近年來，全球基因測序市場以驚人的速度增長。據(jù)研究數(shù)據(jù)顯示，隨著醫(yī)療技術(shù)的進(jìn)步和個(gè)性化醫(yī)療需求的提升，基因測序技術(shù)在癌癥研究、遺傳病診斷以及藥物研發(fā)領(lǐng)域的應(yīng)用日益廣泛。此外，“祖源分析”等消費(fèi)型基因測序服務(wù)也呈現(xiàn)爆發(fā)式增長。然而，基因測序設(shè)備背后的技術(shù)安全性問題卻鮮有人關(guān)注。

近日，全球領(lǐng)先的固件安全公司Eclypsium指出，全球市場排名第一的Illumina iSeq 100基因測序儀存在嚴(yán)重的固件安全隱患，這一發(fā)現(xiàn)為整個(gè)醫(yī)療設(shè)備行業(yè)敲響了警鐘。

行業(yè)領(lǐng)先設(shè)備，卻存在核心安全漏洞

Illumina iSeq 100是全球基因測序領(lǐng)域的標(biāo)桿性設(shè)備，廣泛應(yīng)用于23andMe等主流基因檢測實(shí)驗(yàn)室。然而，Eclypsium的研究發(fā)現(xiàn)，這款設(shè)備缺乏對Windows安全啟動(dòng)（Secure Boot）的支持，存在固件攻擊的潛在風(fēng)險(xiǎn)。安全啟動(dòng)是2012年起被廣泛應(yīng)用的Windows系統(tǒng)安全機(jī)制，旨在通過公鑰加密防止未經(jīng)授權(quán)的代碼加載，保護(hù)設(shè)備啟動(dòng)過程的安全。

在常規(guī)操作模式下，iSeq 100使用的是2018年版本的BIOS（B480AM12），該版本固件包含多年的安全漏洞，可能被攻擊者利用，實(shí)施惡意固件感染。這種感染在操作系統(tǒng)啟動(dòng)之前即可執(zhí)行，難以被檢測或移除。此外，研究還發(fā)現(xiàn)該設(shè)備的固件讀寫保護(hù)功能未啟用，攻擊者可以隨意篡改設(shè)備的固件，從而在設(shè)備中植入惡意代碼。

醫(yī)療設(shè)備普遍存在安全問題

Eclypsium進(jìn)一步警告，iSeq 100的問題并非個(gè)例。這些設(shè)備通常采用由第三方供應(yīng)商提供的計(jì)算平臺，而這些平臺可能存在相似的安全隱患。例如，iSeq 100的主板由IEI Integration Corp制造，這家公司同時(shí)為多個(gè)行業(yè)提供工業(yè)計(jì)算產(chǎn)品和醫(yī)療設(shè)備ODM服務(wù)。這表明，類似的漏洞可能廣泛存在于其他使用同類主板的醫(yī)療和工業(yè)設(shè)備中。

Eclypsium的首席技術(shù)官Alex Bazhaniuk表示：“許多醫(yī)療設(shè)備基于通用服務(wù)器和老舊配置，這些設(shè)備往往未啟用安全啟動(dòng)功能或運(yùn)行過時(shí)的固件。在某些情況下，由于技術(shù)復(fù)雜性或成本問題，更新固件幾乎是不可能的。”

醫(yī)療設(shè)備越昂貴，安全問題往往就越嚴(yán)重，因?yàn)榘嘿F的設(shè)備往往生命周期很長，在高科技制造或醫(yī)療研究機(jī)構(gòu)里，一臺價(jià)值數(shù)百萬美元的設(shè)備可能運(yùn)行著Windows XP SP1這樣的“過期系統(tǒng)”。

此外，雖然這些昂貴的醫(yī)療設(shè)備通常運(yùn)行在高度隔離的網(wǎng)絡(luò)中，但并非不會暴露在互聯(lián)網(wǎng)上，因?yàn)殡S著醫(yī)療數(shù)字化的深入，越來越多的醫(yī)療設(shè)備會連接到醫(yī)院的局域網(wǎng)或云服務(wù)中以便快速傳輸數(shù)據(jù)，這可能帶來額外的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。雖然隔離網(wǎng)絡(luò)或虛擬局域網(wǎng)（VLAN）可以降低部分風(fēng)險(xiǎn)，但一旦防火墻被攻破，后果將不堪設(shè)想。

固件攻擊的潛在威脅

固件攻擊并非新鮮事物。早在2007年，ICLord BIOS工具就首次演示了通過固件實(shí)施攻擊的可能性。2011年，首個(gè)被實(shí)際使用的BIOS Rootkit——Mebromi被發(fā)現(xiàn)。此后，LoJax和MosaicRegressor等固件植入攻擊相繼浮現(xiàn)，展現(xiàn)出攻擊者利用固件漏洞的能力。

對于基因測序儀這樣的設(shè)備來說，這種攻擊的潛在影響更為嚴(yán)重。一旦固件感染得逞，攻擊者不僅可以破壞設(shè)備，還可能通過篡改基因測序數(shù)據(jù)干擾醫(yī)學(xué)研究和診斷。例如，研究顯示，惡意軟件可以使測序儀報(bào)告錯(cuò)誤的親緣關(guān)系數(shù)據(jù)，從而影響基因數(shù)據(jù)庫的可靠性。

醫(yī)療行業(yè)的安全瓶頸：重新認(rèn)證需要花費(fèi)巨資

醫(yī)療設(shè)備的安全性問題并非技術(shù)無法解決，而是受到制度與認(rèn)證流程的掣肘。醫(yī)療設(shè)備的認(rèn)證周期極為漫長且成本高昂，一旦硬件或軟件發(fā)生重大改變，可能需要重新認(rèn)證，這將耗費(fèi)大量時(shí)間與資金。例如，從Windows 8升級到Windows 11可能需要數(shù)百萬美元的認(rèn)證成本，甚至到新系統(tǒng)發(fā)布時(shí)設(shè)備仍未能通過認(rèn)證。

隨著基因測序市場的快速增長，設(shè)備安全問題愈發(fā)重要。iSeq 100暴露的安全漏洞只是冰山一角。Eclypsium的研究再次凸顯了醫(yī)療設(shè)備供應(yīng)鏈安全的重要性。醫(yī)療設(shè)備制造商專注于其核心技術(shù)，往往忽視計(jì)算基礎(chǔ)設(shè)施的潛在風(fēng)險(xiǎn)，高昂的認(rèn)證費(fèi)用進(jìn)一步固化了這種風(fēng)險(xiǎn)。早期供應(yīng)鏈中的安全漏洞，可能擴(kuò)散至整個(gè)行業(yè)的多種設(shè)備和供應(yīng)商。

面對這些挑戰(zhàn)，業(yè)內(nèi)專家呼吁加強(qiáng)對醫(yī)療設(shè)備供應(yīng)鏈的監(jiān)管，推動(dòng)更高標(biāo)準(zhǔn)的安全要求。例如，將安全啟動(dòng)功能作為醫(yī)療設(shè)備的強(qiáng)制標(biāo)準(zhǔn)，定期對老舊設(shè)備進(jìn)行更新和審查，減少潛在的攻擊面。