俗话说外行看门道内行看热闹,在外行人看来,乳腺透视机、放射性造影系统以及超声波设备这些高端医疗器械肯定具有极高的安全保障水平。但根据最新研究来看,高达83%的医学成像设备仍然运行着极为陈旧的操作系统,而且已经无法获得任何软件更新的支持。
这个问题在物联网领域倒是比较常见,因为大部分此类设备并不支持软件升级或者其他复杂的安全保障方案。但医疗设备存在类似的问题实属不该,也更加令人担忧。自2018年以来,医疗设备中的操作系统软件过期比例快速增长到56%,其中绝大部分源自微软公司在今年1月正式终止对Windows 7的技术支持。这意味着一旦在操作系统中发现新的安全漏洞,任何现有设备都将无法获得官方提供的修复补丁。
当然,这倒不是说此类医学成像设备会立即受到攻击影响。只要保证设备不被暴露在开放互联网中、为其提供防火墙保护并持续监控网络内的异常活动及访问风险,即使无法及时更新,也不致引发太严重的安全隐患。但是,上述措施需要全球医疗保健组织的积极规划与配合,而这显然不是该行业的专长。由于医学成像设备数量庞大,陈旧操作系统又太过普遍,我们无法指望所有设备都能够得到恰当而充分的保护。
企业安全厂商Palo Alto Networks威胁情报副总裁Ryan Olson表示,“长期以来,很多人都将Windows 7作为稳定可靠的操作系统选项,并利用它构建自己的物联网设备体系。然而,随着Windows 7生命周期的终结,安全威胁开始暴露出来,但大部分组织的物联网设备(包括医用物联网设备)更新显然没有及时跟上。”
Palo Alto Networks的研究人员们发现,有迹象显示医疗保健供应商开始意识到,必须将医疗设备与医疗保健网络上的其他计算机区分开来。这种隔离式管控有望给整个行业带来安全提升。然而,截至2017年,只有12%的医院拥有用于设备隔离的子网,到2019年这一比例也刚刚提升至44%。Olson强调称,这意味着大多数医院还没有就设备安全采取任何行动。这种安全方案的缺失,导致攻击者能够经由医疗保健网络访问到存在系统漏洞的医学成像设备,并借此进一步深入内部系统。即使恶意软件并非专门针对医疗设备,操作系统中包含的漏洞也足以导致各类联网计算机陷入各种蠕虫及病毒的影响范围。
除了医疗保健供应商之外,设备制造商自身也应当采取措施以缓解潜在危害。有些厂商可能在产品设计之初,就考虑到操作系统支持周期结束后的安全运行问题。但考虑到物联网行业的整体安全性仍然偏弱,特别是医疗设备以往糟糕的安全表现,大多数制造商都不太可能在设备当中建立起自己的安全防御机制。
非营利性组织大西洋理事会网络安全创新研究员Beau Woods指出,“这里还存在着一个更为本质的问题,就算是在操作系统仍然处于生命周期之内,相当一部分医疗设备也无法及时获取到必要的安全更新。因此在操作系统过期之后,这种问题只会更加严重。”
Woods指出,“以往的安全隐患就相当严重。而随着操作系统生命周期的终结,一旦发生某些紧急情况,医疗设备制造商就需要自行发布补丁。与微软相比,这样的补丁发布途径显然更加模糊,导致医院难以及时应用最新安全更新。”
虽然已经部署完成的产品难以获得更好的修复机制,但从现在开始,医疗服务供应商有必要将可升级性作为采购工作中的关注重点,借此敦促制造商选择更灵活的设计方式。此外,医疗机构还应主动评估陈旧基础设施中存在的安全隐患,抢先一步制定出解决方案。毕竟与音箱入侵相比,人们显然更担心医疗设备遭到劫持。
所以不管是什么设备,硬件软件都得跟上时代的步伐。