近年來(lái)，全球基因測(cè)序市場(chǎng)以驚人的速度增長(zhǎng)。據(jù)研究數(shù)據(jù)顯示，隨著醫(yī)療技術(shù)的進(jìn)步和個(gè)性化醫(yī)療需求的提升，基因測(cè)序技術(shù)在癌癥研究、遺傳病診斷以及藥物研發(fā)領(lǐng)域的應(yīng)用日益廣泛。此外，“祖源分析”等消費(fèi)型基因測(cè)序服務(wù)也呈現(xiàn)爆發(fā)式增長(zhǎng)。然而，基因測(cè)序設(shè)備背后的技術(shù)安全性問(wèn)題卻鮮有人關(guān)注。

近日，全球領(lǐng)先的固件安全公司Eclypsium指出，全球市場(chǎng)排名第一的Illumina iSeq 100基因測(cè)序儀存在嚴(yán)重的固件安全隱患，這一發(fā)現(xiàn)為整個(gè)醫(yī)療設(shè)備行業(yè)敲響了警鐘。

行業(yè)領(lǐng)先設(shè)備，卻存在核心安全漏洞

Illumina iSeq 100是全球基因測(cè)序領(lǐng)域的標(biāo)桿性設(shè)備，廣泛應(yīng)用于23andMe等主流基因檢測(cè)實(shí)驗(yàn)室。然而，Eclypsium的研究發(fā)現(xiàn)，這款設(shè)備缺乏對(duì)Windows安全啟動(dòng)（Secure Boot）的支持，存在固件攻擊的潛在風(fēng)險(xiǎn)。安全啟動(dòng)是2012年起被廣泛應(yīng)用的Windows系統(tǒng)安全機(jī)制，旨在通過(guò)公鑰加密防止未經(jīng)授權(quán)的代碼加載，保護(hù)設(shè)備啟動(dòng)過(guò)程的安全。

在常規(guī)操作模式下，iSeq 100使用的是2018年版本的BIOS（B480AM12），該版本固件包含多年的安全漏洞，可能被攻擊者利用，實(shí)施惡意固件感染。這種感染在操作系統(tǒng)啟動(dòng)之前即可執(zhí)行，難以被檢測(cè)或移除。此外，研究還發(fā)現(xiàn)該設(shè)備的固件讀寫(xiě)保護(hù)功能未啟用，攻擊者可以隨意篡改設(shè)備的固件，從而在設(shè)備中植入惡意代碼。

醫(yī)療設(shè)備普遍存在安全問(wèn)題

Eclypsium進(jìn)一步警告，iSeq 100的問(wèn)題并非個(gè)例。這些設(shè)備通常采用由第三方供應(yīng)商提供的計(jì)算平臺(tái)，而這些平臺(tái)可能存在相似的安全隱患。例如，iSeq 100的主板由IEI Integration Corp制造，這家公司同時(shí)為多個(gè)行業(yè)提供工業(yè)計(jì)算產(chǎn)品和醫(yī)療設(shè)備ODM服務(wù)。這表明，類(lèi)似的漏洞可能廣泛存在于其他使用同類(lèi)主板的醫(yī)療和工業(yè)設(shè)備中。

Eclypsium的首席技術(shù)官Alex Bazhaniuk表示：“許多醫(yī)療設(shè)備基于通用服務(wù)器和老舊配置，這些設(shè)備往往未啟用安全啟動(dòng)功能或運(yùn)行過(guò)時(shí)的固件。在某些情況下，由于技術(shù)復(fù)雜性或成本問(wèn)題，更新固件幾乎是不可能的?！?/p>

醫(yī)療設(shè)備越昂貴，安全問(wèn)題往往就越嚴(yán)重，因?yàn)榘嘿F的設(shè)備往往生命周期很長(zhǎng)，在高科技制造或醫(yī)療研究機(jī)構(gòu)里，一臺(tái)價(jià)值數(shù)百萬(wàn)美元的設(shè)備可能運(yùn)行著Windows XP SP1這樣的“過(guò)期系統(tǒng)”。

