医疗设备会成为黑客的新目标吗？

蓝天二号

如今，窃取受害人资金几乎成为了所有网络攻击的目标。由于许多各式各样的医疗设备均具有联网功能，一旦不幸感染病毒其结果将比金钱损失更为严重，甚至可能危及病人的健康和生命安全。

尽管迄今为止，还未出现一例因医疗设备受感染直接危害病人健康的案例。然而，安全专家们还是会定期从医疗设备中找到新的漏洞，包括可能对病人造成严重身体伤害的bug。




事实上，网络犯罪分子已利用木马病毒和其它广泛传播的恶意软件攻击了多家医院。如今年年初，勒索软件病毒攻击了美国的数家医疗中心，其中即包括位于洛杉矶的好莱坞长老会医疗中心。

这所洛杉矶医院最终支付了17万美元赎金才恢复了被锁住的医疗记录。然而，堪萨斯心脏医院却远没有那么好运，尽管同样支付了赎金，但却未能恢复自己的医疗文件，并被索要更多赎金。

              

大约两年前，安全专家Billy Rios对Hospira输液泵（畅销全球数万家医院）进行了测试。结果令人担忧：药物注射泵可随意改变设置并提高剂量限度。因此，不法分子完全可以让病人注射更多或更少的剂量。具有讽刺意味的是，在广告宣传中这些设备还被描述为有防错功能。Rios发现的另一款存在漏洞的设备是CareFusion生产的Pyxis SupplyStation。这些设备能为病毒调配药物且便于病历记录。2014年，Rios发现了一个能让任何人潜入系统的bug。

2016年，Rios再一次将测试目标转向了Pyxis SupplyStation，一同参与的还有安全专家Mike Ahmadi。二人一共发现了超过1400个漏洞，其中一半被认为极具危险性。尽管第三方开发者该为此负责，且安全专家分析的只是一款型号较早的Pyxis SupplyStation，但这些漏洞依然会造成严重影响。

               

问题在于，这些安全解决方案早已过期，尽管其使用广泛，但开发者却并未提供任何更新补丁。相反，CareFusion公司建议用户升级至新的设备版本。那些对“升级”兴趣不大的组织收到了不少降低这些受感染系统风险的安全小贴士。

因为升级旧设备难度高，且成本不菲。例如，微软就放弃了安装在这系列设备上的操作系统，因而留下了致命的漏洞。运行Win 7或更高版的最新Pyxis SupplyStation已解决了这些bug。

此外，卡巴斯基实验室还为众多医院提供网络结构测试：卡巴斯基实验室安全专家Sergey Lozhkin受邀参加试验并成功入侵了包括层析图像扫描器等医疗设备。

医疗设备的服务期限远远超过智能手机的使用寿命。鉴于医疗设备的昂贵价格，即便使用几十年也不算长。此外，尽管新设备目前存在较少的漏洞，但随着时间的推移，一旦缺乏适当技术支持也将会面临同样的安全问题。

Mike Ahmadi解释道：“我认为医疗设备制造商不仅该对医疗设备的使用期限作出规定，还应包括设备网络安全的使用寿命。”

1518589226

医院重要设备不都是断网的么

ELOHIM

国外区慢慢变了。
渗透起作用了。