近 50 萬個心律調節器因資安漏洞,被美國FDA 要求召回

美國食品藥物管理局 (FDA) 最近針對 465,000 個據報含有安全漏洞的植入式心律調節器發出一項公告。廠商召回這些採用無線射頻 (RF) 通訊技術的裝置以更新韌體,藉此修補安全漏洞。

根據美國工業控制系統網路緊急應變小組 (ICS-CERT) 指出,這些漏洞「可能讓附近的網路駭客連上心律調節器並下達操作指令、變更設定,或者干擾心律調節器的功能。」駭客可利用這些漏洞來突破或繞過心律調節器的安全認證機制,進而經由無線射頻下達操作指令,或者將未經加密的病患資訊傳送給程式設計師或家用監視器。此外,經由這些漏洞,駭客還可修改心律調節器的設定,或者將裝置電池耗盡等等。

隨著連網醫療裝置日益普及,類似這樣的案例將越來越多。9 月 7 日,ICS-CERT 也發出了一份類似的公告,這一次,受影響的是某全球品牌的無線輸液幫浦,其幫浦廣泛應用在加護病房 (如:新生嬰兒及兒童加護病房)。藉由裝置的漏洞,「遠端駭客就能連線進入裝置,然後干擾幫浦的運作。」這些漏洞的發生原因不外乎:緩衝區溢位、韌體中寫死的無線通訊密碼,以及憑證驗證與存取控管機制不良。 

今日醫療機構越來越仰賴網路平台來提供醫療服務並執行關鍵的作業。同樣地,駭客也越來越潛心鑽研醫療用網路的安全漏洞,為自己開拓更多財源。最近,紐約阿伯尼 (Albany) 發生了一起疑似駭客攻擊,突顯了相關事件的危險性,駭客癱瘓了斯凱勒郡 (Schuyler County) 的 911 緊急事件報案系統。報導指出駭客一直嘗試各種不同的密碼,直到成功進入系統為止,手法有點類似暴力破解或使用密碼字典的攻擊手法。一旦網路遭到入侵,駭客就可能進一步竊取敏感或營運關鍵資訊,以及個人身分資料。

由此可見,防範駭客入侵已經成為醫療機構生存的重要條件之一。從 2017 上半年的資料可看到,駭客攻擊 (及惡意程式攻擊) 已經成為美國資料外洩的首要原因。非營利機構 Privacy Rights Clearinghouse (隱私權情報交換所) 從 2017 年 1 月至 8 月已經記載了 195 起資料外洩事件。

針對當前情勢,醫療機構應主動建置整合式多層防護,避免駭客經由網路竊取醫院資料或者入侵醫療裝置,保障病患的隱私權和安全。此外,醫療機構也應主動評估這類事件的可能衝擊,預先規劃好適當的應變及矯正作法。

心律調節器的製造廠商,目前除了釋出韌體更新之外,也正與關政府機關、全球法規機構以及資安專家密切聯繫來「強化其裝置安全,以防範未經授權的存取。」此外,前述案例當中的無線輸液幫浦製造商也正努力準備釋出安全更新。ICS-CERT 推薦大家應建置網路流量監控與記錄措施,並且藉由網路分割資料分類來進一步降低資料外洩的風險。

趨勢科技解決方案

趨勢科技專為醫療機構設計的套裝產品是採用 XGen™ 為基礎,不但能提升安全性,又能滿足法規遵循需求,防範醫療裝置和一些老舊平台遭到漏洞攻擊,並且發掘進階惡意程式與可疑網路活動。趨勢科技的 Network Defense  網路防禦和 Hybrid Cloud Security 混合雲防護採用趨勢科技 趨勢科技Deep Security來發掘及攔截針對性攻擊/鎖定目標攻擊(Targeted attack )與進階威脅,避免威脅在網路內流竄。趨勢科技的趨勢科技Smart Protection Suites 智慧型防護套裝軟體內建資料外洩防護功能,可輕鬆快速管理敏感資訊,防止資料經由端點裝置、軟體服務 (SaaS) 應用程式、郵件訊息、雲端儲存或網站閘道等管道外洩。

 

資料來源:465K Pacemakers, Syringe Infusion Pumps Vulnerable to Hacking