资讯专栏INFORMATION COLUMN

EHR供应商披露安全问题 警示医疗系统软件安全风险

zhjx922 / 3108人阅读

摘要:报告患者门户被黑,飞利浦揭示安全漏洞,医疗系统软件安全风险不断暴露。与此同时,在一个多带带的开发中,医疗技术供应商飞利浦医疗保健和网络安全和基础设施安全机构周四各自发布了关于飞利浦电子医疗记录系统版本及之前中发现的两个漏洞的安全警告。

AI+智慧医疗,是数字经济时代的主要应用场景,医疗数据包含了医、药、人、物等多源数据,一旦被别有用心的黑客盗取,后果不堪设想。

QRS Inc.报告患者门户被黑,飞利浦揭示TASY EMR安全漏洞,医疗系统软件安全风险不断暴露。软件安全漏洞同样需要实时检测和修复,安全漏洞在开发阶段就应该“扼杀在摇篮当中”。

最近发生的大规模黑客事件和次涉及两家不同供应商的电子健康记录相关产品的多带带安全漏洞披露问题,都是这些系统可能对患者受保护的健康信息构成潜在风险的最新提醒。

总部位于田纳西州的QRS公司是Paradigm实践管理和电子健康记录系统的供应商,10月22日向美国卫生与公众服务部报告了一起IT黑客事件,涉及一个患者门户服务器,影响了近32万个人的PHI。

与此同时,在一个多带带的开发中,医疗技术供应商飞利浦医疗保健和网络安全和基础设施安全机构周四各自发布了关于飞利浦TASY电子医疗记录HTML5系统(版本3.06.1803及之前)中发现的两个SQL漏洞的安全警告。

报告称,飞利浦EMR漏洞如果被利用,将对患者数据的机密性构成风险。

这两起安全事件提醒人们,从网络安全角度来看,整个医疗保健系统十分脆弱。隐私与安全咨询公司Clearwater的高级首席顾问乔治•杰克逊(George Jackson)表示。

“一个是严重漏洞的例子,需要及时公布并避免被再次利用,而另一个则是被成功利用的后果。”

更让人担心的是,我们并不知道软件漏洞及其脆弱性。

QRS事件回顾

在一份泄露通知声明中,QRS指出,它为某些医疗保健提供商托管电子患者门户,并在8月26日发现,一个攻击者在8月23日至26日期间访问了单个QRS专用患者门户服务器。QRS是实践管理、电子健康记录和相关医疗供应链软件的最新供应商之一。

QRS表示,发现攻击后立即将服务器下线并开始调查,同时通知执法部门。

在此次事件中,通过调查确定攻击者可能获得的数据有:

患者的姓名、地址、出生日期、社会安全号码、患者识别号码、门户网站用户名和/或医疗或诊断信息。

该公司表示:“此次攻击没有涉及任何其他QRS系统,也没有涉及QRS客户的任何系统。”QRS称,没有迹象表明该事件导致了身份盗窃或欺诈。

其他黑客事件

总部位于圣安东尼奥的CaptureRx为数百家美国医院和其他机构提供医疗保健技术和管理服务,今年5月,该公司报告了一次影响到160多万人的入侵事件。

总部位于纽约阿默斯特的医疗管理服务提供商Practicefirst于7月1日向美国卫生与公众服务部民权办公室报告了一起去年年底发生的黑客入侵事件,影响了120多万人。

飞利浦EMR漏洞

网络安全研究员在某些飞利浦TASY EMR产品中发现的两个SQL注入漏洞。

Philips称,如果SQL注入攻击被利用,那么成功的SQL注入攻击可能会导致机密的患者数据被暴露或从TASY数据库中提取。攻击者还可能获得未经授权的访问TASY EMR系统或账户的权限,这可能导致对数据库的拒绝服务攻击。

该公司表示:“目前,飞利浦还没有收到有关利用这些漏洞或临床使用中发生的事件的报告,我们已经能够将这些漏洞与这个问题联系起来。”

飞利浦还表示,其分析显示,这些漏洞不太可能影响临床使用,并表示预计不会因为这个问题对患者造成危害。

Philips说:“重要的是要注意,要利用这些漏洞,攻击者必须有有效访问系统的权限——会话通过有效的TASY用户名和密码验证。”

