EHR供應商披露安全問題 警示醫療系統軟體安全風險

AI+智慧醫療，是數字經濟時代的主要應用場景，醫療資料包含了醫、藥、人、物等多源資料，一旦被別有用心的黑客盜取，後果不堪設想。

QRS Inc.報告患者門戶被黑，飛利浦揭示TASY EMR安全漏洞，醫療系統軟體安全風險不斷暴露。軟體安全漏洞同樣需要實時檢測和修復，安全漏洞在開發階段就應該“扼殺在搖籃當中”。

最近發生的大規模黑客事件和次涉及兩家不同供應商的電子健康記錄相關產品的單獨安全漏洞披露問題，都是這些系統可能對患者受保護的健康資訊構成潛在風險的最新提醒。

總部位於田納西州的QRS公司是Paradigm實踐管理和電子健康記錄系統的供應商，10月22日向美國衛生與公眾服務部報告了一起IT黑客事件，涉及一個患者門戶伺服器，影響了近32萬個人的PHI。

與此同時，在一個單獨的開發中，醫療技術供應商飛利浦醫療保健和網路安全和基礎設施安全機構週四各自發布了關於飛利浦TASY電子醫療記錄HTML5系統(版本3.06.1803及之前)中發現的兩個SQL漏洞的安全警告。

報告稱，飛利浦EMR漏洞如果被利用，將對患者資料的機密性構成風險。

這兩起安全事件提醒人們，從網路安全形度來看，整個醫療保健系統十分脆弱。隱私與安全諮詢公司Clearwater的高階首席顧問喬治•傑克遜(George Jackson)表示。

“一個是嚴重漏洞的例子，需要及時公佈並避免被再次利用，而另一個則是被成功利用的後果。”

更讓人擔心的是，我們並不知道軟體漏洞及其脆弱性。

QRS事件回顧

在一份洩露通知宣告中，QRS指出，它為某些醫療保健提供商託管電子患者門戶，並在8月26日發現，一個攻擊者在8月23日至26日期間訪問了單個QRS專用患者門戶伺服器。QRS是實踐管理、電子健康記錄和相關醫療供應鏈軟體的最新供應商之一。

QRS表示，發現攻擊後立即將伺服器下線並開始調查，同時通知執法部門。

在此次事件中，通過調查確定攻擊者可能獲得的資料有：

患者的姓名、地址、出生日期、社會安全號碼、患者識別號碼、入口網站使用者名稱和/或醫療或診斷資訊。

該公司表示:“此次攻擊沒有涉及任何其他QRS系統，也沒有涉及QRS客戶的任何系統。”QRS稱，沒有跡象表明該事件導致了身份盜竊或欺詐。

其他黑客事件

總部位於聖安東尼奧的CaptureRx為數百家美國醫院和其他機構提供醫療保健技術和管理服務，今年5月，該公司報告了一次影響到160多萬人的入侵事件。

總部位於紐約阿默斯特的醫療管理服務提供商Practicefirst於7月1日向美國衛生與公眾服務部民權辦公室報告了一起去年年底發生的黑客入侵事件，影響了120多萬人。

飛利浦EMR漏洞

網路安全研究員在某些飛利浦TASY EMR產品中發現的兩個SQL隱碼攻擊漏洞。

Philips稱，如果SQL隱碼攻擊被利用，那麼成功的SQL隱碼攻擊可能會導致機密的患者資料被暴露或從TASY資料庫中提取。攻擊者還可能獲得未經授權的訪問TASY EMR系統或賬戶的許可權，這可能導致對資料庫的拒絕服務攻擊。

該公司表示:“目前，飛利浦還沒有收到有關利用這些漏洞或臨床使用中發生的事件的報告，我們已經能夠將這些漏洞與這個問題聯絡起來。”

飛利浦還表示，其分析顯示，這些漏洞不太可能影響臨床使用，並表示預計不會因為這個問題對患者造成危害。

Philips說:“重要的是要注意，要利用這些漏洞，攻擊者必須有有效訪問系統的許可權——會話通過有效的TASY使用者名稱和密碼驗證。”

據該公司稱，受影響的TASY產品主要部署在阿根廷、巴西、哥倫比亞、多明尼加共和國和墨西哥。將TASY EMR HTML5升級到3.06.1804或更高版本，使用最新可用的服務包，修復了這兩個漏洞。

醫療軟體系統無處不在的風險

Jackson表示，飛利浦TASY EMR中發現的漏洞型別是醫療保健軟體和裝置中的常見問題。

現如今，每家醫院都可以找到EMR，它們儲存著患者的所有資料、治療、實驗室結果、影像診斷摘要等。“醫療保健技術的飛速發展給我們所有人帶來了巨大的好處。但付出的代價是，隨著系統越來越複雜，出現意外安全漏洞的可能性也變得越來越頻繁。”

儘管此類醫療軟體系統中的安全漏洞不能直接影響患者，但通過利用漏洞更改資料很可能導致錯誤診斷和不良治療，最終引發生命危險。

另外，大多數醫療保健提供商普遍使用電子病歷系統，也帶來了各種潛在的安全和隱私風險，以及供應商安全風險管理問題。在這裡要提高對第三方軟體的安全性關注，尤其現如今多數軟體開發會引入開源元件，其中的惡意程式碼存在潛在安全風險。在軟體驗收時增加對軟體開發清單的檢查及利用 程式碼安全檢測發現漏洞並修復，不但有利於更加清晰地瞭解網路系統的安全性，而且有助於提高軟體抵禦網路攻擊能力，全面加強醫療系統網路安全。

參讀連結：

https://www.inforisktoday.com/ehr-vendors-disclosures-are-latest-security-risk-reminders-a-17855