AI+智慧醫(yī)療,是數(shù)字經(jīng)濟(jì)時代的主要應(yīng)用場景,醫(yī)療數(shù)據(jù)包含了醫(yī)、藥、人、物等多源數(shù)據(jù),一旦被別有用心的黑客盜取,后果不堪設(shè)想。
QRS Inc.報告患者門戶被黑,飛利浦揭示TASY EMR安全漏洞,醫(yī)療系統(tǒng)軟件安全風(fēng)險不斷暴露。軟件安全漏洞同樣需要實(shí)時檢測和修復(fù),安全漏洞在開發(fā)階段就應(yīng)該“扼殺在搖籃當(dāng)中”。
最近發(fā)生的大規(guī)模黑客事件和次涉及兩家不同供應(yīng)商的電子健康記錄相關(guān)產(chǎn)品的多帶帶安全漏洞披露問題,都是這些系統(tǒng)可能對患者受保護(hù)的健康信息構(gòu)成潛在風(fēng)險的最新提醒。
總部位于田納西州的QRS公司是Paradigm實(shí)踐管理和電子健康記錄系統(tǒng)的供應(yīng)商,10月22日向美國衛(wèi)生與公眾服務(wù)部報告了一起IT黑客事件,涉及一個患者門戶服務(wù)器,影響了近32萬個人的PHI。
與此同時,在一個多帶帶的開發(fā)中,醫(yī)療技術(shù)供應(yīng)商飛利浦醫(yī)療保健和網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全機(jī)構(gòu)周四各自發(fā)布了關(guān)于飛利浦TASY電子醫(yī)療記錄HTML5系統(tǒng)(版本3.06.1803及之前)中發(fā)現(xiàn)的兩個SQL漏洞的安全警告。
報告稱,飛利浦EMR漏洞如果被利用,將對患者數(shù)據(jù)的機(jī)密性構(gòu)成風(fēng)險。
這兩起安全事件提醒人們,從網(wǎng)絡(luò)安全角度來看,整個醫(yī)療保健系統(tǒng)十分脆弱。隱私與安全咨詢公司Clearwater的高級首席顧問喬治?杰克遜(George Jackson)表示。
“一個是嚴(yán)重漏洞的例子,需要及時公布并避免被再次利用,而另一個則是被成功利用的后果。”
更讓人擔(dān)心的是,我們并不知道軟件漏洞及其脆弱性。
QRS事件回顧
在一份泄露通知聲明中,QRS指出,它為某些醫(yī)療保健提供商托管電子患者門戶,并在8月26日發(fā)現(xiàn),一個攻擊者在8月23日至26日期間訪問了單個QRS專用患者門戶服務(wù)器。QRS是實(shí)踐管理、電子健康記錄和相關(guān)醫(yī)療供應(yīng)鏈軟件的最新供應(yīng)商之一。
QRS表示,發(fā)現(xiàn)攻擊后立即將服務(wù)器下線并開始調(diào)查,同時通知執(zhí)法部門。
在此次事件中,通過調(diào)查確定攻擊者可能獲得的數(shù)據(jù)有:
患者的姓名、地址、出生日期、社會安全號碼、患者識別號碼、門戶網(wǎng)站用戶名和/或醫(yī)療或診斷信息。
該公司表示:“此次攻擊沒有涉及任何其他QRS系統(tǒng),也沒有涉及QRS客戶的任何系統(tǒng)。”QRS稱,沒有跡象表明該事件導(dǎo)致了身份盜竊或欺詐。
其他黑客事件
總部位于圣安東尼奧的CaptureRx為數(shù)百家美國醫(yī)院和其他機(jī)構(gòu)提供醫(yī)療保健技術(shù)和管理服務(wù),今年5月,該公司報告了一次影響到160多萬人的入侵事件。
總部位于紐約阿默斯特的醫(yī)療管理服務(wù)提供商Practicefirst于7月1日向美國衛(wèi)生與公眾服務(wù)部民權(quán)辦公室報告了一起去年年底發(fā)生的黑客入侵事件,影響了120多萬人。
飛利浦EMR漏洞
網(wǎng)絡(luò)安全研究員在某些飛利浦TASY EMR產(chǎn)品中發(fā)現(xiàn)的兩個SQL注入漏洞。
Philips稱,如果SQL注入攻擊被利用,那么成功的SQL注入攻擊可能會導(dǎo)致機(jī)密的患者數(shù)據(jù)被暴露或從TASY數(shù)據(jù)庫中提取。攻擊者還可能獲得未經(jīng)授權(quán)的訪問TASY EMR系統(tǒng)或賬戶的權(quán)限,這可能導(dǎo)致對數(shù)據(jù)庫的拒絕服務(wù)攻擊。
該公司表示:“目前,飛利浦還沒有收到有關(guān)利用這些漏洞或臨床使用中發(fā)生的事件的報告,我們已經(jīng)能夠?qū)⑦@些漏洞與這個問題聯(lián)系起來。”
飛利浦還表示,其分析顯示,這些漏洞不太可能影響臨床使用,并表示預(yù)計(jì)不會因?yàn)檫@個問題對患者造成危害。
Philips說:“重要的是要注意,要利用這些漏洞,攻擊者必須有有效訪問系統(tǒng)的權(quán)限——會話通過有效的TASY用戶名和密碼驗(yàn)證。”
據(jù)該公司稱,受影響的TASY產(chǎn)品主要部署在阿根廷、巴西、哥倫比亞、多米尼加共和國和墨西哥。將TASY EMR HTML5升級到3.06.1804或更高版本,使用最新可用的服務(wù)包,修復(fù)了這兩個漏洞。
醫(yī)療軟件系統(tǒng)無處不在的風(fēng)險
Jackson表示,飛利浦TASY EMR中發(fā)現(xiàn)的漏洞類型是醫(yī)療保健軟件和設(shè)備中的常見問題。
現(xiàn)如今,每家醫(yī)院都可以找到EMR,它們保存著患者的所有數(shù)據(jù)、治療、實(shí)驗(yàn)室結(jié)果、影像診斷摘要等。“醫(yī)療保健技術(shù)的飛速發(fā)展給我們所有人帶來了巨大的好處。但付出的代價是,隨著系統(tǒng)越來越復(fù)雜,出現(xiàn)意外安全漏洞的可能性也變得越來越頻繁。”
盡管此類醫(yī)療軟件系統(tǒng)中的安全漏洞不能直接影響患者,但通過利用漏洞更改數(shù)據(jù)很可能導(dǎo)致錯誤診斷和不良治療,最終引發(fā)生命危險。
另外,大多數(shù)醫(yī)療保健提供商普遍使用電子病歷系統(tǒng),也帶來了各種潛在的安全和隱私風(fēng)險,以及供應(yīng)商安全風(fēng)險管理問題。在這里要提高對第三方軟件的安全性關(guān)注,尤其現(xiàn)如今多數(shù)軟件開發(fā)會引入開源組件,其中的惡意代碼存在潛在安全風(fēng)險。在軟件驗(yàn)收時增加對軟件開發(fā)清單的檢查及利用代碼安全檢測發(fā)現(xiàn)漏洞并修復(fù),不但有利于更加清晰地了解網(wǎng)絡(luò)系統(tǒng)的安全性,而且有助于提高軟件抵御網(wǎng)絡(luò)攻擊能力,全面加強(qiáng)醫(yī)療系統(tǒng)網(wǎng)絡(luò)安全。
參讀鏈接:
www.inforisktoday.com/ehr-vendors…
