一、醫(yī)療器械存在巨大的網(wǎng)絡(luò)安全隱患

　　近年來，隨著精準醫(yī)療國家戰(zhàn)略的不斷推進，醫(yī)療器械從封閉、笨重走向開放、移動，醫(yī)療器械智能化和云化成為未來的發(fā)展方向。但是，隨著智能可穿戴設(shè)備和大數(shù)據(jù)醫(yī)療的高速發(fā)展，醫(yī)療器械所面臨的網(wǎng)絡(luò)安全威脅也在與日俱增。

　　醫(yī)療器械作為一個信息實體，包括醫(yī)療器械現(xiàn)場設(shè)備和醫(yī)療信息系統(tǒng)兩部分。醫(yī)療器械既包括胰島素泵等可穿戴醫(yī)療設(shè)備，也包括核磁共振儀等大型醫(yī)療器械。醫(yī)療信息系統(tǒng)既包括部署在醫(yī)院的醫(yī)療器械控制系統(tǒng)和醫(yī)療器械管理系統(tǒng)，也包括部署在云端的醫(yī)療器械數(shù)據(jù)采集與監(jiān)控系統(tǒng)。

　　由于醫(yī)療器械長期處于封閉簡單的應(yīng)用場景，因此產(chǎn)品在設(shè)計時強調(diào)設(shè)備的功能性及可用性，對安全性考慮不足，普遍存在安全漏洞且升級困難，通信協(xié)議缺少加密認證機制等安全隱患。黑客可以利用上述安全隱患對醫(yī)療器械進行攻擊，造成醫(yī)療數(shù)據(jù)泄露、醫(yī)療事故甚至醫(yī)院功能癱瘓等嚴重后果。

　　1.1  醫(yī)療數(shù)據(jù)泄露隱患突出

　　在全球范圍內(nèi)，醫(yī)療數(shù)據(jù)面臨的網(wǎng)絡(luò)安全威脅趨于嚴峻。因數(shù)據(jù)使用價值高、安全保障和風(fēng)險管理措施較落后等因素，使醫(yī)療數(shù)據(jù)成為黑客們鐘愛的竊取目標。最近幾年，病歷電子化、物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用等在醫(yī)療界轟轟烈烈展開，原本存在于醫(yī)院內(nèi)網(wǎng)的醫(yī)療數(shù)據(jù)趨于云化存儲，但是多數(shù)醫(yī)療系統(tǒng)和軟件在設(shè)計之初并沒與完全考慮到未來互聯(lián)互通時可能存在的安全問題，極易受到黑客的攻擊。

　　據(jù)Bitglass的數(shù)據(jù)顯示，2020年美國的醫(yī)療保健數(shù)據(jù)泄露事件數(shù)量呈兩位數(shù)倍數(shù)增長，與2019年相比，泄露事件增加了55%以上，達到599起違規(guī)事件，影響了超過2640萬人。每條被破壞記錄的平均成本從429美元增加到499美元，醫(yī)療保健組織蒙受了132億美元的損失。

　　2020年4月，據(jù)外媒報道，黑客正在出售慧影醫(yī)療技術(shù)公司的實驗數(shù)據(jù)源代碼，該技術(shù)依靠先進的AI技術(shù)輔助進行新型冠狀病毒檢測。黑客對外的出售帖子聲稱已經(jīng)獲得了COVID-19檢測技術(shù)代碼，以及COVID-19實驗數(shù)據(jù)。出售價格為4個比特幣。出售的主要數(shù)據(jù)包括：1.5 MB的用戶數(shù)據(jù)、1GB的技術(shù)內(nèi)容、以及檢測技術(shù)源代碼、150MB的新冠病毒的實驗室成果內(nèi)容等。

　　1.2  醫(yī)療器械安全測評結(jié)果不容樂觀

　　國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心參照《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》和行業(yè)網(wǎng)絡(luò)安全標準要求，面向醫(yī)用診斷X射線影像設(shè)備、監(jiān)護類設(shè)備、物理治療及康復(fù)設(shè)備對國內(nèi)外知名的10家醫(yī)療器械廠商生產(chǎn)的19款設(shè)備開展安全測評工作。測評項主要包括保密性、完整性、可得性、安全審計等。測評發(fā)現(xiàn)各類設(shè)備均存在安全隱患，測評結(jié)果如圖1所示。

