近年來，全球基因測序市場以驚人的速度增長。據(jù)研究數(shù)據(jù)顯示，隨著醫(yī)療技術(shù)的進步和個性化醫(yī)療需求的提升，基因測序技術(shù)在癌癥研究、遺傳病診斷以及藥物研發(fā)領(lǐng)域的應(yīng)用日益廣泛。此外，“祖源分析”等消費型基因測序服務(wù)也呈現(xiàn)爆發(fā)式增長。然而，基因測序設(shè)備背后的技術(shù)安全性問題卻鮮有人關(guān)注。

近日，全球領(lǐng)先的固件安全公司Eclypsium指出，全球市場排名第一的Illumina iSeq 100基因測序儀存在嚴重的固件安全隱患，這一發(fā)現(xiàn)為整個醫(yī)療設(shè)備行業(yè)敲響了警鐘。

行業(yè)領(lǐng)先設(shè)備，卻存在核心安全漏洞

Illumina iSeq 100是全球基因測序領(lǐng)域的標桿性設(shè)備，廣泛應(yīng)用于23andMe等主流基因檢測實驗室。然而，Eclypsium的研究發(fā)現(xiàn)，這款設(shè)備缺乏對Windows安全啟動（Secure Boot）的支持，存在固件攻擊的潛在風險。安全啟動是2012年起被廣泛應(yīng)用的Windows系統(tǒng)安全機制，旨在通過公鑰加密防止未經(jīng)授權(quán)的代碼加載，保護設(shè)備啟動過程的安全。

在常規(guī)操作模式下，iSeq 100使用的是2018年版本的BIOS（B480AM12），該版本固件包含多年的安全漏洞，可能被攻擊者利用，實施惡意固件感染。這種感染在操作系統(tǒng)啟動之前即可執(zhí)行，難以被檢測或移除。此外，研究還發(fā)現(xiàn)該設(shè)備的固件讀寫保護功能未啟用，攻擊者可以隨意篡改設(shè)備的固件，從而在設(shè)備中植入惡意代碼。

醫(yī)療設(shè)備普遍存在安全問題

Eclypsium進一步警告，iSeq 100的問題并非個例。這些設(shè)備通常采用由第三方供應(yīng)商提供的計算平臺，而這些平臺可能存在相似的安全隱患。例如，iSeq 100的主板由IEI Integration Corp制造，這家公司同時為多個行業(yè)提供工業(yè)計算產(chǎn)品和醫(yī)療設(shè)備ODM服務(wù)。這表明，類似的漏洞可能廣泛存在于其他使用同類主板的醫(yī)療和工業(yè)設(shè)備中。

Eclypsium的首席技術(shù)官Alex Bazhaniuk表示：“許多醫(yī)療設(shè)備基于通用服務(wù)器和老舊配置，這些設(shè)備往往未啟用安全啟動功能或運行過時的固件。在某些情況下，由于技術(shù)復雜性或成本問題，更新固件幾乎是不可能的?！?/p>

醫(yī)療設(shè)備越昂貴，安全問題往往就越嚴重，因為昂貴的設(shè)備往往生命周期很長，在高科技制造或醫(yī)療研究機構(gòu)里，一臺價值數(shù)百萬美元的設(shè)備可能運行著Windows XP SP1這樣的“過期系統(tǒng)”。

此外，雖然這些昂貴的醫(yī)療設(shè)備通常運行在高度隔離的網(wǎng)絡(luò)中，但并非不會暴露在互聯(lián)網(wǎng)上，因為隨著醫(yī)療數(shù)字化的深入，越來越多的醫(yī)療設(shè)備會連接到醫(yī)院的局域網(wǎng)或云服務(wù)中以便快速傳輸數(shù)據(jù)，這可能帶來額外的網(wǎng)絡(luò)攻擊風險。雖然隔離網(wǎng)絡(luò)或虛擬局域網(wǎng)（VLAN）可以降低部分風險，但一旦防火墻被攻破，后果將不堪設(shè)想。

固件攻擊的潛在威脅

固件攻擊并非新鮮事物。早在2007年，ICLord BIOS工具就首次演示了通過固件實施攻擊的可能性。2011年，首個被實際使用的BIOS Rootkit——Mebromi被發(fā)現(xiàn)。此后，LoJax和MosaicRegressor等固件植入攻擊相繼浮現(xiàn)，展現(xiàn)出攻擊者利用固件漏洞的能力。

對于基因測序儀這樣的設(shè)備來說，這種攻擊的潛在影響更為嚴重。一旦固件感染得逞，攻擊者不僅可以破壞設(shè)備，還可能通過篡改基因測序數(shù)據(jù)干擾醫(yī)學研究和診斷。例如，研究顯示，惡意軟件可以使測序儀報告錯誤的親緣關(guān)系數(shù)據(jù)，從而影響基因數(shù)據(jù)庫的可靠性。

醫(yī)療行業(yè)的安全瓶頸：重新認證需要花費巨資

醫(yī)療設(shè)備的安全性問題并非技術(shù)無法解決，而是受到制度與認證流程的掣肘。醫(yī)療設(shè)備的認證周期極為漫長且成本高昂，一旦硬件或軟件發(fā)生重大改變，可能需要重新認證，這將耗費大量時間與資金。例如，從Windows 8升級到Windows 11可能需要數(shù)百萬美元的認證成本，甚至到新系統(tǒng)發(fā)布時設(shè)備仍未能通過認證。

隨著基因測序市場的快速增長，設(shè)備安全問題愈發(fā)重要。iSeq 100暴露的安全漏洞只是冰山一角。Eclypsium的研究再次凸顯了醫(yī)療設(shè)備供應(yīng)鏈安全的重要性。醫(yī)療設(shè)備制造商專注于其核心技術(shù)，往往忽視計算基礎(chǔ)設(shè)施的潛在風險，高昂的認證費用進一步固化了這種風險。早期供應(yīng)鏈中的安全漏洞，可能擴散至整個行業(yè)的多種設(shè)備和供應(yīng)商。

面對這些挑戰(zhàn)，業(yè)內(nèi)專家呼吁加強對醫(yī)療設(shè)備供應(yīng)鏈的監(jiān)管，推動更高標準的安全要求。例如，將安全啟動功能作為醫(yī)療設(shè)備的強制標準，定期對老舊設(shè)備進行更新和審查，減少潛在的攻擊面。