美国知名科技媒体《连线》长期撰稿人吉姆·曾特(Kim Zetter)日前对现代医院医疗设备领域所面临的风险展开了一次详尽的调查。在调查中,曾特发现目前医院所使用的大多数医疗设备都存在着被黑客入侵的风险,而这一风险甚至可能会造成致命的后果。然而,许多医疗机构还是出于这样或那样的原因没有对此给予足够的重视。
以下是文章主要内容:
当我的同事斯科特·埃文(Scott Erven)被获准使用“中西部健康医疗中心”(Midwest health care facilities)大部分医疗器械的时候,他就肯定自己能够从中找到许多安全漏洞。但出乎他意料之外的是,埃文没有想到自己竟然能够找到如此之多的设备漏洞。
在这个为期两年的研究中,埃文和他的团队发现主要被用于为病患按剂量注入诸如吗啡这些药物的“药物输液泵”(drug infusion pumps)可以被远程控制以改变预先设定的输入剂量;具备蓝牙连接功能的心脏电击器可能被远程控制,并给予病患不恰当的电击次数;黑客可以通过入侵医院网络的方式访问诸如X光成像这些隐私数据,或者重置用于存储血液等医疗用冰箱的恒温设定。
除此之外,埃文和他的团队还发现别有用心的人士甚至可以在紧急时刻使医疗设备突然蓝屏、重启甚至是完全删除预先设定好的参数。
“许多医院都没有意识到他们医疗设备所面临的巨大风险,尽管已经有研究证明了这一事实,但医疗机构仍然没有对此给予足够的重视。他们没有对此展开测试,同时也没有重视起自己所面临的风险。”埃文说道。
埃文目前是负责全美100家医疗机构设备管理Essentia Health公司的信息安全主管,该公司在2012年对旗下业务所涉及医疗机构进行了一次全面调查,并允许埃文公布了部分研究数据。在埃文的报告中,他并没有指出具体哪个品牌的医疗设备存在风险,只是表示“现有广泛的医疗设备都存在着一些通用的安全漏洞,其中包括过于简单的用户名和密码,或者极其容易被黑客入侵的用户界面”。
而且,这些所存在漏洞的医疗设备大多是经由医疗机构的内部网络进行连接,但这些所谓的内部网络同时又与互联网相通。因此,黑客完全可以通过钓鱼方式入侵医院员工电脑,进而接入这一内部网络进行破坏。或者,黑客可以通过将笔记本带到医院连接内部网络的方式进行接入。
“这些机构中只有很少一部分设备能够真正抵御攻击,一旦你接入了他们的网络你就可以扫描,并发现绝大多数已连接设备,这非常容易。”埃文补充道。
情况堪忧
据悉,埃文是在将自己的研究和其他安全顾问的研究结论加以整合后才真正意识到这一领域所存在的严重安全问题的。而且,这些问题所覆盖的领域包括了心脏去颤器、药物输液泵、硬件密码等诸多方面。
“我们得到了来自管理层的支持来展开这次针对医疗设备领域的调查,我们几乎测试了所有当前环境下可能使用到的设备。”埃文表示。
在此次调查中,该团队发现医疗机构所广泛使用的嵌入式web服务(允许不同设备进行数据共享的一种服务)存在着巨大漏洞,埃文认为:“许多嵌入式web服务允许设备间进行未经授权或者未加密的数据分享,因此我们可以人为改变它们所分享的医疗数据,而患者则可能因此得到错误的诊断或者处方药。医生们非常依赖于这些数据来进行判断,而我们却可以通过这些漏洞擅自修改数据。”
同时,这一团队还发现了存在于存储血液等医疗用冰箱设备中的漏洞。
“这些设备均拥有一个允许用户进行温度设定的网页用户界面,虽然这一设备会在温度超过预设范围的情况下向相关人员自动发送通知邮件提醒,但黑客完全可以通过破解密码的方式关闭这一功能,并擅自更改设定温度。”埃文说道。
而且,类似的入侵还可以被用于改变CT设备的照射强度等方面,并有可能对患者身体造成不必要的伤害。
后知后觉报告显示,越来越多的医疗机构最近才开始意识到自己所面临巨大安全风险。而且,现有医疗设备在设计过程中更多的只是注重于可靠性、性能等方面的考虑,安全因素并没有纳入设计者的主要考虑范围内。
“医疗设备提供商目前没有任何现成的安全规划,他们在将产品推出市场前也不需要进行类似的安全分析。”埃文表示。
去年春天,美国食品及药物管理局(Food and Drug Administration)和国土安全部(Department Of Homeland Security)在得知大约300种医疗设备存在密码过于简单的问题后曾向相关医疗机构发出过类似警告,并要求它们对此进行检查。但事实上医疗机构本身能做的并不多,他们更多的只能依赖于设备生产商来解决现有设备的问题,并在未来的医疗设备中内置更加安全的加密机制。
目前,美国食品及药物管理局已经出台了要求医疗设备制造厂商强制检查出厂设备的安全性指导意见,而医疗机构也有权利要求自己的供应商全力履行这一义务。然而,许多供应商认为这样的要求可能很难真正满足,因为这需要他们将自己的系统重新提交给食品及药物管理局进行申报。