　　圖1 醫(yī)療器械安全測評結(jié)果

　　在保密性方面，測試項包括存儲保密性、傳輸保密性和患者隱私數(shù)據(jù)保護。共有15款測評設(shè)備未加密醫(yī)療設(shè)備工作站中的健康數(shù)據(jù)，僅有部分廠商采用AES256等算法對用戶配置等信息進行加密。測評設(shè)備均采用節(jié)點認證或白名單機制，但其中有11款沒有使用加密的網(wǎng)絡(luò)傳輸協(xié)議傳輸數(shù)據(jù)。測評設(shè)備均支持對可導(dǎo)出的健康數(shù)據(jù)進行匿名化處理。

　　在完整性方面，主要從身份鑒別角度測試。所有設(shè)備均基于操作系統(tǒng)口令實現(xiàn)用戶身份鑒別，其中有15款設(shè)備提供了手動鎖定、無操作自動注銷的功能。

　　在可得性方面，測試項包括授權(quán)用戶能否正常訪問數(shù)據(jù)并進行健康數(shù)據(jù)歸檔。所有設(shè)備均實現(xiàn)了授權(quán)用戶數(shù)據(jù)的正常訪問，共有11款提供了健康數(shù)據(jù)歸檔的功能，但未對歸檔數(shù)據(jù)進行加密，也沒有設(shè)計相應(yīng)的防篡改機制。

　　在安全審計方面，測試項主要包括抗抵賴性、可核查性和審計控制，共有10款設(shè)備未采用足夠的有效機制實現(xiàn)健康數(shù)據(jù)抗抵賴，且審計日志記錄可以被修改。同時，審計日志存在不夠詳盡、缺少關(guān)鍵信息等問題。

　　其他附加測試包括物理防護、系統(tǒng)加固。除5款設(shè)備外，其余廠商均通過設(shè)置物理鎖的方式保護工作站的數(shù)據(jù)安全。除1款設(shè)備外，其余設(shè)備均在一定程度上提供了系統(tǒng)加固功能，如防火墻、端口關(guān)閉、快捷鍵封閉等。

　　1.3  醫(yī)院功能癱瘓的風(fēng)險不容忽視

　　醫(yī)院信息系統(tǒng)（HIS）是一個復(fù)雜的信息平臺，其中運行著管理信息系統(tǒng)、臨床醫(yī)療信息系統(tǒng)（CIS）和高級應(yīng)用系統(tǒng)等。管理信息系統(tǒng)主要面向醫(yī)院管理，包括掛號、收費、藥房、住院、病案等功能。臨床醫(yī)療信息系統(tǒng)（CIS）面向臨床醫(yī)療過程，包括門診、檢查報告、醫(yī)囑處理、影像診斷、醫(yī)療器械操作等功能。高級應(yīng)用系統(tǒng)包括醫(yī)學(xué)圖像實時傳輸與查詢、歸檔系統(tǒng)（PACS）、病人病案系統(tǒng)（CPR）等重要支撐系統(tǒng)。

　　臨床醫(yī)療流程高度依賴這些信息系統(tǒng)，如果對這些系統(tǒng)實施攻擊，可以造成醫(yī)院功能部分或者全面的癱瘓，造成嚴重影響公共安全和社會穩(wěn)定的惡性事件。醫(yī)院信息系統(tǒng)面臨的主要網(wǎng)絡(luò)攻擊威脅有兩個：惡意代碼感染和勒索攻擊。

　　1.3.1 惡意代碼感染層出不窮

　　許多醫(yī)院信息系統(tǒng)和醫(yī)療器械操作臺運行的是舊版的Windows操作系統(tǒng)如Windows 2000或Windows XP，廠商一般不提供安全更新或操作系統(tǒng)升級，醫(yī)院也沒有升級系統(tǒng)的動力。而醫(yī)院信息系統(tǒng)維護部門缺少足夠的網(wǎng)絡(luò)安全專家，無法有效預(yù)防和應(yīng)對惡意代碼的肆虐。

