知名反詐騙網絡安全公司TrapX發現了醫療領域一個新近流行的攻擊手段，可以將這類攻擊手段稱為醫療劫持，或者MEDIJACK。攻擊主要體現在黑客通過滲透進入未打補丁或者老舊的醫療設備系統，從而做更多壞事。

　　醫療數據泄露的禍首

大家可能還記得Anthem和CareFirst那兩次數據泄露事故，仔細算來今年醫療行業已經經歷了大量的類似事件，漏洞百出的醫療網絡廣受詬病。但是，卻尚沒有報道能指出，其實醫療設備上存在的安全隱患才是這些數據泄露事故的源頭。倘若不加以遏制，這類事件以后還可能繼續發生。

Trapx公司發現，其實大多數醫療組織的機器設備及網絡都存在漏洞，無法保證沒有MEDIJACK攻擊發生過。醫療系統的主干網絡被滲透，很可能是因為醫療設備老舊，或者系統沒打補丁。如血液分析儀和X光掃描儀等設備連上外網后，黑客會在設備種下后門。

Trapx的總經理Carl Wright寫了一封郵件給SCMagazine：

“我們的研究人員發現，黑客通過設定多種攻擊模式，可以制造出專門針對特殊的醫療設備的攻擊手段。結合醫療診斷和補救的難度，以及設備里面儲存的高價值醫療數據來看，醫療設備是黑客們近乎完美的獵物。”

對設備供應商和醫療組織的思考

TrapX剖析研究了他們發現的各種案例，他們發現大多數醫院其實都使用了強悍的防火墻和完美的安全解決方案來輔助IT部門工作。但諷刺的是，最重要的醫療設備的安全卻無人問津。

通常情況下，醫療設備一旦運行后，連續奮戰很多天都不會關閉。這種情況就導致即使是專業檢測人員，也不能全面檢查設備操作系統的安全。

“每一場因為外網攻擊導致設備遭受病毒感染的事件，在美國都是很嚴重的事故。這些事件會被醫療機構歸類為HIPAA(健康保險攜帶和責任)的安全事故。鑒于當今環境下，病人的數據很容易受到黑客的威脅，醫療設備制造商需要推廣他們遏制風險的策略，以便阻止數據泄露的發生，這樣醫院才能更好更安全地為病人服務。”

Wright建議，這些受MEDIJACK風險威脅的醫療組織，應該設計出更好的安全策略。此外，專業安全人員必須盡力取得設備供應商的支持，共同來抵御這類攻擊。每臺設備的生命周期也應該做好標準化，供應商自己也需要確認是否要給設備使用數字簽名軟件，更換新設備的頻率也是個要引起重視的問題。