据该公司称,受影响的TASY产品主要部署在阿根廷、巴西、哥伦比亚、多米尼加共和国和墨西哥。将TASY EMR HTML5升级到3.06.1804或更高版本,使用最新可用的服务包,修复了这两个漏洞。

医疗软件系统无处不在的风险

Jackson表示,飞利浦TASY EMR中发现的漏洞类型是医疗保健软件和设备中的常见问题。

现如今,每家医院都可以找到EMR,它们保存着患者的所有数据、治疗、实验室结果、影像诊断摘要等。“医疗保健技术的飞速发展给我们所有人带来了巨大的好处。但付出的代价是,随着系统越来越复杂,出现意外安全漏洞的可能性也变得越来越频繁。”

尽管此类医疗软件系统中的安全漏洞不能直接影响患者,但通过利用漏洞更改数据很可能导致错误诊断和不良治疗,最终引发生命危险。

另外,大多数医疗保健提供商普遍使用电子病历系统,也带来了各种潜在的安全和隐私风险,以及供应商安全风险管理问题。在这里要提高对第三方软件的安全性关注,尤其现如今多数软件开发会引入开源组件,其中的恶意代码存在潜在安全风险。在软件验收时增加对软件开发清单的检查及利用代码安全检测发现漏洞并修复,不但有利于更加清晰地了解网络系统的安全性,而且有助于提高软件抵御网络攻击能力,全面加强医疗系统网络安全。

参读链接:

www.inforisktoday.com/ehr-vendors…

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/122934.html

相关文章

  • 联合健康中心遭勒索软件攻击 Vice Society团伙泄露其敏感数据

    摘要:勒索软件团伙泄露了一些文件,这些文件据称是威胁分子在月份的袭击中从联合健康中心窃取的。美国国家标准与技术局国家漏洞数据库数据显示,以上的网络安全问题是由软件自身的安全漏洞被利用导致。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px;overflow-x:hidden;c...

    hosition 评论0 收藏0
  • 盘点云计算2018:我国在追赶安全和赢利成未来重心

    摘要:云海巨大众企业纷至沓来,截至目前,已有家企业获得我国工信部颁发的互联网资源协作云服务牌照。此外,云安全问题和风险管理形势日益严峻。未来,合规经营上云安全实现赢利,当成为云企业未来发展的重心。 如果说过去几年我国的云市场属于发展初期的观望阶段,那么2018年则属于云与各垂直行业深度结合的过渡期。无论从政策监管还是客户认可度上,对于推动企业上云都显示极大的利好。8月10日,在工信部印发的《...

    zhisheng 评论0 收藏0
  • Nagios披露11个安全漏洞 严重可致黑客接管IT基础设施

    摘要:网络管理系统需要广泛的信任和对网络组件的访问,以便正确监控网络行为和性能是否出现故障和效率低下,称。今年月早些时候,披露了网络监控应用程序中的个安全漏洞,这些漏洞可能被攻击者滥用,在没有任何运营商干预的情况下劫持基础设施。 .markdown-body{word-break:break-word;line-height:1.75;font-weight:400;font-size:15px...

    pkwenda 评论0 收藏0
  • 你的数据中心网络保险够了吗?

    摘要:随着企业的相互联系越来越紧密,数据中心的网络保险不仅成为一个优先事项,它也成为一种最佳实践。一些专家们甚至认为未来数据中心的网络保险应该是强制性的。当然,企业不能仅仅因为其数据中心拥有网络保险而放松警惕。随着企业的相互联系越来越紧密,数据中心的网络保险不仅成为一个优先事项,它也成为一种最佳实践。一些专家们甚至认为未来数据中心的网络保险应该是强制性的。但网络保险成本越来越昂贵,数据中心运营商应...

    kaka 评论0 收藏0
  • 深度学习:远非人工智能的全部和未来

    摘要:绝大多数人忽略了深度学习只占机器学习领域的,而机器学习又只占到了人工智能领域的。一个深度学习专家无法与人工智能专家划上等号。但是,深度学习并不是人类可以创造的人工智能科技的终点。深度学习的公正性并非来自其自身,而是人类筛选和准备的数据。 人工智能的这一波热潮毫无疑问是由深度学习引发的,自吴恩达等人 2011 年发表「识别猫」研究后,深度学习及其引发的技术已经在图像识别、游戏等任务中超越人类,...

    hedzr 评论0 收藏0

发表评论

0条评论

最新活动
阅读需要支付1元查看
<