关键词:
欢迎访问网易云社区,了解更多网易技术产品运营经验。
“知物由学”是网易云易盾打造的一个品牌栏目,词语出自汉·王充《论衡·实知》。人,能力有高下之分,学习才知道事物的道理,而后才有智慧,不去求问就不会知道。“知物由学”希望通过一篇篇技术干货、趋势解读、人物思考和沉淀给你带来收获的同时,也希望打开你的眼界,成就不一样的你。当然,如果你有不错的认知或分享,也欢迎通过邮件([email protected])投稿。
原文:The Fight to Secure Vulnerable Medical Devices From Hackers
作者:Lindsay Gellman
约书亚·科尔曼是一名网络安全研究员,他称自己是一名“善良的黑客”。去年春天,他带着11岁的女儿在新罕布什尔州的一家医院进行血液治疗。在经过了几个小时的等待之后,他觉得那晚肯定会非常漫长,所以他回去了一趟,从家里带来了女儿的睡衣。回来后,他发现女儿的身上多了一个Hospira输液泵,在这种设备上有一个特别容易受到网络攻击的网络连接装置。
“美国食品和药物管理局早在差不多两年前就已经禁止医院使用这种设备了,因为这东西太危险了,而他们竟然在我孩子的身上使用”,科尔曼告诉我。
科尔曼前几天一直都在关注美国受勒索软件WannaCry的影响,WannaCry已经渗透到全球的医疗中心以及一些大学和电信公司之中,在这些机构的网络中疯狂传播。勒索软件是一种恶意软件,它们通常会将计算机硬盘上的数据进行加密,然后,攻击者会要求受害者支付一笔赎金以换取对数据的解密。所以,科尔曼一直都认为这些机构对大规模的黑客攻击并没有提前做好准备,并且他们的安全标准往往会落后于联邦政府的建议。
事实证明,全国各地的医院、诊所和医生办公室里的许多医疗设备早在几年甚至几十年前就应该被淘汰了。如果核磁共振机或输液泵上的网络连接设备仍然可以工作,那么医院一般不会更换它们。现在,科尔曼除了是一名好父亲之外,还是大西洋理事会智囊团的网络安全创新研究员,以及著名的”白帽子”志愿者组织“I is the Cavalry”的联合创始人。网络安全专业人士表示,老的设备往往会存在一些极易被黑客利用的软件漏洞, 而且这些漏洞都很难彻底解决。
“现在最大的问题是,医院并不会购买新的设备,而且这些充满着安全隐患的设备会一直使用下去,直到设备坏了,”科尔曼说。
科尔曼希望这些老旧的不安全的设备能被医院淘汰掉。令人担忧的是,除了在WannaCry传播期间被冻结的系统或被劫持的医疗记录之外,黑客还可以主动操纵医疗设备来伤害病人,例如,通过输液泵来控制药物的致命剂量。虽然新的设备不是百分之一百安全,但它们通常更加安全。因此,科尔曼和其他一些人正在敦促卫生保健服务提供者淘汰旧的或“遗留下来的”设备,而用新型号来代替。
为了推动卫生保健服务提供者行动起来,他提出了一个类似于“旧车换现金计划”的想法。“旧车换现金计划”是2009年的联邦汽车退税计划,该计划的目的是淘汰耗油量大的汽车。该计划被称为汽车折价补贴制度,人们用燃油效率低的车辆换取现金,然后用来购买更新更节能的车辆。
不过,几个月之后,该计划的预算就用完了。同样,根据科尔曼的想法,卫生保健服务提供者将获得旧设备的补偿款,然后用于购买新设备。科尔曼表示,虽然他不是经济学方面的专家,但他认为设备制造商可能愿意部分补贴该计划,因为这将有助于他们清理库存。
