一名來自卡巴斯基實驗室全球研究和分析團隊（GReAT）的專家對一家私人診所進行了實地調(diào)查，目的是查找其是否存在安全漏洞，并且了解如何解決這些安全問題。經(jīng)過調(diào)查，安全專家發(fā)現(xiàn)醫(yī)療設(shè)備中存在漏洞，這種漏洞開啟的一道門，能夠讓網(wǎng)絡(luò)罪犯訪問病人的個人數(shù)據(jù)，還可以了解病人的身體健康情況。當今的診所是一個復雜的系統(tǒng)。診所中有大量復雜的醫(yī)療設(shè)備，這些設(shè)備依賴于安裝了操作系統(tǒng)和應用程序的功能完善的計算機，而且所有的信息都以數(shù)字格式存儲在計算機上。此外，醫(yī)療技術(shù)都連接著互聯(lián)網(wǎng)。所以，不管是醫(yī)療設(shè)備還是醫(yī)院的IT基礎(chǔ)設(shè)施，毫無疑問之前都遭受過黑客的攻擊。例如，最近一些美國和加拿大的醫(yī)院就遭受到勒索軟件的攻擊。但是，大規(guī)模的惡意攻擊只是網(wǎng)絡(luò)罪犯利用現(xiàn)代醫(yī)院IT基礎(chǔ)設(shè)施實施犯罪的一種手段。

診所通常都保存著大量關(guān)于病人的個人信息。診所還擁有和使用很多非常昂貴，并且很難修復和替換的設(shè)備，所以這些醫(yī)療設(shè)施很容易成為數(shù)據(jù)盜竊的潛在目標。

針對醫(yī)療機構(gòu)的網(wǎng)絡(luò)攻擊一旦成功，造成的具體結(jié)果可能會不同，但一定非常危險。其危害包括以下方面：

濫用病毒的個人數(shù)據(jù)：將這些數(shù)據(jù)銷售給第三方，或者要求診所支付贖金，才能拿回關(guān)于病人的敏感信息；

故意偽造病人的治療和診斷結(jié)果；

損壞醫(yī)療設(shè)備，給病人造成身體上的傷害，同時給診所造成巨大的經(jīng)濟損失；

診所的信譽遭受負面影響。

卡巴斯基實驗室專家在進行研究時，首先研究的課題是了解全球有多少醫(yī)療設(shè)備連接著互聯(lián)網(wǎng)。當今的醫(yī)療設(shè)備都配備了安裝操作系統(tǒng)的功能全面的計算機，而且大多數(shù)計算機都能夠同互聯(lián)網(wǎng)進行通訊。通過入侵這些計算機，網(wǎng)絡(luò)罪犯可以對醫(yī)療設(shè)備的功能進行干預。

稍微查看一下Shodan互聯(lián)網(wǎng)設(shè)備搜索引擎，就能發(fā)現(xiàn)數(shù)百臺聯(lián)網(wǎng)的設(shè)備，其中有核磁共振掃描儀、心臟診斷設(shè)備、放射性醫(yī)療設(shè)備以及其它相關(guān)設(shè)備，都可以通過網(wǎng)絡(luò)掃描到。這些發(fā)現(xiàn)讓我們感到非常擔憂，因為很多設(shè)備仍然使用古老的操作系統(tǒng)如Windows XP，其中還包含未被修補的漏洞，有些設(shè)備甚至使用的是默認密碼，這些密碼很容易通過公開的使用手冊找到,利用這些漏洞，網(wǎng)絡(luò)罪犯可以訪問設(shè)備的界面，甚至可以影響設(shè)備的工作。

上面介紹了網(wǎng)絡(luò)罪犯訪問診所基礎(chǔ)設(shè)施的一種手段。但是，最顯而易見，同時也是最符合邏輯的攻擊手段是對診所的局域網(wǎng)進行攻擊。實際操作中，我們發(fā)現(xiàn)診所Wi-Fi連接中存在的漏洞。利用這種強度較低的通訊協(xié)議漏洞，我們獲取到診所的局域網(wǎng)訪問權(quán)限。

對診所的局域網(wǎng)進行研究時，卡巴斯基實驗室的專家發(fā)現(xiàn)了多臺之前曾經(jīng)在Shodan上發(fā)現(xiàn)的醫(yī)療設(shè)備。只是這次要訪問這些設(shè)備，我們根本不需要任何密碼，因為對醫(yī)療設(shè)備應用和用戶來說，局域網(wǎng)是受信任的網(wǎng)絡(luò)。通過這種手段，網(wǎng)絡(luò)罪犯就可以訪問醫(yī)療設(shè)備。

進一步對局域網(wǎng)絡(luò)進行探索時，卡巴斯基實驗室專家發(fā)現(xiàn)有一種醫(yī)療設(shè)備的應用程序存在漏洞。只需要在用戶界面中執(zhí)行command shell，就可以讓網(wǎng)絡(luò)罪犯訪問病人的個人信息，包括病人的病歷以及醫(yī)療分析信息，還包括病人的家庭住址和身份證件詳情。不僅如此，利用這一漏洞，還能夠完全控制該應用程序適用的設(shè)備。例如，這些設(shè)備可能包括磁共振掃描儀、心臟診療設(shè)備、放射性醫(yī)療設(shè)備和手術(shù)設(shè)備。網(wǎng)絡(luò)罪犯可以修改這些設(shè)備的工作方式，給病人造成身體傷害。不僅如此，網(wǎng)絡(luò)罪犯還可以損壞設(shè)備，給醫(yī)院造成巨大的損失。

卡巴斯基實驗室全球研究和分析團隊高級研究員Sergey Lozhkin說:“診所并不是只有醫(yī)生和醫(yī)療設(shè)備，還有各種IT服務。診所的內(nèi)部安全服務工作關(guān)系到病人數(shù)據(jù)的安全以及醫(yī)療設(shè)備的正常工作。醫(yī)療軟件開發(fā)者和設(shè)備工程人員在制造這些能夠拯救和保護人類性命的醫(yī)療設(shè)備時傾注了很多心血，但是，他們有時候會完全忘記保護這些設(shè)備，避免其未經(jīng)授權(quán)通過外部進行訪問。在開發(fā)新技術(shù)時，應當在最初的研發(fā)階段（R&D）就充分考慮安全問題。IT安全公司能夠在這一階段，幫助開發(fā)者解決相關(guān)安全問題.”

卡巴斯基實驗室專家建議診所采取以下安全措施，避免他人未經(jīng)授權(quán)訪問醫(yī)院基礎(chǔ)設(shè)施：

使用高強度密碼保護所有的外部接入點；

升級IT安全策略，及時進行漏洞修補管理和漏洞評估工作；

利用密碼保護局域網(wǎng)中的醫(yī)療設(shè)備應用程序，避免網(wǎng)絡(luò)罪犯通過受信任區(qū)域未經(jīng)授權(quán)訪問這些設(shè)備；

利用可靠的安全解決方案保護基礎(chǔ)設(shè)施，抵御惡意軟件和黑客攻擊等威脅；

對重要信息進行定期備份，保存一份離線的備份文件。