黑客入侵医疗器械

admin

2016-05-13 商业周刊中文版

撰文：Monte Reel、Jordan Robertson 
编辑：冯艳彬、梁悦
翻译：杨飞
当黑客侵入了某台设备后，他们就潜伏在那里，将这台仪器作为永久基地，从那里侦测整个医院的网络

“FDA似乎要等到真的有人被杀死才会说，‘好吧，是的，这是我们需要担忧的问题’”



2013年秋，比利·里奥斯(Billy Rios)从他位于加利福尼亚州的家中飞往明尼苏达州的罗切斯特，来到全球最大的非营利性综合医疗机构梅奥诊所(Mayo Clinic)接受一项任务。里奥斯是一位“白帽”黑客，也就是说客户会雇用像他这样的人侵入自己的电脑系统。他的客户名单包括五角大楼、主要的国防承包商、微软、谷歌和其他一些他不方便透露的名字。他摆弄的对象包括武器系统、飞机零件甚至电网，侵入华盛顿州最大的公用事业区的网络，向官员们展示他们可以如何改进公共安全。相比之下，梅奥诊所的这项任务显得平淡得多。他猜想自己只需要做一些例行的寻找漏洞的工作，单独一人在整洁安静的房间里忙活一周就行了。

但当他抵达这里时，他惊讶地发现会议室里满是熟悉的面孔。梅奥诊所召集了一个全明星阵容，这些人里面有大约一打电脑高手、来自这个国家最大的一些网络安全公司的调查员以及在黑帽技术大会(Black Hat)和年度黑客大会(Def Con)这类会议上技惊四座的那种黑客。这些研究人员被分成几组，医院管理人员将大约40种不同的医疗设备摆在他们面前。竭尽所能搞破坏，使出一切黑客手段来攻击它们——这就是研究人员接到的指令。

如今医疗设备都联网了，就像手提电脑和智能手机，这些设备运行着标准的操作系统，活在互联网上。和包括汽车与花园喷洒器在内的物联网的其他组成部分一样，它们与服务器相通，许多设备可以被远程控制。对里奥斯来说，有一点变得显而易见，就是医院的管理人员的确有很多理由担心黑客。

里奥斯称：“每一天，那场面就好像是菜单上的每一台设备都被碾压了一样。情况非常糟糕。”这些工作小组没有时间去深入研究他们所发现的这些设备的弱点，这在一定程度上是因为他们发现了太多这样的问题——毫无防御能力的操作系统、无法更改的通用密码等。

从这些白帽黑客的入侵活动中发现问题的梅奥诊所向其医疗设备供应商提出了新的安全要求，规定在签订采购合同前对每台设备都进行测试，以确保它们符合标准。里奥斯对这家医院的举动表示赞赏，但他知道只有为数不多的医院拥有足够的资源和影响力可以做到这一点，而且他在完成这项工作时已经深信不疑：医院迟早会被黑客入侵，受到伤害的会是病人。由于职业关系，他获得了深入窥探各种敏感行业的特权，而医院看起来至少比标准的安全水准落后了10年。里奥斯称：“有人会采取进一步举动。只要有人开始尝试，他们就能够做到这一点。阻止他们下手的唯一手段就是指望他们能良心发现。”



里奥斯现年37岁，曾在美国海军陆战队效力，而且参加过伊拉克战争。在海军陆战队服役期间，里奥斯为信号情报部门工作，后来在美国国防部信息系统局谋得差事。他的家庭办公室被电脑、一台焊接机和大量医疗设备挤得满满的。

在完成梅奥诊所的工作后不久，里奥斯订购了他的第一台医疗设备——Hospira公司制造的一台Symbiq输液泵。他没有刻意针对某个特定的制造商或产品型号展开调查；他只是碰巧在eBay上看到了售价大约为100美元的这么一台设备。在没有得到某种许可的情况下购买这样一台设备是合法的吗？他感到困惑。