　　2020年新冠疫情期間，醫(yī)療系統(tǒng)面臨前所未有的挑戰(zhàn)，全國各級醫(yī)院的網(wǎng)絡(luò)通訊均處于高度警備狀態(tài)，訪問量劇增，網(wǎng)絡(luò)攻擊事件大幅增多。期間，國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測發(fā)現(xiàn)北京某三甲醫(yī)院由于信息系統(tǒng)存在漏洞遭到網(wǎng)絡(luò)黑客組織持續(xù)性攻擊，部分服務(wù)器被植入木馬程序，樣本命名為“XX確診新型肺炎病毒”。攻擊者通過誘導(dǎo)受害者點擊樣本進行木馬植入，植入成功后，受控機器利用永恒之藍漏洞對指定IP段進行掃描，若內(nèi)網(wǎng)機器存在漏洞便植入擴散“XX確診新型肺炎病毒”樣本，面臨嚴重的網(wǎng)絡(luò)安全風(fēng)險。

　　1.3.2  勒索攻擊愈演愈烈

　　對醫(yī)院功能癱瘓的擔憂并非杞人憂天，這些信息系統(tǒng)在設(shè)計之初并沒有將網(wǎng)絡(luò)攻擊納入考慮，其安全性主要基于內(nèi)網(wǎng)隔離。但是，隨著互聯(lián)網(wǎng)醫(yī)療的不斷推進，這些系統(tǒng)開始暴露在互聯(lián)網(wǎng)上，遭受越來越多的網(wǎng)絡(luò)攻擊威脅。黑客通過網(wǎng)絡(luò)安全漏洞控制醫(yī)院信息系統(tǒng)、進而向醫(yī)院索要贖金的勒索攻擊，正在成為主要的安全危害。

　　Hackensack Merdian Health是美國新澤西州最大的醫(yī)療機構(gòu)，2019年底其網(wǎng)絡(luò)遭到了黑客攻擊，導(dǎo)致一定數(shù)量的計算機被勒索軟件給感染。因系統(tǒng)受到攻擊而癱瘓，醫(yī)護人員只能在沒有任何計算機設(shè)備輔助的情況下開展工作，部分手術(shù)延期進行。為重新獲得對系統(tǒng)的控制權(quán)，該院不得不向黑客支付了解鎖文件的贖金。

　　二、醫(yī)療器械行業(yè)網(wǎng)絡(luò)安全保障工作應(yīng)加快推進

　　面對醫(yī)療器械網(wǎng)絡(luò)安全現(xiàn)狀，我國已出臺《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，目前正在加快推進醫(yī)療器械全生命周期網(wǎng)絡(luò)安全保障工作，在設(shè)計開發(fā)、生產(chǎn)、分銷、部署和維護等每一個階段都要納入網(wǎng)絡(luò)安全的考量。具體建議如下：

　　2.1  強化頂層設(shè)計，推進法規(guī)和標準建設(shè)

　　針對醫(yī)療器械網(wǎng)絡(luò)與數(shù)據(jù)安全工作的突出問題，積極推進醫(yī)療器械網(wǎng)絡(luò)安全法規(guī)和標準建立進程。圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護法》，加快建立專項法規(guī)和國家標準同步發(fā)展的醫(yī)療器械網(wǎng)絡(luò)安全管理體系。

　　切實加強網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護，加強數(shù)據(jù)資源在采集、存儲、傳輸、應(yīng)用和開放等環(huán)節(jié)的保護政策，依法依規(guī)落實個人信息和重要數(shù)據(jù)境內(nèi)存儲、對外提供需開展安全評估等要求；強化用戶個人信息保護，有效減少用戶個人信息的泄露、損毀和非法利用。

　　2.2  積極推進醫(yī)療器械網(wǎng)絡(luò)安全檢測和認證

　　加快落實《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，針對醫(yī)療設(shè)備、配套軟件、遠程數(shù)據(jù)采集服務(wù)器三個信息實體建立詳實可操作的測試標準，并在醫(yī)療器械上市審批前委托具有設(shè)備測試專業(yè)資質(zhì)的機構(gòu)開展測評工作。

　　2.3  建立人員培訓(xùn)制度，培育醫(yī)療器械網(wǎng)絡(luò)安全人才隊伍

　　重視對在職人員的培養(yǎng)，形成醫(yī)療器械從業(yè)人員網(wǎng)絡(luò)安全知識更新和能力可持續(xù)提升的培養(yǎng)模式。定期組織網(wǎng)絡(luò)安全培訓(xùn)，提升政府工作人員、各級醫(yī)院領(lǐng)導(dǎo)和信息化工程師、醫(yī)療器械工程師的整體安全意識和技術(shù)水平。