AI+智慧医疗,是数字经济时代的主要应用场景,医疗数据包含了医、药、人、物等多源数据,一旦被别有用心的黑客盗取,后果不堪设想。
QRS Inc.报告患者门户被黑,飞利浦揭示TASY EMR安全漏洞,医疗系统软件安全风险不断暴露。软件安全漏洞同样需要实时检测和修复,安全漏洞在开发阶段就应该“扼杀在摇篮当中”。
最近发生的大规模黑客事件和次涉及两家不同供应商的电子健康记录相关产品的多带带安全漏洞披露问题,都是这些系统可能对患者受保护的健康信息构成潜在风险的最新提醒。
总部位于田纳西州的QRS公司是Paradigm实践管理和电子健康记录系统的供应商,10月22日向美国卫生与公众服务部报告了一起IT黑客事件,涉及一个患者门户服务器,影响了近32万个人的PHI。
与此同时,在一个多带带的开发中,医疗技术供应商飞利浦医疗保健和网络安全和基础设施安全机构周四各自发布了关于飞利浦TASY电子医疗记录HTML5系统(版本3.06.1803及之前)中发现的两个SQL漏洞的安全警告。
报告称,飞利浦EMR漏洞如果被利用,将对患者数据的机密性构成风险。
这两起安全事件提醒人们,从网络安全角度来看,整个医疗保健系统十分脆弱。隐私与安全咨询公司Clearwater的高级首席顾问乔治•杰克逊(George Jackson)表示。
“一个是严重漏洞的例子,需要及时公布并避免被再次利用,而另一个则是被成功利用的后果。”
更让人担心的是,我们并不知道软件漏洞及其脆弱性。
QRS事件回顾
在一份泄露通知声明中,QRS指出,它为某些医疗保健提供商托管电子患者门户,并在8月26日发现,一个攻击者在8月23日至26日期间访问了单个QRS专用患者门户服务器。QRS是实践管理、电子健康记录和相关医疗供应链软件的最新供应商之一。
QRS表示,发现攻击后立即将服务器下线并开始调查,同时通知执法部门。
在此次事件中,通过调查确定攻击者可能获得的数据有:
患者的姓名、地址、出生日期、社会安全号码、患者识别号码、门户网站用户名和/或医疗或诊断信息。
该公司表示:“此次攻击没有涉及任何其他QRS系统,也没有涉及QRS客户的任何系统。”QRS称,没有迹象表明该事件导致了身份盗窃或欺诈。
其他黑客事件
总部位于圣安东尼奥的CaptureRx为数百家美国医院和其他机构提供医疗保健技术和管理服务,今年5月,该公司报告了一次影响到160多万人的入侵事件。
总部位于纽约阿默斯特的医疗管理服务提供商Practicefirst于7月1日向美国卫生与公众服务部民权办公室报告了一起去年年底发生的黑客入侵事件,影响了120多万人。
飞利浦EMR漏洞
网络安全研究员在某些飞利浦TASY EMR产品中发现的两个SQL注入漏洞。
Philips称,如果SQL注入攻击被利用,那么成功的SQL注入攻击可能会导致机密的患者数据被暴露或从TASY数据库中提取。攻击者还可能获得未经授权的访问TASY EMR系统或账户的权限,这可能导致对数据库的拒绝服务攻击。
该公司表示:“目前,飞利浦还没有收到有关利用这些漏洞或临床使用中发生的事件的报告,我们已经能够将这些漏洞与这个问题联系起来。”
飞利浦还表示,其分析显示,这些漏洞不太可能影响临床使用,并表示预计不会因为这个问题对患者造成危害。
Philips说:“重要的是要注意,要利用这些漏洞,攻击者必须有有效访问系统的权限——会话通过有效的TASY用户名和密码验证。”
据该公司称,受影响的TASY产品主要部署在阿根廷、巴西、哥伦比亚、多米尼加共和国和墨西哥。将TASY EMR HTML5升级到3.06.1804或更高版本,使用最新可用的服务包,修复了这两个漏洞。
医疗软件系统无处不在的风险
Jackson表示,飞利浦TASY EMR中发现的漏洞类型是医疗保健软件和设备中的常见问题。
现如今,每家医院都可以找到EMR,它们保存着患者的所有数据、治疗、实验室结果、影像诊断摘要等。“医疗保健技术的飞速发展给我们所有人带来了巨大的好处。但付出的代价是,随着系统越来越复杂,出现意外安全漏洞的可能性也变得越来越频繁。”
尽管此类医疗软件系统中的安全漏洞不能直接影响患者,但通过利用漏洞更改数据很可能导致错误诊断和不良治疗,最终引发生命危险。
另外,大多数医疗保健提供商普遍使用电子病历系统,也带来了各种潜在的安全和隐私风险,以及供应商安全风险管理问题。在这里要提高对第三方软件的安全性关注,尤其现如今多数软件开发会引入开源组件,其中的恶意代码存在潜在安全风险。在软件验收时增加对软件开发清单的检查及利用代码安全检测发现漏洞并修复,不但有利于更加清晰地了解网络系统的安全性,而且有助于提高软件抵御网络攻击能力,全面加强医疗系统网络安全。
参读链接:
www.inforisktoday.com/ehr-vendors…