文章来源:思宇MedTech ;编辑:Terry
近日,碧迪医疗(BD)在对某批次输液泵软件进行日常监控的过程中发现了安全漏洞,并发布网络安全警报,认为旗下产品Alaris输液泵软件存在被黑客攻击的风险。碧迪医疗表示,黑客极有可能利用该漏洞访问系统中所储存的患者个人数据。根据碧迪医疗的说法,使用该软件的医院可能在数据库中存储患者个人信息,这些信息可能会被恢黑客访问和篡改。
# 与安全漏洞相关的软件
根据警报,上述的安全漏洞仅影响该公司的Alaris Infusion Central软件,而不影响输液泵本身。该软件只安装在医院计算机上,并未直接把数据分发到患者手中。该软件允许临床医生监控并收集数据,并据此向患者派送合适剂量的药物、营养素和其他液体。
碧迪医疗之所以能够发现该风险,是因为其网络安全部门发现在某些版本的Alaris Infusion Central软件中,用于数据库安装的密码,在改动之后可以很容易地被恢复。
尽管Alaris Infusion Central数据库不存储患者健康数据,但碧迪医疗表示,使用该软件的医院可能会选择将其他个人信息存储在数据库中,而黑客可以恢复系统密码,从而造成患者数据被泄露和篡改的风险。
# 本次事件风险有多大?
碧迪医疗在通用漏洞评分系统中,给本次黑客风险评分为7.3分(满分10分),表示“高度”严重性。碧迪医疗表示,尽管它可能会导致“严重影响数据机密性和完整性”和“部分影响数据可用性” 但上述评分并未达到“关键”风险阈值。
尽管存在潜在风险,碧迪根据其自身评估得出结论,“发生伤害的可能性很低”,特别是因为该软件仅用于跟踪输液泵数据,不能用于更改连接设备的设置。同时,黑客需要本地访问了医院操作系统和服务器之后才能访问该软件,这使得真正发生安全问题的概率极低。
在美国国土安全部网络安全和基础设施安全局(CISA)公布的一份通知中,将该漏洞评级为“有攻击性但复杂性低”。
碧迪医疗表示表示,他们正在与所有受影响的医疗保健提供商联系,以“启动补救措施”。同时,碧迪医疗还修改了该软件的安装程序,防止未来用户遭到黑客攻击。然而,该公司也呼吁使用该软件的人应定期更改其数据库密码,并确保只有授权用户才能访问服务器。
# 了解输液泵领域的风险
尽管该漏洞仅与用于监控输液泵的软件有关,但泵本身特别容易受到其他攻击。去年发表的一项研究发现,多达75%的设备可能面临被黑客入侵的风险,这可能会让恶意行为者访问泵的数据,甚至可以对数据进行重新配置。
事实上,碧迪医疗并不能完全杜绝该类风险的发生。去年12月,该公司发布了另一份网络安全公告,描述了其BodyGuard输液泵的多个型号可能被黑客入侵的可能性。
黑客可以通过设备串行端口的物理连接访问受影响的BodyGuard泵。一旦发生这种情况,黑客可能会更改设备的设置或完全禁用设备,从而中断患者所需治疗的正常流程。但是据CISA称,迄今为止,还没有公开的黑客攻击专门针对该漏洞。尽管黑客只能通过物理方式访问这些泵。
除了碧迪医疗,其它公司也发布过类似的公告。2022年,医疗器械巨头百特(Baxter)发布公告,认定旗下产品Sigma Spectrum输液泵软件存在安全问题。潜在的黑客风险之一是设备中缺乏加密,这使得黑客可以轻松访问患者健康信息,并且不需要身份验证就可以连接到网关服务器从而破坏设备连接。
CISA给出了5.5分,表示与软件缺陷存在“中等”风险。同时CISA认为这些漏洞可能被远程利用,进而“黑客可能导致访问敏感数据和更改系统配置。”
值得一提的是,碧迪医疗建立了相对完善的网络安全风险防范和预警机制。根据该公司2022年发布的网络安全报告,该公司运营着一个全天候全球网络安全运营中心(CSOC),并与下设的分区CSOC实时对接。
▲碧迪医疗发布的《网络安全报告2022》封面
CSOC主要工作包括:网络安全监控、突发事件管理、网络安全威胁捕捉、内部危机监测预警。在2022年,该安全公司平均每月阻止1.14亿次入侵尝试。同时,此外,CSOC还与政府和行业领袖就威胁情报进行合作,包括国内安全联盟委员会(一个包括联邦调查局、国土安全部和私营企业的战略联盟),以及美国联邦调查局InfraGard (一个FBI与私营部门之间的合作机构,以保护关键基础设施)。
同时,在网络安全报告中,碧迪医疗也承认自身存在六类关键风险:勒索病毒攻击、内部安全威胁、医疗设备软件脆弱性、第三方软件脆弱性、人为错误、钓鱼软件攻击。
