医疗系统漏洞频发 严重威胁病人安全

近日，一款在美国被广泛应用于医疗机构的APP被爆存在“后门”，任何人只要拥有硬编码凭证就可以获取和修改病人(其中包括即将或正在手术的病人)的私密数据，严重影响病人安全。

医疗系统安全现状

近些年来，医疗行业为了寻求更高效的治疗以及更完善的医疗体系，开始越来越依赖于互联网。而这一措施也暴露出了一个非常严重的问题——大量在医院使用的电脑以及医疗设备正成为非常容易被黑客攻击的对象。

2015年的一份调查显示：

目前全球有50亿智能连接设备在使用，五年后这个数字将上升到250亿。其中很大一部分是医疗设备，如起搏器、药泵、移动医疗工作台、家庭监控和私人健身设备等。单美国就有超过1000万人在使用起搏器、胰岛素泵、人工耳蜗等医疗设备。

这些医疗设备中有一些像起搏器一样只能发送无线数据，另外一些既可以发送也可以接收信息。黑客可以通过控制这些设备窃取医疗数据，严重的还会给患者带来性命危险。

PIMS系统“后门”

近日，一起医疗系统漏洞曝光，传出问题的正是MEDHOST公司的围术期信息管理系统(PIMS)，该系统旨在帮助临床团队做好术前患者信息管理，但是却含有一个隐藏的用户名和密码，虽然该帐号密码并未对外公开，但一旦被有心人士取得，则形同“后门”漏洞，让近日将要进行或刚完成手术病人的相关资料，遭受被窜改的威胁。

该漏洞由美国卡内基美隆大学的CERT安全顾问团队发现，该团队主要负责发掘漏洞和解决安全问题。漏洞发现的第一时间，CERT团队便针对这款旧名VPIMS的系统发出安全通报，该公司并已经推出修补软体，医疗院所用户只要升级软体便可解决该问题。

App的使用者通常是医务人员和医生，他们可以得到很多有关患者的数据。在MEDHOST的官方网站上，该公司宣称：这款APP可以协助麻醉师“获取重危病患的实时信息，并确保病人病情和状态保持良好”，以及“获取病人医疗病史、体检报告等详细信息，并可以将具体数据随时提供给医疗机构的所有临床医生。”

拓展阅读：移动APP存重大安全隐患，用户数据未启用HTTPS加密

目前还无法得知这款可以为手术医师、麻醉师与护理师提供实时病人状态与病历资讯的系统，已经卖给了多少医疗机构?是否已经销售到了海外市场?不过，据说MEDHOST公司的客户有超过1000家医疗机构。

截至目前，Medhost公司的发言人并未对此事作出回应。

频发的医疗灾难

此前，美国医疗系统的网络已多次遭到黑客攻击。

2009年，美国卫生和人道服务部网站发生过信息泄露;

2011年，佐治亚州劳伦斯维尔的医疗中心Gwinnett Medical Center因为一种病毒使其电脑系统陷入瘫痪，对所有非急诊病人关闭3天;

2014年6月，蒙大拿州公共卫生部的服务器遭到黑客攻击，多达100万人受到影响;

2014年8月，美国第二大上市医院集团——Community Health遭到黑客攻击，被窃信息包括患者的姓名、地址、生日和社会安全号码等;

2016年2月，位于洛杉矶的好莱坞长老会医疗中心遭到黑客勒索软件攻击，支付1.7万美元后恢复;

2016年2月，两家德国医院——卢卡斯医院、Klinikum Arnsberg医院受到勒索软件攻击;

2016年5月，美国Merge Health care公司，一台关键医疗设备在心脏手术期间因为软件所运行的PC上安装的杀毒软件的定时扫描而崩溃。

结语

虽然，较于金融、军事以及各大公司网络，医疗行业网络的被黑客攻击的机率的确少得多，但是，一个明显的趋势：医疗行业已经逐渐成为所有系统中最脆弱的一个。

其中一个最重要的原因就是医疗行业对待网络攻击的懈怠态度。美国约翰霍普金斯大学信息安全协会的计算机科学家以及技术总监Avi Rubin表示：

“医疗行业系统是我见过漏洞最多的一个系统，如果金融行业在对待网络安全问题跟医疗行业的态度一样，那么估计没人有胆量把钱交给这些机构了。”

随着医疗设施遭受黑客攻击的威胁加剧，且攻击形式日趋多样性，比如针对性攻击、勒索软件攻击、DDoS攻击等，医疗设备厂商和医院技术团队应该重视网络安全防范，多关注一些医疗设备安全问题，避免成为黑客的攻击目标。

文章来源：FreeBuf

本文链接：http://www.wosign.com/News/medical-app-security.htm

推荐关注：信息安全解决方案 | APP SSL | HTTPS加密协议