王晨希,王权,李佳戈
中国食品药品检定研究院 医疗器械检定所,北京 102629
随着互联网技术在医疗领域的广泛应用,具备网络连接功能的医疗器械不断出现,用以实现电子数据交换或远程控制,网络技术提高医疗服务质量与效率的同时也面临着网络攻击的威胁[1]。医疗器械网络安全问题主要是侵犯患者隐私,同时可能会产生医疗器械非预期运行的风险,导致患者或使用者受到伤害甚至死亡。
近些年,网络攻击事件呈快速上升的趋势。据统计,目前全球平均39 s就会发生一起黑客攻击事件,而医疗器械产品也已经成为黑客攻击的重要目标。2017年,因存在安全漏洞,美国FDA召回了Abbott公司的46.5万个心脏起搏器。2019年3月,美国国土安全部发出警告称,美敦力公司的植入式心脏装置容易受到网络安全攻击,主要是这些设备使用未经加密的信号[2]。由此,医疗器械的网络安全问题应该引起有关部门的重视,如何保证医疗器械网络安全风险得到有效控制已经成为一个重大课题。
2017年,国家食品药品监督管理总局组织制定了《医疗器械网络安全注册技术审查指导原则》,成为医疗器械网络安全全生命周期监管的基础要求[3]。但如何开展医疗器械产品网络安全的质量控制,目前国内尚无相关标准和明确方法。
本文通过对《中华人民共和国网络安全法》《中华人民共和国计算机信息系统安全保护条例》《GB/T 22239-2019信息系统安全等级保护基本要求》《GB/T 25070-2019信息安全技术网络安全等级保护安全设计技术要求》《IEC/TR 80001-2-2-2012医疗设备的IT网络的风险管理应用.第2-2部分:医疗设备安全需求,风险和控制的披露和通信指南》等相关法规和标准的深入研究,针对医疗器械产品在临床使用场景中面临的网络安全问题[4],结合具体实例,提出了医疗器械产品网络安全质量控制的思路和方法。
输液泵是医院中最常见的医疗器械。用于控制静脉输液和药物的分配,如止痛药或胰岛素。输液泵经常连接到中央监控站,因此医务人员可以同时检查多个患者(图1)。研究发现,带有无线功能的输液泵其无线信号非常容易被拦截、干扰、劫持并重新编程,此时一旦被攻击,整个输液泵将成为黑客伤害患者的工具[5]。
图1 输液泵网络拓扑图
1.1.1 危害一:获取病人信息
黑客经常以输液泵为注入点,由于输液泵自身软件设计漏洞,通过欺骗无线网络的方式入侵,获取root用户权限,root用户是输液泵软件的最高权限者,攻击者可以在输液泵的机载电脑上安装恶意固件,该电脑对输液泵供电、监控和控制,实现对泵体本身的破坏,失控、修改剂量等[6],同样可以实现对其控制之后,将以输液泵为中转侵入输液泵管理平台,进而入侵EHR数据库获得病人信息(图2~3)。
图2 黑客攻击输液泵路径图
图3 黑客攻击输液泵获取病人信息图
1.1.2 危害二: DDOS攻击,通信子系统崩溃
黑客通常使用DDOS攻击:是一种黑客攻击技术,通过充斥大量流量使服务器无法实时处理所有请求并最终崩溃的站点或服务器来关闭站点或服务器。攻击者使用大量请求来淹没目标设备以淹没资源(图4),反过来限制实际请求的实现[7]。
图4 黑客攻击输液泵路径图
通过阻断网络连接,利用资源消耗,破坏flash文件系统,使得输液泵无法发送消息和警告。匿名FTP到泵,上传gzip文件,以root用户远程登录,解压文件消耗可用RAM资源,损坏部分文件系统(图5)。
图5 黑客攻击输液泵破坏通信系统图
入侵者通过设计恶意软件的方式,建立医疗器械的“后门”,来控制医疗设备和获取数据[8]。与台式电脑和服务器不同,网络环境当中的医疗器械产品不能运行杀毒软件和其他的端点数据安全检查。它们的多样性、和一开始就对其安全性的漠视,使其成为攻击的对象,攻击者将恶意软件注入医疗设备,然后通过网络扩散。MedJack攻击者故意使用旧的恶意软件来瞄准过时的操作系统,如正在运行Windows XP和Windows Server 2003的医疗设备[9]。通过攻击传统技术,黑客可以避免被检测出来。因为在网络中,运行这些操作系统的其他部分不会标记出来这些活动; 而较新的服务已经修补旧的恶意软件,并自动将其分类为次要威胁(图6)。
图6 MedJack攻击剖析图
举例来说,攻击肿瘤放疗计划系统:这些系统运行在Windows XP平台下,通过计算机来控制精度和系统运行过程的安全性[10]。恶意软件攻击的目标是使用Windows XP或者Window Server 2003较低版本操作系统的PACS系统的用于图像查看的计算机,目的是通过该计算机可以侵入患者影像数据库。
医疗器械网络安全是指保护医疗器械产品自身和相关数据不受未授权活动影响的状态,其保密性、完整性、可得性相关风险在全生命周期内均处于可接受水平[4]。所阐述的输液泵和影像处理系统所面临的被入侵的情况,原因就是制造商在做产品设计时未考虑实际应用场景中面临的风险[11-12],应该如何避免此类问题的发生,首先应该认识这些可能产生缺陷或者漏洞的方面(表1)。
表1 安全漏洞列表
医疗器械产品生产制造过程中能够认识到这些漏洞和设计缺陷,就能够解决当前遇到的网络安全问题[13]。