此外，雖然這些昂貴的醫(yī)療設(shè)備通常運(yùn)行在高度隔離的網(wǎng)絡(luò)中，但并非不會(huì)暴露在互聯(lián)網(wǎng)上，因?yàn)殡S著醫(yī)療數(shù)字化的深入，越來(lái)越多的醫(yī)療設(shè)備會(huì)連接到醫(yī)院的局域網(wǎng)或云服務(wù)中以便快速傳輸數(shù)據(jù)，這可能帶來(lái)額外的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。雖然隔離網(wǎng)絡(luò)或虛擬局域網(wǎng)（VLAN）可以降低部分風(fēng)險(xiǎn)，但一旦防火墻被攻破，后果將不堪設(shè)想。

固件攻擊的潛在威脅

固件攻擊并非新鮮事物。早在2007年，ICLord BIOS工具就首次演示了通過(guò)固件實(shí)施攻擊的可能性。2011年，首個(gè)被實(shí)際使用的BIOS Rootkit——Mebromi被發(fā)現(xiàn)。此后，LoJax和MosaicRegressor等固件植入攻擊相繼浮現(xiàn)，展現(xiàn)出攻擊者利用固件漏洞的能力。

對(duì)于基因測(cè)序儀這樣的設(shè)備來(lái)說(shuō)，這種攻擊的潛在影響更為嚴(yán)重。一旦固件感染得逞，攻擊者不僅可以破壞設(shè)備，還可能通過(guò)篡改基因測(cè)序數(shù)據(jù)干擾醫(yī)學(xué)研究和診斷。例如，研究顯示，惡意軟件可以使測(cè)序儀報(bào)告錯(cuò)誤的親緣關(guān)系數(shù)據(jù)，從而影響基因數(shù)據(jù)庫(kù)的可靠性。

醫(yī)療行業(yè)的安全瓶頸：重新認(rèn)證需要花費(fèi)巨資

醫(yī)療設(shè)備的安全性問(wèn)題并非技術(shù)無(wú)法解決，而是受到制度與認(rèn)證流程的掣肘。醫(yī)療設(shè)備的認(rèn)證周期極為漫長(zhǎng)且成本高昂，一旦硬件或軟件發(fā)生重大改變，可能需要重新認(rèn)證，這將耗費(fèi)大量時(shí)間與資金。例如，從Windows 8升級(jí)到Windows 11可能需要數(shù)百萬(wàn)美元的認(rèn)證成本，甚至到新系統(tǒng)發(fā)布時(shí)設(shè)備仍未能通過(guò)認(rèn)證。

隨著基因測(cè)序市場(chǎng)的快速增長(zhǎng)，設(shè)備安全問(wèn)題愈發(fā)重要。iSeq 100暴露的安全漏洞只是冰山一角。Eclypsium的研究再次凸顯了醫(yī)療設(shè)備供應(yīng)鏈安全的重要性。醫(yī)療設(shè)備制造商專(zhuān)注于其核心技術(shù)，往往忽視計(jì)算基礎(chǔ)設(shè)施的潛在風(fēng)險(xiǎn)，高昂的認(rèn)證費(fèi)用進(jìn)一步固化了這種風(fēng)險(xiǎn)。早期供應(yīng)鏈中的安全漏洞，可能擴(kuò)散至整個(gè)行業(yè)的多種設(shè)備和供應(yīng)商。

面對(duì)這些挑戰(zhàn)，業(yè)內(nèi)專(zhuān)家呼吁加強(qiáng)對(duì)醫(yī)療設(shè)備供應(yīng)鏈的監(jiān)管，推動(dòng)更高標(biāo)準(zhǔn)的安全要求。例如，將安全啟動(dòng)功能作為醫(yī)療設(shè)備的強(qiáng)制標(biāo)準(zhǔn)，定期對(duì)老舊設(shè)備進(jìn)行更新和審查，減少潛在的攻擊面。