临床信息安全主管凯文·麦克唐纳说,像明尼苏达州罗切斯特的梅奥诊所这样的大医院是非常欢迎这种计划的。麦克唐纳把多年前建立的成千上万的网络设备称之为“恶意软件和勒索软件的温床”。旧设备的漏洞可能包括密码无法更改、运行在过时的第三方软件基础之上(例如Windows XP),以及不兼容软件补丁或者升级包。其他一些软件错误也会随着操作系统年代的久远而逐渐积累起来。
目前的“医疗设备现金折价计划”正是科尔曼之前所设想的方案。这是卫生和公共服务部于2016召开的医疗保健行业网络安全工作组提出的众多解决方案之一。报告中指出:“政府和行业应该制定激励措施(像旧车换现金这样的激励计划),逐步淘汰遗留和不安全的医疗卫生技术”,并推动执行“更好的采购方案”。
食品药物管理局设备和放射健康中心的科学和战略合作伙伴关系主任苏珊娜·施瓦兹博士告诉我,该机构近年来一直致力于将像科尔曼这样的白帽子黑客引入到更多的传统领域之中,比如设备供应商,并采纳他们的建议。
“安全研究人员发挥着非常突出的作用,主要是因为他们从技术角度引入了非常专业的知识。坦率地说,这种专业知识在整个医疗卫生界和整个医疗设备行业中并不存在。“ 她说。
施瓦茨说,白帽子黑客是在2013年开始接触她的,因为他们在设备软件中发现了一些问题。第二年,研究员比利里·奥斯警告美国国土安全部,他发现了某些型号的Hospira输液泵可以进行数字化操作。他的警告后来传到食品药物管理局那里,后者在2015年发布了禁止医院使用该类型输液泵的公告。然而,正如科尔曼所发现的那样,这些设备仍然在许多临床应用中使用。
科尔曼认为,食品药物管理局的公告反映了该机构围绕着网络威胁的思路正在转变。他说:“在过去的几年里,必须要有人死亡才能让食品药物管理局采取行动。“ “我们不得不等待某个人死掉。”他补充道。科尔曼表示,他和其他人都认为,网络威胁与其他的威胁不太一样,针对网络威胁我们需要提前采取预防措施。他说,机构已经重点关注那些已经被确认但尚未被攻击的软件漏洞。
对于旧车换现金计划这个提议,施瓦茨称之是一个“值得进一步探索的有趣想法”,并表示“需要结合经济分析进行更深入的研究”。她在一封电子邮件中写道,这可能属于医疗保健和公共卫生部门协调委员会(HSCC)的职责范围,该委员会是一个将公共和私营团体聚集在一起的独立机构。 HSCC网络安全执行总监格雷格·加西亚表示,这个想法已成为一些讨论的主题,但尚未作为一个正式的建议提出来。
施瓦茨说,快速实施的是该任务的第二个建议,即食品药物管理局最终要求设备制造商提供一份“软件清单”。科尔曼将该概念类比为一个设备包含的所有软件程序的列表。如果大规模的网络攻击是针对一个或多个程序进行的,那么至少医院会意识到他们的设备可能会受到损害,从而可以采取一些措施来降低损害。在2018年4月的医疗器械安全行动计划中,食品药物管理局表示,他们正在考虑寻求其他权威机构,来要求将该清单作为设备制造商上市前提交给食品药物管理局审查的材料的一部分。
科尔曼说,他对目前的进展感到鼓舞,特别是在近些年来机构医疗设备的网络安全风险还没有得到太多主流的关注的情况下。在WannaCry攻击发生之前,关于医学网络安全的大多数话题都与个人、家庭设备有关,例如与互联网连接的心脏起搏器或胰岛素泵,其风险已在主流媒体中描述得很详细。例如,在2011年的迈阿密网络安全会议上,已故黑客巴纳比杰克演示了一个无线胰岛素泵如何被操纵来提供致命的剂量。 2012年,电视节目Homeland描述了对无线心脏起搏器的攻击。前副总统迪克切尼看了这一集电视节目,并关掉了自己心脏起搏器上的无线互联网连接。