在每一间病房里几乎都可以看到输液泵，通常它们被固定在病人床边的一个金属架上，自动将静脉滴注、可注射药物或其他液体输入病人的血流当中。Hospira于2015年被辉瑞制药公司(Pfizer)收购，该公司在输液泵市场上占据主导地位。在该公司网站上，有文章解释说，这种“智能输液泵”旨在通过实现静脉药物输送自动化来提高病人的安全保障，文章称，输液不当在所有用药错误当中占56%。



里奥斯把买来的输液泵连接到网络上后发现，对这台设备进行远程控制并在触摸屏上“按下”按钮可以做到，就像真的有人站在这台设备前操作一样，可以将仪器设定为把整瓶药水都输入病人体内。他说，如果有医生或护士站在仪器面前，或许可以发现设备被远程操控，能够在整瓶药水滴空前停止这种输入，但如果由医院员工在集中监测站负责照看输液泵，就不会注意到这点。

2014年春，里奥斯将他的发现打成定稿，发送给美国国土安全部下属的工业控制系统网络应急响应小组(ICS-CERT)。他列出了自己发现的弱点，并建议Hospira进行进一步分析以回答两个问题：在Hospira的其他设备中是否也存在同样的脆弱性问题？这种漏洞可能给病人带来什么样的潜在后果？美国国土安全部转而联系了美国食品药品监督管理局(FDA)，后者把这份报告转给了Hospira。几个月后，里奥斯没有收到任何回应。里奥斯称：“FDA似乎要等到真的有人被杀死才会说，‘好吧，是的，这是我们需要担忧的问题。’”

里奥斯是近几年来针对医疗设备领域展开独立调查的一小群人士之一，他们利用自己发现的安全漏洞来引发巨大影响。杰伊·拉德克利夫(Jay Radcliffe)是一名研究人员，也是糖尿病患者，他现身2011年的年度黑客大会，向观众展示了他如何操纵自己的美敦力(Medtronic)胰岛素泵，让它释放出可能致命的剂量。第二年，来自新西兰的黑客巴纳比·杰克(Barnaby Jack)在澳大利亚举行的会议上展示了他如何远程入侵一台起搏器，让它发出一次危险的颤动。2013年，在原定参加黑帽技术大会的前一周，杰克死于药物过量。他原本许诺将在此次会议上公布一个系统，这个系统能够将任何通过无线连接的胰岛素泵精确定位在90米的半径范围内，然后改变这些设备所管理的胰岛素剂量。

这种攻击行为令设备制造商和医院管理者感到愤怒，他们说，这种表演出来的黑客行为让公众因为恐慌而对那些利远大于弊的科技敬而远之。在2014年的行业论坛上，某家医院的信息技术管理人士猛烈抨击里奥斯和其他研究人员，称他们在没有任何一例患者伤害事故可归咎于医疗设备网络安全松懈的情况下就歇斯底里地煽风点火。美国联盟医疗体系(Partners HealthCare System)的无线通信经理里克·汉普顿(Rick Hampton)称：“我很感谢你们想要参与进来，但是坦白说，你们在《国民问询》(National Enquirer)周刊上拟出的标题带来的只有问题，而没有任何作用。”还有一次，在一个有很多业内管理人士和联邦官员旁听的电话会议上，设备供应商们冲着里奥斯大声呼叱。

里奥斯说：“他们所有的设备都名不副实，所有的系统都名不副实。所有的临床应用也都名不副实——但没人在乎。这很荒唐，对吧？任何试图证明这种现状合理的人都不是生活在现实世界中，他们生活在幻境中。”


2016-05-13 商业周刊中文版
http://mp.weixin.qq.com/s?__biz=NzgzNTc1NTIx&mid=2653428660&idx=1&sn=e958d1ff03825bc79ba52f060c1f2a3c&scene=1&srcid=0513zeqTV6xVNDftngjrgR1j&from=groupmessage&isappinstalled=0#wechat_redirect