許多研究表明，智慧住宅、智慧汽車和智慧城市無可否認地有益於人們日常生活，但又往往會對他們的安全構成威脅，而這不僅僅是個人資料洩露的問題。試想一下，如果一個智慧冰箱受到第三方的影響，會開始錯誤識別過期產品的新鮮度；或者更糟糕的是，智慧車系統將車輛高速轉向右側，使司機無法察覺…

 

然而，現有的和可預見的來自家庭物聯網裝置的威脅只是我們周圍的基礎設施變得更智慧化的問題的一部分。醫學上的技術進步既鼓勵醫療機構在處理資料方面使用專門的資訊系統，也導致了能夠與傳統系統和網路互動的新型技術裝置和個人裝置的出現。這意味著與醫療系統相關的安全威脅也會隨之出現。

 

醫療資料的訪問入口點

 

對於醫療行業，主要的安全威脅與個人資料和患者健康狀況有關。對資料安全水平評估的第一步是確定基礎醫療機構的入口點，因為在基礎醫療機構裡醫療資料可以被收集、儲存，或被一個惡意程式利用。

 

可能的入口點可分為以下幾類：

•醫療機構的計算機網路的資訊系統（因特網上的伺服器、工作站、醫療裝置管理面板等）；

•連線到企業網路的醫療裝置；

•不是網路節點但連線工作站的醫療裝置（例如通過USB）；

•患者的行動式裝置（先進的健身追蹤器，心臟起搏器和心臟監視器，胰島素泵等）和移動裝置，可以跟蹤健康指標（移動智慧手機和智慧手錶）；

•其他無線資訊系統（Wi-Fi、藍芽、射頻）、可移動心電裝置，脈搏血氧儀，跟蹤高危病人的醫療條件事件監視器等。

 

目前，我們將關注於不需要物理訪問、並經常從因特網訪問的裝置及其元件。

 

行動式裝置可以顯示病史

 

2015年3月時，我們就已有如下關於行動式裝置的安全風險猜想：“試想，如果一個健身跟蹤與心率監視器被黑客攻擊，那麼當買家在商店購物時，所有商店的業主將能夠跟蹤買家的心率。廣告對人們的影響可以用同樣的方式進行研究。此外，一個裝有心臟監視器的入侵式心率追蹤器可以被用作測謊器。”

 

由於感測器的精度越來越高，收集其健康狀況資料的小工具可能會被用於重症門診護理，以評估病人的健康狀況。然而，這些小工具的安全性並沒有像它們的能力那樣迅速發展。

 

 

在移動裝置的幫助下跟蹤生命體徵可能成為門診護理的一個組成部分。

 

通過跟蹤生命體徵收集的資訊，可以由裝置所有者和跟蹤應用程式執行的基礎設施供應商使用。對於使用者來說，心率引數可以表示某個活動應該被減少，特定的藥物應該被使用；而供應商可以將收集到的資料傳送給醫療公司，可以使用它來評估客戶的整體健康狀況。

 

因此，小工具收集的資料的主要優點不在於它的分析深度（任何醫學檢查都會比健康追蹤器獲得更精確的結果），而在於動態評估患者健康狀況變化的能力。使用資訊的場景受到裝置所有者的想象力以及健康資料相關法律的限制。

 

如果我們從網路罪犯的角度來看相同的資訊，那麼裝置所有者不一定會將裝置用在我們所期待的方向，健康分析（例如，心率、睡眠質量、或平均ADL評分）將允許罪犯獲得受害者的健康概述。任何附加資訊可由連線到移動裝置的小部件傳送至指定程式，例如，使用者的血壓或血糖水平。通過對受害者的疾病分析，任意的惡意程式或行為都可以激發他們健康狀況的惡化。

獲取健康資料的攻擊行為可分為三種基本型別：違反資料隱私的攻擊、破壞資料完整性的攻擊和攻擊資料可用性的攻擊。

 

 侵犯醫療資料隱私的攻擊型別：

•中間人攻擊感測器和儲存感測器資料服務之間的感測器通道；

•未經授權訪問本地和遠端資料儲存。

 

攻擊資料完整性的型別：

 •未經授權訪問資料儲存，可能存在資料替換；

 •中間人對通道進行欺騙攻擊以替代傳輸資料；

 •修改（替換）資料並將其傳輸給消費者。

 

 攻擊可用性：

 •勒索攻擊（使用者資料/刪除加密）。

 

線上醫療資料

 

然而，我們想詳細回顧另一個切入點——醫療機構網路上的資訊系統。這些資訊系統可以從因特網上訪問。

 

醫療機構利用資訊系統儲存解決方案，儲存有關病人的各種資訊（診斷結果，有關處方藥的資訊，病史等）。這種系統的基礎設施可以包括各種硬體和軟體元件，它們可以被合併到資料儲存網路中，並且可以以某種形式從因特網訪問。

 

關於儲存醫療資料的解決方案，可以將幾個軟體包作為醫療基礎設施的入口點使用，如下。

 •醫院資訊系統控制不同來源的醫療資訊的軟體包，包括下面提到的系統。

 •電子健康記錄（EHR）系統是專用軟體，能夠結構化儲存病人資料和病歷記錄。

 •附網儲存（NAS）指專用網路儲存裝置，它可以是在醫療機構使用的儲存醫療資料的專用裝置。

•DICOM複合（數字成像和醫學通訊）裝置和PACS（影象存檔和通訊系統）伺服器是基於DICOM標準的醫療資訊系統，包括以下元件：

 