与此同时,美国食品和药物管理局去年曾经公布有近50万个能连接互联网的心脏起搏器被召回,因为这些设备很容易受到潜在的网络攻击。但设备制造商Abbott(前身为St. Jude Medical)很快就提供了一个固件更新补丁程序,该补丁可以堵住可能会被黑客利用的漏洞。所有患者都要下载这个补丁。
科尔曼不会忽视这些与个人产品相关的网络安全风险。但是他特别关注的是机构所拥有的设备,它们使用非常广泛,而且常常因为太老而无法修补。此外,设备从设计到进入市场通常需要六到七年的时间。即使医院用最新的设备替换了所有的老设备,那这也肯定无法从容应对当前的网络安全问题。
“现在,基于Windows XP的设备仍然能通过食品和药物管理局的批准。”科尔曼说,“它超级、超级老,微软已经不再维护了。然而,你却可以将这种全新的设备推向市场,并持续推广15年。”
梅奥诊所的麦克唐纳同意这些观点,他补充说道,目前在用的大部分设备都没有达到理想中的安全标准,因此必须要在全行业范围内进行推动。 “我们仍在购买不安全的医疗设备”,他说。
相关文章:
【推荐】 ThreeJs3D全景项目开发总结
ifps挖矿要做好安全防卫
...的问题时,星际魔方IPFS矿机已经先人一步考虑到了矿机安全的问题。在保证了矿机的质量和挖矿效益后,矿工们该如何保障自己挖矿所得收益和矿机的安全呢?星际魔方矿机给你一个完美的解答。1.矿机安全矿机本身的安全性问... 查看详情
网络安全从业人员必备哪些证书?揭秘“安全内幕”!
...员对于个人职业发展、能力提升有诸多关注。3分钟为你揭秘“信息安全内幕”!网络安全是个“多金而有前途”的行业根据中国信息安全从业人员现状调查显示,我国信息安全从业人员平均年薪为15.3万元。这个数字不但... 查看详情
数字医疗时代的数据安全如何保障?
...,随着各种新业务、新应用的不断出现,也使得医疗数据在全生命周期各阶段面临着越来越多的安全挑战。本文概述了我国医疗行业数据安全现状,对医疗机构如何保障数据安全问题提供参考建议。01医疗行业数据安... 查看详情
医疗行业数据安全最佳实践案例(脱敏版)
背景随着医疗行业数字信息化的大力发展,为医患提供便捷的医疗服务,进而会产生大量的医疗数据。特别是借助互联网的应用、提供的小程序,导致大量医疗数据的流转,如电子挂号、电子病历、电子诊断信息的传输,加大... 查看详情
深入揭秘https安全问题&连接建立全过程
...知识,HTTPS一直戴着神秘的面纱。接下来让我们一起深入揭秘HTTPS的安全问题和建立的全过程吧!本文将分两个专题去理解HTTPS。专题一,主要介绍HTTPS建立安全链接的原理,包括非对称加密、对称加密 查看详情
医疗设备物联网安全报告
过时的物联网医疗设备构成重大安全威胁根据Cynerio的研究,勒索软件已成为医疗保健和医院设备中最糟糕的噩梦,这些设备运行在过时的Windows版本或Linux开源软件上,很容易成为攻击目标。根据Cynerio对美国300多家医... 查看详情
孪生蜘蛛
...G城保卫战中,超级孪生蜘蛛Phantom001和Phantom002作为第三层防卫被派往守护内城南端一带极为隐秘的通道。根据防护中心的消息,敌方已经有一只特种飞蛾避过第二层防卫,直逼内城南端通道入口。但优秀的蜘蛛已经在每个通道内... 查看详情
《梦幻模拟战》漏洞挖掘全过程
...,在游戏行业发展的历程中,不乏一些经典热门的游戏在安全事故中失去江湖地位。不重视游戏安全的结果,不仅让制作人员的心血毁于一旦,更痛失万千玩家的热爱。在如今手游盛行的时代,如何正视手游安全,最大化的减少... 查看详情
