暗網潛航——公共醫療系統的安全風險

  最近很多人討論香港的公共醫療系統信息安全問題,不單止權責及私隱管理不善,可能令病人私隱洩露,如果發生醫療系統安全事故,更有機會直接影響市民的生命。

        在完善的醫療系統下,醫護人員當然重要,事實上,全球不少公共醫療系統都出現「外行管理內行」的情況,連醫院內的 IT 運維管理系統都未必由信息安全專家管理,很可能由醫科出身的管理人員去做決定,不過這些有決定權的高層,信息安全意識到底達到哪一個水平呢?

        過去十多年世界各地公共醫療系統一直進步,當中不止涉及病人資料登記,並包括配備Wi-Fi網絡的心臟起搏器、使用藍牙連接的胰島素注射機等物聯網醫療設備,也引起黑客的注意。在這段時間,也有過千宗案例是由於醫療系統營運和信息安全管理不善,而引致人命傷亡甚至延誤診治。

        例如二○一七年聲名大噪的勒索軟件WannaCry,曾經令英國救護車服務系統全線癱瘓,連香港、美國及以色列都有大量醫院也被勒索軟件封鎖。歸根究柢,是因為醫院沒有為系統持續安全性更新。

        至於配備Wi-Fi網絡的心臟起搏器,廠商竟然沒有使用已加密的Wi-Fi設定,在2016年拉斯維加斯電腦安全大會上,被公開展示如何遭破解及遙控;同年,強生(Johnson & Johnson)的胰島素注射器由於使用最簡單的藍牙默認密碼(0000 、1234),最終也被展示如何使用手機破解及強制遙控。

        上周知名醫材廠商Becton,Dickinson and Company(BD)生產的 Alaris 閘道工作站,被發現有安全漏洞,能讓黑客直接關閉輸液幫浦裝置及安裝山寨版韌體更新,竄改藥物的劑量或輸液速度,或會嚴重影響病人病情。

        上述的醫療系統風險,與今次香港醫院因系統權限及私隱所產生的問題,其實只是冰山一角。如果監管機構不認真看待問題,進而教育公共醫療機構管理層信息安全及管理的正確觀念和方法,有一天或會出現人命傷亡,就為時已晚了。

TOZ聯合創辦人

龐博文


hd