DICOM客戶端，這是一個能夠對DICOM伺服器傳輸資料的醫療裝置；

DICOM伺服器，這是一個從客戶端接收和儲存資料的軟體（或硬體）包；

DICOM影像工作站和DICOM印表機，負責處理並可視化醫學影象和印刷的軟體和硬體。

 

上述系統的一個關鍵特性是可以通過Web介面（Web應用程式）在因特網上實現對它們的控制。某個網路介面如果有漏洞，可以被一個惡意程式所利用，犯罪者即能獲得有價值的資訊。詳細地複查這些系統並驗證他們是否能夠接入網路是有價值的，換句話說，驗證他們是否有可供那些網路犯罪分子利用的漏洞。

 

電子健康檔案（EHR）

 

為了評估從外部(來自網際網路)可以使用並可以與EHR一起工作的應用程式的數量，應該建立一個在這些任務中被使用的軟體列表，然後組織一個Dork列表。Dorks是特殊的搜尋引擎查詢，目的是在搜尋引擎索引的所有資源中查詢所需軟體的web元件。

 

下面是一個使用谷歌搜尋EHR軟體元件的登入表單的Dork查詢示例:

intitle:”<vendor_name> Login” & inurl:<vendor name>

 

 

一個被發現的Web元件（一個登入表單）的示例，它的用途是與EHR一起工作。

 

值得注意的是，在搜尋結果中發現的一些資源被證明是由犯罪者設下的陷阱(蜜罐)。這一事實本身就表明，有一部分群體正跟蹤與醫療基礎設施有關的威脅。

 

每一個被發現的web資源都是一個潛在的入口點，可以被一個惡意程式所利用來訪問基礎設施。例如，許多系統被發現缺乏對密碼搜尋的保護，這意味著罪犯可以使用蠻力攻擊。然後，通過使用被黑客攻擊的帳戶，犯罪者可以通過介面獲得特權訪問系統，或者利用網路漏洞，以便將來訪問系統。

 

 

一個用於登入到EHR系統的web介面的示例

 

醫療資訊系統

 

“醫院資訊系統”是一個非常廣泛的概念，包括一整套處理醫療資訊的方法和技術。在我們的案例中，我們只對他的元件感興趣，這些元件具有控制和視覺化醫療資訊的web介面。

 

我們以OpenEMR軟體為例。該軟體被用於醫療機構作為醫療資料管理解決方案，並由國家衛生資訊科技協調員辦公室(ONC)認證。它的一些元件是用PHP程式語言編寫的，這意味著，對於黑客而言，維護這些OpenEMR元件的web伺服器可以作為一個潛在的入口點。

 

在對搜尋結果進行了快速分析後，很明顯，大多數被發現的OpenEMR系統的元件都有弱點，包括一些關鍵的漏洞。這些漏洞公開可用，意味著利用這些漏洞可以開啟OpenEMR資料庫，並使其受到損害。

 

網路附加儲存（NAS）

 

至少有兩種型別的NAS伺服器已經被醫療機構使用:專用的醫療NAS伺服器和常規NAS伺服器。差別在於，前者對儲存在其上的資料有嚴格的安全性要求，後者的安全性依賴於他們的開發人員的職業操守，以及使用這種型別NAS的醫療機構的安全意識。因此，非醫療NAS可能會在沒有任何更新的情況下工作多年，從而存在了大量已知的漏洞。

 

非醫療系統

 

上面描述的系統需要處理有價值的醫療資料，因此，這些系統的安全要求必須很高。但是，我們不能忽視，除了潛在的切入點，有其餘幾十個非醫療系統裝置可以使用不與醫療系統直接相關，但位於基礎設施之上的重要資料。

 

這裡有幾個非醫療系統的例子，可以作為計算機網路的潛在入口點：

•連線到機構網路並可從因特網訪問的任何伺服器（Web伺服器、FTP伺服器、電子郵件伺服器等）；

•醫療機構的公共Wi-Fi熱點；

•辦公室印表機；

·視訊監視系統；

·SCADA控制器；

•控制建築物的機械和電氣部件的自動化系統（建築管理系統，BMS）。

 

每一個提到的系統可能存在漏洞，可以用以非法的途徑從而來獲取重要資料。

 

如何實現安全

 

為了防止網路罪犯從機構中竊取醫療資料，青松建議採取以下措施:

•排除處理醫療資料或其他有關資料的所有資訊系統的外部訪問;

•連線到工作站(或者是網路節點)的所有醫療裝置應該在專用段中隔離，而裝置的操作引數可以通過使用工作站(或遠端)進行修改;

•任何線上資訊系統都應被隔離在“非軍事區”或完全被排除在企業網路之外;

•持續監控醫療系統軟體更新和更新軟體;

•更改設定為醫療系統登入表單的預設密碼，並從資料庫中刪除不需要的帳戶(例如測試帳戶);

•為所有帳戶建立強密碼。

•醫療系統內網採用專業的安全管理平臺，對系統的整體安全實現全週期的監控、防禦。

注：本文由青松雲安全原創編譯，如需轉載，請署名出處。