今年6月披露的Ripple20漏洞,几乎波及整个物联网:从打印机,输液泵、胰岛素泵、智能家居,到ICS工控设备……几乎全部“中招”。这样的风险不容回避,行业、医疗保健提供方、监管机构应该如何应对?
今年6月,业界知名的以色列信息安全顾问公司JSOF披露,在Treck公司开发的嵌入式TCP/IP协议栈中,发现19个漏洞,其中4个极其重要。JSOF公司将这些漏洞称为Ripple20。由于Treck公司的产品被很多客户采用,从HP、Schneider Electric、Intel、Rockwell Automation、Caterpillar、Baxter,全球可能多达数十亿计,甚至更多的连网装置会受到波及。Treck公司在上世纪90年代曾与日本Elmic Systems公司(后更名为Zuken Elmic)合作,由双方共同开发嵌入式TCP/IP函式库。亚洲市场由Zuken Elmic公司主导,而JSOF公司这次发现的漏洞中,有部份也存在于Zuken Elmic所出售的TCP/IP协议栈中。
知己知彼?
在医疗器械中广泛使用第三方软件,如果对这些软件了解不足,会使患者容易受到网络安全威胁的困扰。在应对COVID-19大流行的当下,这个由来已久的问题显得更加迫切:远程医疗与远程患者监护的运用出现指数化增长,但在看到增长的同时,也应该注意到,相关的风险也随之上升。监管机构、业界专家警告,如果对器械中的基本组件没有清楚的了解,医院与其它医疗保健提供方就无法有效地保护器械免受攻击。但总部位于休斯敦的Velentium公司的首席安全架构师Chris Gates先生表示,很多器械生产商与用户,通常并不了解相关器械是否会受到新发现的漏洞的影响。
对这样的风险,绝不能等闲视之。上个月,研究人员从Baxter和B. Braun输液泵使用的第三方软件供应商Treck的一个使用广泛的TCP/IP函式库中发现漏洞。黑客可以通过这样的漏洞,远程控制设备、更改给药剂量。Baxter公司认为,按照FDA的网络安全保障指南,相关的漏洞属于低风险或“受控”威胁。而B. Braun公司表示,正在努力为易受攻击的源代码打补丁。
亡羊补牢,未为晚矣
根据美国商务部国家通信与信息管理局(National Telecommunications and Information Administration,NTIA)的说法,虽然大多数设备软件(包括模块与函式库),都没有已知的Ripple20漏洞,但是某些产品附带的易受攻击或过时的组件,可能永远不会更新。
为了解决相关问题,NTIA于2018年7月就发起了一项有多个利益攸关方参与的计划,旨在通过标准化共享数据的流程,来提高跨多个行业(包括医疗技术行业)的软件组件透明度,以便用户可以更好地了解相关网络上的确切运行情况。
NTIA网络安全保障计划主任Allan Friedman博士在接受医药领域专业媒体采访时表示 “软件是由较小的软件模块构建而成的”,但是,对于供应链来讲,软件的可见性很小,从安全角度来看,这是成问题的。
在征询医疗技术行业的建议和意见后,NTIA于2019年11月发布了第一套由利益攸关方起草的文件,旨在为拟采用的软件物料清单(Software Bill of Materials,SBOM)作为初步指南,这份软件物料清单(SBOM)采用一种电子可读格式,要求提供详细描述相关器械中的第三方组件清单或“成分清单”。
Friedman博士认为:“安全保障研究最困难的部分,也是成本最高、最有价值的部分,是试图找出受影响的设备,而不论新的漏洞是什么。对于Ripple20,如果大家都拥有软件物料清单(SBOM),将会成为找出、确定风险的几个关键步骤。一旦有了这些工具,大家就可以根据确定的具体风险与暴露程度,着手做出决定。”
“颇闻棋诀在善守,心细如发才如斗”
Friedman博士表示,尽管传统上医疗保健行业“并未处于网络安全保障的最前沿”,但在对于NTIA的SBOM计划,医疗器械行业一直是这项计划的引领者。他承认,尽管这个行业最初对软件物料清单(SBOM)的可行性持“怀疑态度”,但也不乏“真正的觉醒者”。
软件物料清单(SBOM)想法刚提出来的时候,并不像现在这样得到广为接受。在2019年开展的医疗保健概念验证工作中,医疗保健合作伙伴与雅培(Abbott)、美敦力(Medtronic)、飞利浦(Phillips)、西门子医疗公司(Siemens Healthineers)等医疗技术公司以及Cedars-Sinai,梅奥诊所(Mayo Clinic)、纽约长老会医院(The NewYork–Presbyterian)等医疗机构合作,确认在管理与医疗器械相关的操作和网络风险方面,软件物料清单(SBOM)确实能够发挥关键作用。参与概念验证工作的器械制造商与医疗保健提供方,通过生成、共享和使用数据,改善预定义用例中的安全性实践,成功地展示了SBOM的可行性。
Friedman博士认为,第一次演练取得成功,但同时也显示了大规模推广是可能会遇到的一些障碍。概念验证最终报告的成果之一,是标准的SBOM格式应不分行业。
NTIA对SBOM的最终愿景,是帮助创建并不只是针对医疗保健行业的全生态系统解决方案。Friedman博士表示,“实际上,大家都在使用相同的底层软件。”作为由NTIA领导的计划的一部分,利益相关方工作组将于2020年继续完善软件物料清单(SBOM)规范。
今年开展的第二项医疗保健概念验证工作,涉及更多的医疗技术,包括赛默飞世尔科技(Thermo Fisher Scientific),以及克利夫兰诊所(Cleveland Clinic)、麻省总医院(Mass General)等医疗系统参与者。重点将放在支持器械制造商与医院的第三方服务,以及以自动化方式大规模开展演练的需求方面。
FDA在公布的《医疗器械安全行动计划》中明确表示,医疗技术前端需要制定软件物料清单(SBOM),“SBOM必须作为上市申请的一部分提供给FDA,并提供给医疗器械客户与用户,以便他们可以更好地管理他们的联网器械,并了解其库存或使用中的哪些设备可能会受到漏洞的攻击。”
Friedman博士认为,FDA也持同样立场,表示FDA自己不会定义标准,而是希望医疗器械行业参与NTIA发起的这一广泛的跨行业计划中。
软件物料清单(SBOM)计划工作组成员Velentium公司的首席安全架构师Chris Gates先生认为,尽管有FDA的支持,但为新医疗器械提供软件透明度方面,还将走很长的路,最终使大家能够更容易地准确了解哪些设备受到了Ripple20等漏洞的影响,需要采取哪些针对性措施。
收藏
登录后参与评论