1020孪生蜘蛛
...G城保卫战中,超级孪生蜘蛛Phantom001和Phantom002作为第三层防卫被派往守护内城南端一带极为隐秘的通道。根据防护中心的消息,敌方已经有一只特种飞蛾避过第二层防卫,直逼内城南端通道入口。但优秀的蜘蛛已经在每个通道内... 查看详情
医疗物联网(iomt)安全面临挑战
作者:twiota 来源:twiota在物联网应用领域,医疗物联网是近来关注的焦点。根据Frost&Sullivan研究机构指出,IoMT市场规模在2016年达到225亿美元,预估到2021年将成长到720亿美元,未来5年的年复合成长率将高达26.5%。 ... 查看详情
idapro代码破解揭秘的编辑推荐
参考技术A《IDAPro代码破解揭秘》:如果你想掌握IDAPro,如果你想掌握逆向工程编码的科学和艺术,如果你想进行更高效的安全研发和软件调试,《IDAPro代码破解揭秘》正适合你!《IDAPro代码破解揭秘》是安全领域内的权威著作,... 查看详情
建一座安全的“天空城”——揭秘腾讯wetest如何与祖龙共同挖掘手游安全漏洞
作者:腾讯WeTest手游安全测试团队商业转载请联系腾讯WeTest获得授权,非商业转载请注明出处。 WeTest导读《九州天空城3D》上线至今,长期稳定在APPStore畅销排行的前五,本文将介绍腾讯WeTest手游安全团队在游戏上线前为《... 查看详情
揭秘vxworks——直击物联网安全罩门
转载:http://chuansong.me/n/1864339VxWorks是美国风河(WindRiver)公司于1983年设计开发的一种嵌入式实时操作系统(RTOS),是嵌入式开发环境的关键组成部分。良好的持续发展能力、高性能的内核以及友好的用户开发环境,在嵌入... 查看详情
网络安全现状:揭秘白帽黑客的真实收入
前言上次带大家了解了什么是黑客,黑客是干嘛的,今天就来看看黑客的收入和方向怎么样。一个黑客年薪是多少呢?外界普遍认为黑客是高收入群体,那么你想过黑客是怎么获得收入的吗?黑客分为白帽黑... 查看详情
codevs1020孪生蜘蛛
...G城保卫战中,超级孪生蜘蛛Phantom001和Phantom002作为第三层防卫被派往守护内城南端一带极为隐秘的通道。根据防护中心的消息,敌方已经有一只特种飞蛾避过第二层防卫,直逼内城南端通道入口。但优秀的蜘蛛已经在每个通道内... 查看详情
助力企业战疫提效保质,腾讯wetest远程办公工具包请查收!
...影响;Ø 市场需求变化,在线教育、远程办公、医疗、生鲜、政务等行业应用&小程序用户量访问激增,带来的服务器压力问题;Ø 政务、电商产品在疫情期间容易遭受二次打包,恶意广告等安全问题。为了全... 查看详情
助力企业战疫提效保质,腾讯wetest远程办公工具包请查收!
...受到影响;Ø市场需求变化,在线教育、远程办公、医疗、生鲜、政务等行业应用&小程序用户量访问激增,带来的服务器压力问题;Ø政务、电商产品在疫情期间容易遭受二次打包,恶意广告等安全问题。为了全方位... 查看详情
easymr安全架构揭秘:如何管理hadoop数据安全
2017年,美国信用评级机构Equifax遭受黑客攻击,导致1.4亿个人的敏感信息泄露;2020年,发生了SolarWinds公司的软件供应链遭受恶意代码攻击事件,涉及多个行业和国家;2022年,网信办依据《数据安全法》等法律法规,对滴滴公司... 查看详情