一、醫(yī)療器械存在巨大的網(wǎng)絡(luò)安全隱患

　　近年來,，隨著精準(zhǔn)醫(yī)療國家戰(zhàn)略的不斷推進(jìn),，醫(yī)療器械從封閉、笨重走向開放,、移動,，醫(yī)療器械智能化和云化成為未來的發(fā)展方向。但是,，隨著智能可穿戴設(shè)備和大數(shù)據(jù)醫(yī)療的高速發(fā)展,，醫(yī)療器械所面臨的網(wǎng)絡(luò)安全威脅也在與日俱增。

　　醫(yī)療器械作為一個信息實(shí)體，包括醫(yī)療器械現(xiàn)場設(shè)備和醫(yī)療信息系統(tǒng)兩部分,。醫(yī)療器械既包括胰島素泵等可穿戴醫(yī)療設(shè)備,，也包括核磁共振儀等大型醫(yī)療器械。醫(yī)療信息系統(tǒng)既包括部署在醫(yī)院的醫(yī)療器械控制系統(tǒng)和醫(yī)療器械管理系統(tǒng),，也包括部署在云端的醫(yī)療器械數(shù)據(jù)采集與監(jiān)控系統(tǒng),。

　　由于醫(yī)療器械長期處于封閉簡單的應(yīng)用場景，因此產(chǎn)品在設(shè)計時強(qiáng)調(diào)設(shè)備的功能性及可用性,，對安全性考慮不足,，普遍存在安全漏洞且升級困難，通信協(xié)議缺少加密認(rèn)證機(jī)制等安全隱患,。黑客可以利用上述安全隱患對醫(yī)療器械進(jìn)行攻擊,，造成醫(yī)療數(shù)據(jù)泄露、醫(yī)療事故甚至醫(yī)院功能癱瘓等嚴(yán)重后果,。

　　1.1  醫(yī)療數(shù)據(jù)泄露隱患突出

　　在全球范圍內(nèi),，醫(yī)療數(shù)據(jù)面臨的網(wǎng)絡(luò)安全威脅趨于嚴(yán)峻。因數(shù)據(jù)使用價值高,、安全保障和風(fēng)險管理措施較落后等因素,，使醫(yī)療數(shù)據(jù)成為黑客們鐘愛的竊取目標(biāo)。最近幾年,，病歷電子化,、物聯(lián)網(wǎng)設(shè)備和云服務(wù)的使用等在醫(yī)療界轟轟烈烈展開，原本存在于醫(yī)院內(nèi)網(wǎng)的醫(yī)療數(shù)據(jù)趨于云化存儲,，但是多數(shù)醫(yī)療系統(tǒng)和軟件在設(shè)計之初并沒與完全考慮到未來互聯(lián)互通時可能存在的安全問題,，極易受到黑客的攻擊。

　　據(jù)Bitglass的數(shù)據(jù)顯示,，2020年美國的醫(yī)療保健數(shù)據(jù)泄露事件數(shù)量呈兩位數(shù)倍數(shù)增長,，與2019年相比，泄露事件增加了55%以上,，達(dá)到599起違規(guī)事件,，影響了超過2640萬人。每條被破壞記錄的平均成本從429美元增加到499美元,，醫(yī)療保健組織蒙受了132億美元的損失,。

　　2020年4月，據(jù)外媒報道,，黑客正在出售慧影醫(yī)療技術(shù)公司的實(shí)驗(yàn)數(shù)據(jù)源代碼,，該技術(shù)依靠先進(jìn)的AI技術(shù)輔助進(jìn)行新型冠狀病毒檢測。黑客對外的出售帖子聲稱已經(jīng)獲得了COVID-19檢測技術(shù)代碼,，以及COVID-19實(shí)驗(yàn)數(shù)據(jù),。出售價格為4個比特幣,。出售的主要數(shù)據(jù)包括：1.5 MB的用戶數(shù)據(jù)、1GB的技術(shù)內(nèi)容,、以及檢測技術(shù)源代碼,、150MB的新冠病毒的實(shí)驗(yàn)室成果內(nèi)容等。

　　1.2  醫(yī)療器械安全測評結(jié)果不容樂觀

　　國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心參照《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》和行業(yè)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)要求,，面向醫(yī)用診斷X射線影像設(shè)備,、監(jiān)護(hù)類設(shè)備、物理治療及康復(fù)設(shè)備對國內(nèi)外知名的10家醫(yī)療器械廠商生產(chǎn)的19款設(shè)備開展安全測評工作,。測評項(xiàng)主要包括保密性,、完整性、可得性,、安全審計等,。測評發(fā)現(xiàn)各類設(shè)備均存在安全隱患，測評結(jié)果如圖1所示,。