来源:腾讯科技
为你推荐
资讯 优赫得在华获批为首个用于既往在转移性疾病阶段经一种或一种以上内分泌治疗进展的HER2低表达或超低表达乳腺癌患者的HER2靶向疗法
基于DESTINY-Breast06 III期试验结果:德曲妥珠单抗相较化疗展现出显著优势,中位无进展生存期超过一年
2025-12-26 17:12
资讯 ADC 创新药新锐翎泰天润完成近亿元 Pre-A 轮融资,加速自免与肿瘤领域临床突破
本轮融资由磐霖资本与杏泽资本联合领投,天使轮股东骊宸元鼎、联想之星持续加注,资金将重点用于核心产品 2026 年临床试验推进及多适应症管线布局拓展。
2025-12-26 17:08
资讯 血霁生物完成过亿元B1轮股权融资首关和过亿元债权融资
本轮融资将加速推进其核心管线临床试验与全球化布局,为解决临床血源短缺、血液传播疾病等痛点注入强劲动力,标志着中国体外造血技术商业化进入关键阶段。
2025-12-26 17:03
资讯 浙江将首版商保创新药目录19个品种全部纳入“双通道”范围
12月25日,浙江省医保局发布2026年该省纳入“双通道”管理药品名单,除最新国谈药品及2025年纳入“双通道”药品调整外,浙江将首次商保创新药目录中的19个药品全部纳入。
2025-12-26 14:33
资讯 自2026年5月1日起施行,《医疗器械出口销售证明管理规定》发布
本规定自2026年5月1日起施行。2015年6月1日原国家食品药品监督管理总局《关于发布医疗器械产品出口销售证明管理规定的通告》(2015年第18号)同时废止。
2025-12-26 13:45
资讯 天津医科大学总医院原党委书记张建宁正接受纪律审查和监察调查
中央纪委国家监委网站讯,据天津市纪委监委消息:天津医科大学总医院原党委书记张建宁涉嫌严重违纪违法,目前正接受天津市纪委监委纪律审查和监察调查。
2025-12-26 10:33
资讯 医学生物医药领域《鼓励外商投资产业目录》2025年版与2022年版对比
近日,经国务院同意,国家发展改革委、商务部公开发布了《鼓励外商投资产业目录(2025年版)》,这是时隔3年后更新该目录。
2025-12-25 16:49
资讯 施伟伟教授:2025年肺癌内科治疗进展盘点
2025年小细胞肺癌(SCLC)因 Tarlatamab 双抗与芦比替定前移而迎来新生;非小细胞肺癌(NSCLC)在EGFR耐药、围手术期免疫、HER2 和 ROS1 TKI精准治疗以及脑转移关注上都有...
2025-12-25 14:19
资讯 国产肿瘤电场治疗仪获批上市,用于治疗脑胶质瘤
12月24日,国家药品监督管理局正式批准湖南安泰康成生物科技有限公司的肿瘤电场治疗仪注册申请(国械注准20253092649)
2025-12-25 14:14
资讯 注射用德曲妥珠单抗(优赫得)中国获批第五项适应症
今日,第一三共宣布,优赫得(注射用德曲妥珠单抗)在中国获批,用于治疗既往在转移性疾病阶段经一种或一种以上内分泌治疗进展的,不可切除或转移性激素受体(HR)阳性、HER2低...
2025-12-25 13:32
资讯 国家免疫规划双价HPV疫苗集中采购入围单价27.5 元
近日,万泰生物和沃森医药相继发布公告,其二价HPV疫苗入围 2025 年国家免疫规划疫苗集中采购项目—双价人乳头瘤病毒疫苗采购项目,入围单价为人民币 27 5 元。
2025-12-24 11:13
资讯 原发性胆汁性胆管炎治疗药物Seladelpar在海南博鳌乐城获批
适用于与熊去氧胆酸(UDCA)联合治疗对UDCA单药应答不佳的PBC成人患者,或作为单药用于治疗无法耐受UDCA的PBC成人患者
2025-12-23 17:51
资讯 第六批国家耗材集采启动
12月22日,国家组织高值医用耗材联合采购办公室发布《国家组织药物涂层球囊类、泌尿介入类医用耗材集中带量采购文件(GH-HD2025-1)》,正式启动第六批耗材集采,本次采购周期自...
2025-12-23 17:43
资讯 《互联网药品医疗器械信息服务备案管理规定》正式发布
提供互联网药品医疗器械信息服务的网站、客户端、应用程序,其首页或者主页面的显著位置应当持续公示互联网药品医疗器械信息服务备案编号。
2025-12-23 16:32
资讯 复星医药关于收购绿谷医药回复上交所监管工作函的详细内容
近日,复星医药收到上海证券交易所下发的《关于上海复星医药(集团)股份有限公司对外投资事项的监管工作函》(上证公函[2025]4038 号),经本公司核查,就有关情况回复如下。
2025-12-23 11:16