医院成为“犯罪天堂”:当黑客开始通过心脏起搏器远程杀人

在科幻小说《球状闪电》中,女主人公林云通过激活宏聚变,摧毁了全球电子设备的芯片,将三分之一的国土拉回到农业时代,终止了一场现代核战争。

这个故事直指人类在数字时代不得不面对的一个两难困境(Dilemma):数字技术固然潜力巨大,可是一旦无处不在的网络出现了纰漏,引发大规模破坏性事件的概率也将大大提升。稍有不慎,人类就会被自己追逐的东西拉进深渊。医疗设备联网所带来的安全风险,像一个正在被打开的“潘多拉魔盒”,让我们不得不对“数字繁荣”保持高度警惕。

救死扶伤的医院也能成为黑客的杀人“天堂”,你信吗?

过去,安全漏洞工具化所带来的威胁,大多都停留在网络世界里。比如敲诈勒索、售卖医疗数据、利用医院服务器挖矿等等。

像是一年前的勒索病毒绑架全球多个医院银行系统,导致网络瘫痪、业务无法正常流转,只需支付比特币赎金即可恢复。

医院成为“犯罪天堂”:当黑客开始通过心脏起搏器远程杀人

可是,通过网络安全漏洞远程杀人,在医院设备联网的大环境下正在变得越来越容易。越来越多的黑客黑入医院,以“收割生命”作为“彩头”,这就有点令人毛骨悚然了。

一般来说,主要有两种方式:

1. 篡改关键医疗数据。比如截取血液、尿液的测试报告并更改结果,将错误的信息发送到医院的医疗记录系统,导致医生做出错误的用药判断。

加州大学圣地亚哥分校和戴维斯分校的研究人员做过相关实验,在加州大学测试设备、计算机、服务器组成的医疗实验室,可以修改正常的血液测试结果,让钾含量偏低,如果医生因此实施了钾IV治疗,很有可能导致患者心脏病发作,甚至死亡。

2. 入侵人体植入设备。越来越多的医疗设备可以采用无线通讯技术并与人体结合,比如心脏起搏器、能够检测身体器官数据的“智能药丸”、与脑部刺激器结合治疗帕金森和电线的设备等等。

植入医疗辅助设备让患者获得了高效、方便的全新医疗解决方案,但也因此成为危险的温床。2017年,美国的健康公司Abbott就曾召回过46.5万个存在安全漏洞的心脏起搏器,以避免设备遭到黑客攻击。

未来随着“体联网”的发展,人类可能拥有前所未有的超能力,也可能被远在千里之外的黑客“弹指间灰飞烟灭”。

对于大多数人来说,唯一可以聊以安慰的,或许是这种类型的攻击通常不会针对一般公众,而是用来攻击比较高调的目标,比如国家元首或社会名人。美国副总统迪克-切尼(Dick Cheney)的心脏起搏器,就曾在2013年收到过“死亡警告”。

总之,当我们享受医疗数字化、智能化所带来的更方便、安全的医疗服务时,也必须承受整个医疗网络面临的安全隐患。

追名逐利or报复社会:医院为什么令黑客趋之若鹜?

医院为什么这么容易沦为黑客的攻击目标呢?一般来说有以下几种原因:

1. 医院的信息化越来越普遍,却又在IT管理上存在短板。现如今为了方便管理,医疗信息化、上云已经成为了大趋势。但是对于很多医院,尤其是公立医院来说,他们缺乏基本的信息化人才,只能将IT基础建设外包出去。但外包服务往往质量参差不一,更不会提供持续性的安全防护服务。随着近些年医疗物联网设备的增多,医院的IT漏洞开始成倍增加。医院又缺乏专门的信息安全团队,IT人员缺乏有效持续的网络安全培训,应对攻击的反应时效落后,也会进一步扩大损失。

医院成为“犯罪天堂”:当黑客开始通过心脏起搏器远程杀人

2. 针对医院作案收益大、可操纵性强。相比在街头实施暴力,控制医院中的某一台呼吸机、篡改某一项检测结果的数据,显然能更加精准的实施作案。不仅如此,在以前关于医疗数据的文章中,我们也提到了黑客攻击医院数据库,常常是为了盗取用户资料。或许没那么多人想付钱给黑客让他们取走他人姓名,但哪些明星整容、哪些政客生病等等信息,自然会有人高价买单。

3. 攻击医院一旦成功负面影响大,更能满足黑客的炫技心理。偷窥、勒索、破坏,攻击医院这样的社会关键组织,让展示技术与获利行为融合在一起,还会给公众带来心理上的恐惧,多重激励共同催化了愈演愈烈的攻击事件。

总而言之,医疗行为具备更高的商业价值和更低的犯罪成本,这就让其面临的安全问题变得更加频繁,也更加难以防范。

医疗安全:一场不死不休的持久攻坚战

一部缺乏安全的手机,可能成为个人隐私泄露的间谍;而一个缺乏安全的医疗产业,则可能导致一场社会级灾难片。

不管我们愿不愿意,各种医疗设备和诊疗流程,都在不可逆转地被数字化。但凡是能插电的,都在被联上网。

说了这么多,到底如何才能把医疗漏洞的威胁最大程度地扼杀在萌芽状态呢?

对于正处在焦虑和危险之中的医院,或许以下几个方法可以帮助其逃出困境:

首先,通过防火墙和网络分割,提升医疗基础设施的安全等级。比如,为医疗记录和医疗设备设立防火墙密码保护,每个设备只与一台服务器通信,减少黑客进入医院网络的机会,避免黑客攻击“火烧连营”。

需要注意的是,这种自我隔离式的安全防护,很可能因为医生、患者的手机、ipad、USB等外部设备而破功。

医院成为“犯罪天堂”:当黑客开始通过心脏起搏器远程杀人

因此,更重要的是第二点:提升医院的网络安全防护能力。一方面,医院需要加强对IT人员的培训,将网络安全列入医疗设备管理,让安全防护日常化、规范化;另一方面,提高医院网络通信和资源信息的加密标准,用更新的标准FHIR(快速医疗互操作性资源)取代HL7(卫生信息用户层交换协议)。

第三,引入外援,借助云计算企业的集成迭代能力,将部分功能和数据放在云上,为医疗安全多上一把锁。目前头部云服务商都能提供私有云、公有云、混合云等多元化服务,来满足医院对数据隐私、业务拓展和网络安全的多重顾虑,可以用更小的代价提供保护。同时,科技公司的安全意识和迭代升级能力更强,能够更为及时地应对新型攻击。

能做到以上几点,基本可以解决大量安全隐患和不可控因素,改善医疗产业的安全现状。

但从某种意义上说,安全永远是相对的。当人类释放出技术这头猛兽,就注定是它的驯化者:接受它所带来的伟大馈赠,也注定要与驾驭它的恶魔搏斗,不死不休。