醫療衛生方面恐怖：黑客可以遠程控制自動輸液泵

信息化，為各行各業的接入帶來了利好的影響同時，也存在著不同程度的風險與危機。當我們過度的宣傳他的便利性時，公眾往往被帶到一面倒的思維模式中去，而忘記有可能會遭到不利的影響。在智能化慢慢走入我們的生活，令我們的生活變得更加便捷容易的同時，我們不得不考慮它有可能存在的風險。

相信有部分朋友看過傑拉德·巴特勒主演的《守法公民》這部電影，本來平和的注射死刑，變成了殘酷的折磨致死，其原因只是主角遠程入侵伺服器，更改幾個數字，調換了藥品，遂使得原來預定的注射死刑，變成了極度的酷刑，致使犯人血脈暴漲折磨致死。這只是電影的一個小片段，給予我們的畫面感應該也是蠻真實的，在恐怖的畫面效果中，主角進行了復仇的第一步。

現實世界事實證明，在急性護理環境中使用的注射器輸液泵可以被黑客遠程訪問和操縱，從而影響預設程序的操作。周四時ICS-CERT發出了警告。特種醫療器械製造商史密斯醫療公司製造的Medfusion 4000無線注射器輸液泵中存在八個安全漏洞，最新暴露的漏洞（CVE-2017-12725）的CVSS威脅得分高達9.8，在設備默認配置未更改時，可以自動建立無線連接。

高危風險缺陷漏洞包括：

緩衝區溢出錯誤（CVE-2017-12718）可能會在某些情況下被目標設備用於遠程執行代碼。

如果泵配置為允許FTP連接，則缺少認證（CVE-2017-12720）。

存在用於泵的FTP伺服器的硬編碼憑證（CVE-2017-12724）。

缺乏適當的主機證書驗證（CVE-2017-12721），使泵容易受到中間人（MitM）攻擊。

其餘為中等風險漏洞，報道稱Smiths Medical計劃在2018年1月發布新版本1.6.1中對以上問題加以解決。在新版本未發布前，建議醫療機構可以採取一些防禦措施，包括為設備分配靜態IP，監測網路惡意活動，隔離安裝輸液泵，設置高強度密碼，定期備份等。

上月FDA提醒，有150萬的心臟起搏器面臨黑客威脅的恐懼。由健康技術公司Abbott生產的「Accent」、「Anthem」、「Accent MRI」、「Accent ST」、「Assure」和「Allure」六款起搏器，存在著安全隱患，需要找回。據報道召回起搏器將軟體更新還引入了數據加密，操作系統修復，禁用網路連接功能的能力，嘗試與起搏器通信的任何外部設備都需要授權。

從報道來看，還未發現黑客攻擊起搏器造成意外事件發生，但是威脅可能性已經足以使植入心臟起搏器的心臟病患者受到傷害，甚至隨時面臨付出生命的巨大風險。

通過好萊塢電影，以及現實世界的安全事件報道，足以引起我們的重視。很多潛在的危險，如患者的心臟起搏器是不允許我們有一絲馬虎的，一旦發生了危險，沒有重來一次的機會。同時作為自動輸液泵，一般都是用在特殊的急救過程中，也是事關生命的設備。信息安全帶來的威脅，是我們社會上每一個人都可能面臨的問題。

衛生醫療作為關鍵信息基礎設施的一部分，對於社會民生、國家安全以至於全民都是至關重要的，在此方面的信息安全也是國家層面給予重視。「十三五規劃」中提到把提升人的發展能力放在突出重要位置，全面提高教育、醫療衛生水平，著力增強人民科學文化和健康素質，加快建設人力資本強國。

統籌網路安全和信息化發展，完善國家網路安全保障體系，強化重要信息系統和數據資源保護，提高網路治理能力，保障國家信息安全。加強關鍵信息基礎基礎設施安全，依法建設進行網路安全等級保護工作，是《網路安全法》賦予的權力和義務，也是「十三五規劃」的重點之一。在網路安全等級測評工作方面，鼎信始終以客戶為中心，以國家法規與標準為指導，不斷提升技術與測評經驗的基礎上，為廣大用戶提供優質服務。河南省鼎信信息安全等級測評有限公司，期待與更多的新老用戶一起，為我國信息化安全事業，共同努力、共同進步！

鼎信發布，安全共築！

祝大家周末愉快！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！