美國知名科技媒體《連線》長期撰稿人吉姆-曾特(Kim Zetter)日前對現代醫院醫療設備領域所面臨的風險展開了一次詳盡的調查。在調查中，曾特發現目前醫院所使用的大多數醫療設備都存在著被黑客入侵的風險，而這一風險甚至可能會造成致命的后果。然而，許多醫療機構還是出于這樣或那樣的原因沒有對此給予足夠的重視。

以下是文章主要內容：

當我的同事斯科特-埃文(Scott Erven)被獲準使用“中西部健康醫療中心”(Midwest health care facilities)大部分醫療器械的時候，他就肯定自己能夠從中找到許多安全漏洞。但出乎他意料之外的是，埃文沒有想到自己竟然能夠找到如此之多的設備漏洞。

在這個為期兩年的研究中，埃文和他的團隊發現主要被用于為病患按劑量注入諸如嗎啡這些藥物的“藥物輸液泵”(drug infusion pumps)可以被遠程控制以改變預先設定的輸入劑量;具備藍牙連接功能的心臟電擊器可能被遠程控制，并給予病患不恰當的電擊次數;黑客可以通過入侵醫院網絡的方式訪問諸如X光成像這些隱私數據，或者重置用于存儲血液等醫療用冰箱的恒溫設定。

除此之外，埃文和他的團隊還發現別有用心的人士甚至可以在緊急時刻使醫療設備突然藍屏、重啟甚至是完全刪除預先設定好的參數。

“許多醫院都沒有意識到他們醫療設備所面臨的巨大風險，盡管已經有研究證明了這一事實，但醫療機構仍然沒有對此給予足夠的重視。他們沒有對此展開測試，同時也沒有重視起自己所面臨的風險。”埃文說道。

埃文目前是負責全美100家醫療機構設備管理Essentia Health公司的信息安全主管，該公司在2012年對旗下業務所涉及醫療機構進行了一次全面調查，并允許埃文公布了部分研究數據。在埃文的報告中，他并沒有指出具體哪個品牌的醫療設備存在風險，只是表示“現有廣泛的醫療設備都存在著一些通用的安全漏洞，其中包括過于簡單的用戶名和密碼，或者極其容易被黑客入侵的用戶界面”。

而且，這些所存在漏洞的醫療設備大多是經由醫療機構的內部網絡進行連接，但這些所謂的內部網絡同時又與互聯網相通。因此，黑客完全可以通過釣魚方式入侵醫院員工電腦，進而接入這一內部網絡進行破壞。或者，黑客可以通過將筆記本帶到醫院連接內部網絡的方式進行接入。

“這些機構中只有很少一部分設備能夠真正抵御攻擊，一旦你接入了他們的網絡你就可以掃描，并發現絕大多數已連接設備，這非常容易。”埃文補充道。

情況堪憂

據悉，埃文是在將自己的研究和其他安全顧問的研究結論加以整合后才真正意識到這一領域所存在的嚴重安全問題的。而且，這些問題所覆蓋的領域包括了心臟去顫器、藥物輸液泵、硬件密碼等諸多方面。

“我們得到了來自管理層的支持來展開這次針對醫療設備領域的調查，我們幾乎測試了所有當前環境下可能使用到的設備。”埃文表示。

在此次調查中，該團隊發現醫療機構所廣泛使用的嵌入式web服務(允許不同設備進行數據共享的一種服務)存在著巨大漏洞，

埃文認為：“許多嵌入式web服務允許設備間進行未經授權或者未加密的數據分享，因此我們可以人為改變它們所分享的醫療數據，而患者則可能因此得到錯誤的診斷或者處方藥。醫生們非常依賴于這些數據來進行判斷，而我們卻可以通過這些漏洞擅自修改數據。”

同時，這一團隊還發現了存在于存儲血液等醫療用冰箱設備中的漏洞。

“這些設備均擁有一個允許用戶進行溫度設定的網頁用戶界面，雖然這一設備會在溫度超過預設范圍的情況下向相關人員自動發送通知郵件提醒，但黑客完全可以通過破解密碼的方式關閉這一功能，并擅自更改設定溫度。”埃文說道。

而且，類似的入侵還可以被用于改變CT設備的照射強度等方面，并有可能對患者身體造成不必要的傷害。

后知后覺

報告顯示，越來越多的醫療機構最近才開始意識到自己所面臨巨大安全風險。而且，現有醫療設備在設計過程中更多的只是注重于可靠性、性能等方面的考慮，安全因素并沒有納入設計者的主要考慮范圍內。

“醫療設備提供商目前沒有任何現成的安全規劃，他們在將產品推出市場前也不需要進行類似的安全分析。”埃文表示。

去年春天，美國食品及藥物管理局(Food and Drug Administration)和國土安全部(Department Of Homeland Security)在得知大約300種醫療設備存在密碼過于簡單的問題后曾向相關醫療機構發出過類似警告，并要求它們對此進行檢查。但事實上醫療機構本身能做的并不多，他們更多的只能依賴于設備生產商來解決現有設備的問題，并在未來的醫療設備中內置更加安全的加密機制。

目前，美國食品及藥物管理局已經出臺了要求醫療設備制造廠商強制檢查出廠設備的安全性指導意見，而醫療機構也有權利要求自己的供應商全力履行這一義務。然而，許多供應商認為這樣的要求可能很難真正滿足，因為這需要他們將自己的系統重新提交給食品及藥物管理局進行申報。