(yīng)商自己也需要確認(rèn)是否要給設(shè)備使用數(shù)字簽名軟件，更換新設(shè)備的頻率也是個要引起重視的問題。