AI+智慧醫(yī)療,是數(shù)字經(jīng)濟時代的主要應用場景,醫(yī)療數(shù)據(jù)包含了醫(yī)、藥、人、物等多源數(shù)據(jù),一旦被別有用心的黑客盜取,后果不堪設想。
QRS Inc.報告患者門戶被黑,飛利浦揭示TASY EMR安全漏洞,醫(yī)療系統(tǒng)軟件安全風險不斷暴露。軟件安全漏洞同樣需要實時檢測和修復,安全漏洞在開發(fā)階段就應該“扼殺在搖籃當中”。
最近發(fā)生的大規(guī)模黑客事件和次涉及兩家不同供應商的電子健康記錄相關產品的多帶帶安全漏洞披露問題,都是這些系統(tǒng)可能對患者受保護的健康信息構成潛在風險的最新提醒。
總部位于田納西州的QRS公司是Paradigm實踐管理和電子健康記錄系統(tǒng)的供應商,10月22日向美國衛(wèi)生與公眾服務部報告了一起IT黑客事件,涉及一個患者門戶服務器,影響了近32萬個人的PHI。
與此同時,在一個多帶帶的開發(fā)中,醫(yī)療技術供應商飛利浦醫(yī)療保健和網(wǎng)絡安全和基礎設施安全機構周四各自發(fā)布了關于飛利浦TASY電子醫(yī)療記錄HTML5系統(tǒng)(版本3.06.1803及之前)中發(fā)現(xiàn)的兩個SQL漏洞的安全警告。
報告稱,飛利浦EMR漏洞如果被利用,將對患者數(shù)據(jù)的機密性構成風險。
這兩起安全事件提醒人們,從網(wǎng)絡安全角度來看,整個醫(yī)療保健系統(tǒng)十分脆弱。隱私與安全咨詢公司Clearwater的高級首席顧問喬治?杰克遜(George Jackson)表示。
“一個是嚴重漏洞的例子,需要及時公布并避免被再次利用,而另一個則是被成功利用的后果。”
更讓人擔心的是,我們并不知道軟件漏洞及其脆弱性。
QRS事件回顧
在一份泄露通知聲明中,QRS指出,它為某些醫(yī)療保健提供商托管電子患者門戶,并在8月26日發(fā)現(xiàn),一個攻擊者在8月23日至26日期間訪問了單個QRS專用患者門戶服務器。QRS是實踐管理、電子健康記錄和相關醫(yī)療供應鏈軟件的最新供應商之一。
QRS表示,發(fā)現(xiàn)攻擊后立即將服務器下線并開始調查,同時通知執(zhí)法部門。
在此次事件中,通過調查確定攻擊者可能獲得的數(shù)據(jù)有:
患者的姓名、地址、出生日期、社會安全號碼、患者識別號碼、門戶網(wǎng)站用戶名和/或醫(yī)療或診斷信息。
該公司表示:“此次攻擊沒有涉及任何其他QRS系統(tǒng),也沒有涉及QRS客戶的任何系統(tǒng)。”QRS稱,沒有跡象表明該事件導致了身份盜竊或欺詐。
其他黑客事件
總部位于圣安東尼奧的CaptureRx為數(shù)百家美國醫(yī)院和其他機構提供醫(yī)療保健技術和管理服務,今年5月,該公司報告了一次影響到160多萬人的入侵事件。
總部位于紐約阿默斯特的醫(yī)療管理服務提供商Practicefirst于7月1日向美國衛(wèi)生與公眾服務部民權辦公室報告了一起去年年底發(fā)生的黑客入侵事件,影響了120多萬人。
飛利浦EMR漏洞
網(wǎng)絡安全研究員在某些飛利浦TASY EMR產品中發(fā)現(xiàn)的兩個SQL注入漏洞。
Philips稱,如果SQL注入攻擊被利用,那么成功的SQL注入攻擊可能會導致機密的患者數(shù)據(jù)被暴露或從TASY數(shù)據(jù)庫中提取。攻擊者還可能獲得未經(jīng)授權的訪問TASY EMR系統(tǒng)或賬戶的權限,這可能導致對數(shù)據(jù)庫的拒絕服務攻擊。
該公司表示:“目前,飛利浦還沒有收到有關利用這些漏洞或臨床使用中發(fā)生的事件的報告,我們已經(jīng)能夠將這些漏洞與這個問題聯(lián)系起來。”
飛利浦還表示,其分析顯示,這些漏洞不太可能影響臨床使用,并表示預計不會因為這個問題對患者造成危害。
Philips說:“重要的是要注意,要利用這些漏洞,攻擊者必須有有效訪問系統(tǒng)的權限——會話通過有效的TASY用戶名和密碼驗證。”
據(jù)該公司稱,受影響的TASY產品主要部署在阿根廷、巴西、哥倫比亞、多米尼加共和國和墨西哥。將TASY EMR HTML5升級到3.06.1804或更高版本,使用最新可用的服務包,修復了這兩個漏洞。
醫(yī)療軟件系統(tǒng)無處不在的風險
Jackson表示,飛利浦TASY EMR中發(fā)現(xiàn)的漏洞類型是醫(yī)療保健軟件和設備中的常見問題。
現(xiàn)如今,每家醫(yī)院都可以找到EMR,它們保存著患者的所有數(shù)據(jù)、治療、實驗室結果、影像診斷摘要等。“醫(yī)療保健技術的飛速發(fā)展給我們所有人帶來了巨大的好處。但付出的代價是,隨著系統(tǒng)越來越復雜,出現(xiàn)意外安全漏洞的可能性也變得越來越頻繁。”
盡管此類醫(yī)療軟件系統(tǒng)中的安全漏洞不能直接影響患者,但通過利用漏洞更改數(shù)據(jù)很可能導致錯誤診斷和不良治療,最終引發(fā)生命危險。
另外,大多數(shù)醫(yī)療保健提供商普遍使用電子病歷系統(tǒng),也帶來了各種潛在的安全和隱私風險,以及供應商安全風險管理問題。在這里要提高對第三方軟件的安全性關注,尤其現(xiàn)如今多數(shù)軟件開發(fā)會引入開源組件,其中的惡意代碼存在潛在安全風險。在軟件驗收時增加對軟件開發(fā)清單的檢查及利用代碼安全檢測發(fā)現(xiàn)漏洞并修復,不但有利于更加清晰地了解網(wǎng)絡系統(tǒng)的安全性,而且有助于提高軟件抵御網(wǎng)絡攻擊能力,全面加強醫(yī)療系統(tǒng)網(wǎng)絡安全。
參讀鏈接:
www.inforisktoday.com/ehr-vendors…