漏洞扫描是指通过模拟恶意攻击者进行攻击,来评估网络安全的一种评估方法,从攻击的角度测试软件系统是否安全,使用工具或手工的方法模拟攻击者的输入,找出运行时刻目标系统所存在的安全漏洞。漏洞扫描技术是一类重要的网络安全技术[14]。它和防火墙、入侵检测系统互相配合,能够有效提高网络的安全性。通过对网络的扫描,能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级[15](图7)。漏洞扫描测试工作可从以下几个方面开展:
图7 漏洞扫描技术架构图
(1)明确目标。首先要确定测试范围,如医疗器械对外发布的IP、域名、模块。其次要确定原则,漏洞扫描到什么程度,发现漏洞还是继续利用漏洞,时间限制,能否修改上传等。最后确定需求,包括Web应用漏洞、医疗业务逻辑漏洞、人员权限管理漏洞[16]。
(2)分析风险。分析漏洞测试可能产生的风险,对于患者数据的,对于医疗器械本身的。需要结合医疗器械制造商的技术人员对漏洞扫描过程中模拟攻击对医疗器械产品软硬件的影响,需要明确扫描的范围和深度,保证风险在可接受范围内。
(3)信息收集。尽量多的收集关于目标Web应用的各种信息,包括基础信息、系统信息、应用信息、版本信息、服务信息、人员信息、防护信息等。基于以上信息和分析建立漏洞扫描模型[17]。
(4)漏洞探测。可以考虑绿盟UTS、AppScan、Nessus、AWVS等工具,结合漏洞去网络漏洞提交平台找利用方式,寻找验证观点说明或攻击样例。扫描内容包括系统漏洞、应用漏洞、端口漏洞、通信安全。
(5)漏洞验证。要求发现的有可能可以成功利用的全部漏洞都验证一遍。结合实际情况,搭建医疗器械使用模拟环境进行试验,成功后再应用于目标中。包括自动化验证、手工验证、公开资源的利用、登录猜解。
(6)报告整理。整理测试过程中遇到的各种漏洞,各种脆弱位置信息,要对漏洞成因、验证过程和带来危害进行分析,形成报告[18]。
总结主要风险分布和漏洞风险分布(图8),针对漏洞给出风险等级评估和对应CVE编号(图9),提供解决方案。
图8 漏洞扫描风险分布图
图9 漏洞风险等级评估图
此外信息共享是保障医疗器械网络安全的基本原则。及时获得网络安全漏洞、事件等相关信息有助于识别、评估和应对网络安全风险,保证医疗器械的安全有效性以及医疗活动的业务持续性,因此鼓励所有利益相关方在医疗器械全生命周期主动积极共享网络安全相关信息。应基于国家互联网应急中心、国家信息安全漏洞共享平台披露的漏洞信息定期开展网络安全风险管理工作[19]。
除漏洞扫描之外,医疗器械产品还应该从功能设计上做到网络安全的二十项安全能力。
(1)自动注销: 产品在使用闲置期间阻止非授权用户访问和使用的能力。
(2)审核: 产品提供用户活动可被审核的能力。
(3)授权: 产品确定用户已获授权的能力。
(4)网络安全特征配置: 产品根据用户需求配置网络安全特征的能力。
(5)网络安全补丁升级:授权用户或服务人员安装/升级网络安全补丁的能力。
(6)数据去标识化:产品直接去除数据所含个人信息的能力。
(7)数据备份与灾难恢复:产品的数据、硬件或软件受到损坏或破坏后恢复的能力。
(8)紧急访问:产品在预期紧急情况下允许用户访问和使用的能力。
(9)数据完整性与真实性:产品确保数据未以非授权方式更改且来自创建者的能力。
(10)恶意软件探测与防护:产品有效阻止、探测和移除恶意软件的能力。
(11)节点鉴别:产品鉴别网络节点的能力。
(12)人员鉴别:产品鉴别授权用户的能力。
(13)物理防护:产品提供防止非授权用户访问和使用的物理防护措施的能力。
(14)现成软件维护:产品在全生命周期中对现成软件提供网络安全维护的能力。
(15)系统固化:产品通过固化措施对网络攻击和恶意软件的抵御能力。
(16)网络安全指导:产品为用户提供网络安全指导的能力。
(17)存储保密性:产品确保未授权访问不会损坏存储媒介所存数据保密性和完整性的能力。
(18)传输保密性:产品确保数据传输保密性的能力。
(19)传输完整性:产品确保数据传输完整性的能力。
(20)远程访问与控制:产品确保用户远程访问与控制的网络安全的能力。
从产品设计到使用要严格贯穿二十项安全能力的落实,真正做到产品的网络安全[20]。
本文是通过对医疗器械产品进行漏洞扫描测试建立了网络安全的质量评价平台,通过搭载IDS和WAF双检测引擎系统,结合威胁情报、恶意文件检测、DDOS检测、WEBSHELL检测和异常行为检测等手段[21],能快速检测传统威胁和高级威胁,同时配合自身的阻断策略对威胁进行快速旁路阻断,缩短用户响应处置时间,此外还可通过输出标准化日志对接态势平台进行统一威胁呈现和回溯分析。首次创新性地提出了医疗器械领域网络安全评价机制,降低了医疗器械临床使用网络安全风险[22]。
医疗器械网络安全质量评价方法是保证医疗器械产品质量的重要因素,应当贯穿于医疗器械产品的全生命周期过程中,不限于设计开发、生产、分销、部署、更新维护、上市后监测。此外,网络安全问题是社会问题,需要注册人、用户(含医疗机构、个人)、信息技术服务商等利益相关者的共同努力和通力合作方能得以保障[23]。
医疗器械的网络安全问题属于监管领域新的课题,伴随着新技术和新方法的出现,医疗器械网络安全质量控制方法也应该动态更新,应紧跟技术发展的脚步,为医疗器械产品的安全有效提供智力支持和技术保障。