卡巴斯基发现医疗IT系统存安全漏洞

一名来自卡巴斯基实验室全球研究和分析团队(GReAT)的专家对一家私人诊所进行了实地调查，目的是查找其是否存在安全漏洞，并且了解如何解决这些安全问题。经过调查，安全专家发现医疗设备中存在漏洞，这种漏洞开启的一道门，能够让网络罪犯访问病人的个人数据，还可以了解病人的身体健康情况。

当今的诊所是一个复杂的系统。诊所中有大量复杂的医疗设备，这些设备依赖于安装了操作系统和应用程序的功能完善的计算机，而且所有的信息都以数字格式存储在计算机上。此外，医疗技术都连接着互联网。所以，不管是医疗设备还是医院的IT基础设施，毫无疑问之前都遭受过黑客的攻击。例如，最近一些美国和加拿大的医院就遭受到勒索软件的攻击。但是，大规模的恶意攻击只是网络罪犯利用现代医院IT基础设施实施犯罪的一种手段。

诊所通常都保存着大量关于病人的个人信息。诊所还拥有和使用很多非常昂贵，并且很难修复和替换的设备，所以这些医疗设施很容易成为数据盗窃的潜在目标。

针对医疗机构的网络攻击一旦成功，造成的具体结果可能会不同，但一定非常危险。其危害包括以下方面：

滥用病毒的个人数据：将这些数据销售给第三方，或者要求诊所支付赎金，才能拿回关于病人的敏感信息;

故意伪造病人的治疗和诊断结果;

损坏医疗设备，给病人造成身体上的伤害，同时给诊所造成巨大的经济损失;

诊所的信誉遭受负面影响。

卡巴斯基实验室专家在进行研究时，首先研究的课题是了解全球有多少医疗设备连接着互联网。当今的医疗设备都配备了安装操作系统的功能全面的计算机，而且大多数计算机都能够同互联网进行通讯。通过入侵这些计算机，网络罪犯可以对医疗设备的功能进行干预。

稍微查看一下Shodan互联网设备搜索引擎，就能发现数百台联网的设备，其中有核磁共振扫描仪、心脏诊断设备、放射性医疗设备以及其它相关设备，都可以通过网络扫描到。这些发现让我们感到非常担忧，因为很多设备仍然使用古老的操作系统如Windows XP，其中还包含未被修补的漏洞，有些设备甚至使用的是默认密码，这些密码很容易通过公开的使用手册找到,利用这些漏洞，网络罪犯可以访问设备的界面，甚至可以影响设备的工作。

上面介绍了网络罪犯访问诊所基础设施的一种手段。但是，最显而易见，同时也是最符合逻辑的攻击手段是对诊所的局域网进行攻击。实际操作中，我们发现诊所Wi-Fi连接中存在的漏洞。利用这种强度较低的通讯协议漏洞，我们获取到诊所的局域网访问权限。

对诊所的局域网进行研究时，卡巴斯基实验室的专家发现了多台之前曾经在Shodan上发现的医疗设备。只是这次要访问这些设备，我们根本不需要任何密码，因为对医疗设备应用和用户来说，局域网是受信任的网络。通过这种手段，网络罪犯就可以访问医疗设备。

进一步对局域网络进行探索时，卡巴斯基实验室专家发现有一种医疗设备的应用程序存在漏洞。只需要在用户界面中执行command shell，就可以让网络罪犯访问病人的个人信息，包括病人的病历以及医疗分析信息，还包括病人的家庭住址和身份证件详情。不仅如此，利用这一漏洞，还能够完全控制该应用程序适用的设备。例如，这些设备可能包括磁共振扫描仪、心脏诊疗设备、放射性医疗设备和手术设备。网络罪犯可以修改这些设备的工作方式，给病人造成身体伤害。不仅如此，网络罪犯还可以损坏设备，给医院造成巨大的损失。

卡巴斯基实验室全球研究和分析团队高级研究员Sergey Lozhkin说:“诊所并不是只有医生和医疗设备，还有各种IT服务。诊所的内部安全服务工作关系到病人数据的安全以及医疗设备的正常工作。医疗软件开发者和设备工程人员在制造这些能够拯救和保护人类性命的医疗设备时倾注了很多心血，但是，他们有时候会完全忘记保护这些设备，避免其未经授权通过外部进行访问。在开发新技术时，应当在最初的研发阶段(R&D)就充分考虑安全问题。IT安全公司能够在这一阶段，帮助开发者解决相关安全问题.”

卡巴斯基实验室专家建议诊所采取以下安全措施，避免他人未经授权访问医院基础设施：

使用高强度密码保护所有的外部接入点;

升级IT安全策略，及时进行漏洞修补管理和漏洞评估工作;

利用密码保护局域网中的医疗设备应用程序，避免网络罪犯通过受信任区域未经授权访问这些设备;

利用可靠的安全解决方案保护基础设施，抵御恶意软件和黑客攻击等威胁;

对重要信息进行定期备份，保存一份离线的备份文件。