為了延長人類壽命、增進人類福祉,醫療科技隨時都在創新突破,提供最先進的醫療服務和治療方法。正如許多其他產業一樣,工業物聯網(IIoT) 正迅速帶動醫療及醫藥界網路與資訊基礎架構的轉型。隨著 IIoT 的導入,醫療資料及資訊的存取更加便利且隨手可得,隨時都能監控病患的最新狀態,即時分享最新的治療進展。
然而,IIoT 的快速普及,也並非全無風險。醫療相關單位首先必須了解 IIoT 若未建置妥當將帶來什麼樣的危險。在水、電、瓦斯等公共事業領域,IIoT 的威脅很可能造成連鎖效應,波及廣大民生用戶。
在醫療界,這類風險也許可以大幅降低,但後果卻同樣會危及生命安全。
繼續閱讀美國食品藥物管理局(FDA) 對病患、醫療專家及其他相關業者就11種可能危害醫療裝置及醫院網路的漏洞發出了警報。這組漏洞被稱為 URGENT / 11,是在有超過十年歷史的第三方軟體組件IPnet內發現。
URGENT/11包括了六個可遠端執行程式碼(RCE)的嚴重漏洞,另外五個分類為分散式阻斷服務攻擊 (DDoS)和邏輯漏洞。阻斷服務攻擊和邏輯漏洞可能會導致裝置無法運作,而RCE漏洞能夠讓駭客遠端控制有問題的醫療裝置。
這些攻擊因為IPnet支援電腦間網路通訊而變成可能。儘管原始廠商已經不再支援IPnet,但仍有取得授權的製造商可以在不支援的情況下將軟體組件整合進裝置。也因此,這套軟體已經進入了各種醫療裝置或所使用的軟體應用程式。最嚴重的是,IPnet也被用於醫療產業即時作業系統(RTOS),這類系統因為可以即時回應事件而被用來提昇醫療裝置的效能和準確性。
繼續閱讀呼叫器是醫療機構維持院內通訊的一項重要工具,如此可以避免使用一些可能干擾重要儀器運作的技術,例如手機。但一起加拿大呼叫器系統洩漏病患個資事件告訴我們,呼叫器顯然並不安全。
非營利組織「開放隱私研究學會」(Open Privacy Research Society) 最近發布一份新聞稿指出,加拿大溫格華地區發生醫院呼叫器系統洩漏病患私密醫療資訊與個人身分識別資訊 (PII) 的情況。該學會表示,這些資料在傳輸時並未加密,因此很可能被歹徒所攔截。這引起了加拿大隱私專員公署 (Office of the Privacy Commissioner) 的注意並著手進行調查。
這起事件所外洩的病患資料包括:姓名、年齡、性別、診斷記錄、主治醫師以及病房號碼。開放隱私研究學會已將這些外洩的資訊與可公開取得的訃聞進行交叉比對,試圖了解這些外洩資訊是否為病患的真實資訊。
繼續閱讀
關於供應鏈資訊安全的討論,絕大部分重點都擺在如何偵測資料遭到竄改、如何防範後門程式,以及如何防範軟體和元件被植入不肖內容。不過現在卻出現了另一個可能比資料竄改更嚴重的問題:歹徒因貪婪而對裝置造假所衍生的資安問題。所謂假冒裝置是指與您購買時認知不符的裝置,或是經過刻意竄改讓舊款或不同款裝置變成更高價款式的裝置。這就好像偽鈔或面額差了一個零的鈔票一樣,全都不符您的期待。歹徒造假的動機當然是因為貪婪,但這卻很可能引發資安問題。
去年,趨勢科技針對醫療裝置市場的資安情況進行了一番研究。目前,合法的二手醫療裝置市場相當活絡。當然,新款的裝置價格肯定比舊款高。而醫療產業廣泛推行一種裝置通用條碼的制度,也就是獨一無二的裝置識別碼 (UDI),這讓裝置在資產盤點時相當方便,很容易追溯裝置擁有者以及相關資訊 (例如所在地點)。此外,UDI也是資安作業上的一項方便工具,可追蹤裝置的修補記錄。例如,假設某裝置的 UDI 顯示該裝置是 XYZ 廠牌 2014 年款式的監測裝置,那我們就可以確定它已經套用了最新的修補。
繼續閱讀