　　圖1 醫(yī)療器械安全測評結(jié)果

　　在保密性方面,，測試項(xiàng)包括存儲保密性、傳輸保密性和患者隱私數(shù)據(jù)保護(hù),。共有15款測評設(shè)備未加密醫(yī)療設(shè)備工作站中的健康數(shù)據(jù),，僅有部分廠商采用AES256等算法對用戶配置等信息進(jìn)行加密。測評設(shè)備均采用節(jié)點(diǎn)認(rèn)證或白名單機(jī)制,，但其中有11款沒有使用加密的網(wǎng)絡(luò)傳輸協(xié)議傳輸數(shù)據(jù),。測評設(shè)備均支持對可導(dǎo)出的健康數(shù)據(jù)進(jìn)行匿名化處理。

　　在完整性方面,，主要從身份鑒別角度測試,。所有設(shè)備均基于操作系統(tǒng)口令實(shí)現(xiàn)用戶身份鑒別，其中有15款設(shè)備提供了手動鎖定,、無操作自動注銷的功能,。

　　在可得性方面，測試項(xiàng)包括授權(quán)用戶能否正常訪問數(shù)據(jù)并進(jìn)行健康數(shù)據(jù)歸檔,。所有設(shè)備均實(shí)現(xiàn)了授權(quán)用戶數(shù)據(jù)的正常訪問,，共有11款提供了健康數(shù)據(jù)歸檔的功能，但未對歸檔數(shù)據(jù)進(jìn)行加密,，也沒有設(shè)計相應(yīng)的防篡改機(jī)制。

　　在安全審計方面,，測試項(xiàng)主要包括抗抵賴性,、可核查性和審計控制，共有10款設(shè)備未采用足夠的有效機(jī)制實(shí)現(xiàn)健康數(shù)據(jù)抗抵賴,，且審計日志記錄可以被修改,。同時,，審計日志存在不夠詳盡、缺少關(guān)鍵信息等問題,。

　　其他附加測試包括物理防護(hù),、系統(tǒng)加固。除5款設(shè)備外,，其余廠商均通過設(shè)置物理鎖的方式保護(hù)工作站的數(shù)據(jù)安全,。除1款設(shè)備外，其余設(shè)備均在一定程度上提供了系統(tǒng)加固功能,，如防火墻,、端口關(guān)閉、快捷鍵封閉等,。

　　1.3  醫(yī)院功能癱瘓的風(fēng)險不容忽視

　　醫(yī)院信息系統(tǒng)（HIS）是一個復(fù)雜的信息平臺,，其中運(yùn)行著管理信息系統(tǒng)、臨床醫(yī)療信息系統(tǒng)（CIS）和高級應(yīng)用系統(tǒng)等,。管理信息系統(tǒng)主要面向醫(yī)院管理,，包括掛號、收費(fèi),、藥房,、住院、病案等功能,。臨床醫(yī)療信息系統(tǒng)（CIS）面向臨床醫(yī)療過程,，包括門診、檢查報告,、醫(yī)囑處理,、影像診斷、醫(yī)療器械操作等功能,。高級應(yīng)用系統(tǒng)包括醫(yī)學(xué)圖像實(shí)時傳輸與查詢,、歸檔系統(tǒng)（PACS）、病人病案系統(tǒng)（CPR）等重要支撐系統(tǒng),。

　　臨床醫(yī)療流程高度依賴這些信息系統(tǒng),，如果對這些系統(tǒng)實(shí)施攻擊，可以造成醫(yī)院功能部分或者全面的癱瘓,，造成嚴(yán)重影響公共安全和社會穩(wěn)定的惡性事件,。醫(yī)院信息系統(tǒng)面臨的主要網(wǎng)絡(luò)攻擊威脅有兩個：惡意代碼感染和勒索攻擊。

　　1.3.1 惡意代碼感染層出不窮

　　許多醫(yī)院信息系統(tǒng)和醫(yī)療器械操作臺運(yùn)行的是舊版的Windows操作系統(tǒng)如Windows 2000或Windows XP,，廠商一般不提供安全更新或操作系統(tǒng)升級,，醫(yī)院也沒有升級系統(tǒng)的動力。而醫(yī)院信息系統(tǒng)維護(hù)部門缺少足夠的網(wǎng)絡(luò)安全專家,，無法有效預(yù)防和應(yīng)對惡意代碼的肆虐,。

