从攻击设备到攻击人脑,医疗安全岌岌可危

XCon组委会 新闻 2019年7月11日发布
Favorite收藏

导语:这次分享不仅包括医疗基础设施的典型入口点,还强调了手术团队普遍使用的软件中的漏洞,这些漏洞允许攻击者访问敏感数据,甚至影响治疗程序。

99505619a01a7447b320616f0b8fc4b1.jpg

医疗安全重于泰山

《时间简史》里有这样一段话:

如果有10%的利润,黑客就保证不会消停;如果有20%的利润,黑客就会异常活跃;如果有50%的利润,黑客就会铤而走险;为了100%的利润,黑客就敢践踏一切人间法律”

这句话即便放在救死扶伤的医疗数据领域一样适用。

试想两个场景:

医生开具药房不以药品疗效为先,哪个药商给的提成高开哪个。

一家医院的信息系统遭到入侵崩溃,急诊瘫痪、手术延期,感冒发烧开不出药。

在利益驱使下,医疗早就成为了黑客虎视眈眈的一块肥肉。

医疗系统的价值其实不难理解。

首先,普通人在医疗方面的投入是不计成本的,甚至是砸锅卖铁。

而一旦医药公司掌握了患者信息,就能将其应用于定向推广,尤其针对患有疑难杂症的患者。

打个比方。

病人在医院就诊后病情不见好转,正在各路求医时,收到短信:

**医院专治**病症,治愈率高达80%

去还是不去?面对重获健康的机会,结果可想而知。

暗网中甚至有医院患者数据的明码标价。

WechatIMG83.jpeg

“在搜索引擎中随意搜索就能找到患者信息,实在令人不安”

 黑客选择窃取医疗数据还有一个重要原因——门槛低。

上文已经提过,医院的信息系统年代比较“久远”,再加上长时间处在一个比较封闭的内网环境中,而网上挂号、网上寻医这些业务的上线,将原有的、封闭的系统撕开了一道豁口,

一旦黑客入侵了这些系统,数据外流的危害不提,医院信息系统也会随之崩溃,数千病患滞留在医院中,后果可想而知。

但反观医院的网络安全部门,一来医院的信息系统年代久,更新远迭代慢,二来医院网安部门大部分都还停留在微机房层次。

攻击层面计划从设备云端到人脑

讲了这么多医疗安全的风险,来看看今天带来的Xcon2019议题。

演讲者:Denis Makrushin(丹尼斯)。

2b459c47ceb2e689404ccd4f512fe192.jpg

来自卡巴斯基实验室,两届卡巴斯基安全分析师峰会最佳演讲者。

这些年来,国内安全会议上的国外的前沿议题已经不算新奇,更不用说DEF CON China在北京已经举办过两届,各类国外大咖早就不再那么惹人眼球,观众往往更关心讲了什么,而不是讲的人,所幸我拿到了他的演讲题目和分享信息。

演讲题目:"Evolution of Attack Surface: theway from Cloud to Brain"

译文:“攻击层面进化:从设备云端到人脑”。

给大家转述一下大佬要讲什么。

医疗系统的工作原理大概是,以当前的基础设施和技术实现为基础,收集和处理有关人体参数的信息。

这套系统掌握了至关重要的信息,例如,你的身高、体重(非常重要)、血糖、血脂,甚至与病房、病床位置、病史,等等。

至于有什么风险,文章开头已经列举了一些,以下是一些实例。

图片 7981.png

往好里想,无良药厂根据病历病史对症下药,隐私被侵犯。

图片 45671.png

往坏里想,假如在手术过程中篡改患者数据,就真的会造成致命后果。 

丹尼斯要分享的是:

在日常医疗实践中使用的网络和在线管理软件的攻击性研究结果。

这次分享不仅包括医疗基础设施的典型入口点,还强调了手术团队普遍使用的软件中的漏洞,这些漏洞允许攻击者访问敏感数据,甚至影响治疗程序。

最后聊一下,安全焦点与Xcon的话题,砥砺17年的Xcon将在今年8月19日,于北京再度召开。

图片2574 1.png

议题包括刚刚分享的医疗安全,以及web安全、密码学、机器学习与人工智能等,来讲嘉宾也都来自国内外技术研究的前沿领域,除去大佬背书不说,议题本身是值得探讨与学习的。

对于中国黑客来说,安全焦点就像论文之于“中国知网”,图源之于“视觉中国”。

1998年春,“xundi”创立“安全焦点”,巅峰时期安全焦点网站用户超过15w,核心人员十数人,义务为网站工作。

但旧的事物终归会老去,留下骨骼和灵魂熠熠生辉。

现如今,安全焦点核心成员分布各大网安领域,网站站点也已关闭。

安全焦点的名字与“Xcon”信息安全技术焦点峰会紧密联系在了一起。

图片 1123.png

第一届Xcon会议保留下的原始资料页

我很喜欢展示页中一句话:

2002年12月28日,安全焦点在朋友们的支持下,在北京市郊的一处幽静的酒店拉开了第一届信息安全技术焦点峰会的序幕。

从2002年12月28日起,“Xcon”一办就是17年。

“纯粹的技术交流、前沿的技术探讨“,这些词被形形色色的会议安放到展示页里,在我看来重不过安全焦点17年的业内积累,如今的Xcon不再单单是当年那个靠朋友撑起来的交流会。

或许正如15年前硅谷动力的一篇时评中所写到的:

黑客是平凡的不能再平凡的人,但他们崇尚自由。

中国的黑客或许是缺乏环境,缺乏自由与开放的环境。

安全焦点的力量有限,但网络无限,安全焦点只希望提供这样一个环境,对自己对大家都有帮助。

最重要的是,保证队伍的纯洁性。

15年后,Xcon如今承载着安全焦点的使命,继续为大家带来最纯粹的技术分享。

最后附上2019Xcon会议信息。

时间:8月19-20日

地点:北京望京凯悦酒店

XCon 2019购票渠道:

组委会已委托北京嘶吼文化传媒有限公司旗下售票平台-嘶票为会议线上售票服务供应商。主办方将严格保护个人信息谨防泄露, 请如实填写您的注册信息,用于现场验票使用。

微信扫描下方二维码即可购票:

WechatIMG85.jpeg

XCon安全焦点信息安全技术峰会,始终致力于信息安全领域生态圈的建设,会议以前瞻性的知识与技术促进国内安全技术的发展。大批行业人才在此平台上涌现,XCon安全焦点信息安全技术峰会对全球信息安全技术探索、学术探索、人才挖掘、行业交流和国际交流起到重要推动作用。

如若转载,请注明原文地址: https://www.4hou.com/info/news/19172.html
点赞 0
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论