　　2020年新冠疫情期間,，醫(yī)療系統(tǒng)面臨前所未有的挑戰(zhàn)，全國各級醫(yī)院的網(wǎng)絡(luò)通訊均處于高度警備狀態(tài),，訪問量劇增,，網(wǎng)絡(luò)攻擊事件大幅增多。期間,，國家互聯(lián)網(wǎng)應(yīng)急技術(shù)處理協(xié)調(diào)中心監(jiān)測發(fā)現(xiàn)北京某三甲醫(yī)院由于信息系統(tǒng)存在漏洞遭到網(wǎng)絡(luò)黑客組織持續(xù)性攻擊,，部分服務(wù)器被植入木馬程序，樣本命名為“XX確診新型肺炎病毒”,。攻擊者通過誘導(dǎo)受害者點(diǎn)擊樣本進(jìn)行木馬植入,，植入成功后，受控機(jī)器利用永恒之藍(lán)漏洞對指定IP段進(jìn)行掃描,，若內(nèi)網(wǎng)機(jī)器存在漏洞便植入擴(kuò)散“XX確診新型肺炎病毒”樣本,，面臨嚴(yán)重的網(wǎng)絡(luò)安全風(fēng)險。

　　1.3.2  勒索攻擊愈演愈烈

　　對醫(yī)院功能癱瘓的擔(dān)憂并非杞人憂天,，這些信息系統(tǒng)在設(shè)計之初并沒有將網(wǎng)絡(luò)攻擊納入考慮,，其安全性主要基于內(nèi)網(wǎng)隔離。但是,，隨著互聯(lián)網(wǎng)醫(yī)療的不斷推進(jìn),，這些系統(tǒng)開始暴露在互聯(lián)網(wǎng)上，遭受越來越多的網(wǎng)絡(luò)攻擊威脅,。黑客通過網(wǎng)絡(luò)安全漏洞控制醫(yī)院信息系統(tǒng),、進(jìn)而向醫(yī)院索要贖金的勒索攻擊，正在成為主要的安全危害,。

　　Hackensack Merdian Health是美國新澤西州最大的醫(yī)療機(jī)構(gòu),，2019年底其網(wǎng)絡(luò)遭到了黑客攻擊，導(dǎo)致一定數(shù)量的計算機(jī)被勒索軟件給感染,。因系統(tǒng)受到攻擊而癱瘓,，醫(yī)護(hù)人員只能在沒有任何計算機(jī)設(shè)備輔助的情況下開展工作，部分手術(shù)延期進(jìn)行,。為重新獲得對系統(tǒng)的控制權(quán),，該院不得不向黑客支付了解鎖文件的贖金。

　　二,、醫(yī)療器械行業(yè)網(wǎng)絡(luò)安全保障工作應(yīng)加快推進(jìn)

　　面對醫(yī)療器械網(wǎng)絡(luò)安全現(xiàn)狀,，我國已出臺《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，目前正在加快推進(jìn)醫(yī)療器械全生命周期網(wǎng)絡(luò)安全保障工作,，在設(shè)計開發(fā),、生產(chǎn)、分銷,、部署和維護(hù)等每一個階段都要納入網(wǎng)絡(luò)安全的考量,。具體建議如下：

　　2.1  強(qiáng)化頂層設(shè)計，推進(jìn)法規(guī)和標(biāo)準(zhǔn)建設(shè)

　　針對醫(yī)療器械網(wǎng)絡(luò)與數(shù)據(jù)安全工作的突出問題,，積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全法規(guī)和標(biāo)準(zhǔn)建立進(jìn)程,。圍繞《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個人信息保護(hù)法》，加快建立專項(xiàng)法規(guī)和國家標(biāo)準(zhǔn)同步發(fā)展的醫(yī)療器械網(wǎng)絡(luò)安全管理體系,。

　　切實(shí)加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)和用戶信息保護(hù),，加強(qiáng)數(shù)據(jù)資源在采集、存儲,、傳輸,、應(yīng)用和開放等環(huán)節(jié)的保護(hù)政策，依法依規(guī)落實(shí)個人信息和重要數(shù)據(jù)境內(nèi)存儲,、對外提供需開展安全評估等要求,；強(qiáng)化用戶個人信息保護(hù)，有效減少用戶個人信息的泄露,、損毀和非法利用,。

　　2.2  積極推進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全檢測和認(rèn)證

　　加快落實(shí)《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》，針對醫(yī)療設(shè)備,、配套軟件,、遠(yuǎn)程數(shù)據(jù)采集服務(wù)器三個信息實(shí)體建立詳實(shí)可操作的測試標(biāo)準(zhǔn)，并在醫(yī)療器械上市審批前委托具有設(shè)備測試專業(yè)資質(zhì)的機(jī)構(gòu)開展測評工作,。

　　2.3  建立人員培訓(xùn)制度,，培育醫(yī)療器械網(wǎng)絡(luò)安全人才隊(duì)伍

　　重視對在職人員的培養(yǎng)，形成醫(yī)療器械從業(yè)人員網(wǎng)絡(luò)安全知識更新和能力可持續(xù)提升的培養(yǎng)模式,。定期組織網(wǎng)絡(luò)安全培訓(xùn),，提升政府工作人員、各級醫(yī)院領(lǐng)導(dǎo)和信息化工程師,、醫(yī)療器械工程師的整體安全意識和技術(shù)水平,。