近年來，全球基因測序市場以驚人的速度增長。據研究數據顯示，隨著醫療技術的進步和個性化醫療需求的提升，基因測序技術在癌癥研究、遺傳病診斷以及藥物研發領域的應用日益廣泛。此外，“祖源分析”等消費型基因測序服務也呈現爆發式增長。然而，基因測序設備背后的技術安全性問題卻鮮有人關注。

近日，全球領先的固件安全公司Eclypsium指出，全球市場排名第一的Illumina iSeq 100基因測序儀存在嚴重的固件安全隱患，這一發現為整個醫療設備行業敲響了警鐘。

行業領先設備，卻存在核心安全漏洞

Illumina iSeq 100是全球基因測序領域的標桿性設備，廣泛應用于23andMe等主流基因檢測實驗室。然而，Eclypsium的研究發現，這款設備缺乏對Windows安全啟動（Secure Boot）的支持，存在固件攻擊的潛在風險。安全啟動是2012年起被廣泛應用的Windows系統安全機制，旨在通過公鑰加密防止未經授權的代碼加載，保護設備啟動過程的安全。

在常規操作模式下，iSeq 100使用的是2018年版本的BIOS（B480AM12），該版本固件包含多年的安全漏洞，可能被攻擊者利用，實施惡意固件感染。這種感染在操作系統啟動之前即可執行，難以被檢測或移除。此外，研究還發現該設備的固件讀寫保護功能未啟用，攻擊者可以隨意篡改設備的固件，從而在設備中植入惡意代碼。

醫療設備普遍存在安全問題

Eclypsium進一步警告，iSeq 100的問題并非個例。這些設備通常采用由第三方供應商提供的計算平臺，而這些平臺可能存在相似的安全隱患。例如，iSeq 100的主板由IEI Integration Corp制造，這家公司同時為多個行業提供工業計算產品和醫療設備ODM服務。這表明，類似的漏洞可能廣泛存在于其他使用同類主板的醫療和工業設備中。

Eclypsium的首席技術官Alex Bazhaniuk表示：“許多醫療設備基于通用服務器和老舊配置，這些設備往往未啟用安全啟動功能或運行過時的固件。在某些情況下，由于技術復雜性或成本問題，更新固件幾乎是不可能的。”

醫療設備越昂貴，安全問題往往就越嚴重，因為昂貴的設備往往生命周期很長，在高科技制造或醫療研究機構里，一臺價值數百萬美元的設備可能運行著Windows XP SP1這樣的“過期系統”。

此外，雖然這些昂貴的醫療設備通常運行在高度隔離的網絡中，但并非不會暴露在互聯網上，因為隨著醫療數字化的深入，越來越多的醫療設備會連接到醫院的局域網或云服務中以便快速傳輸數據，這可能帶來額外的網絡攻擊風險。雖然隔離網絡或虛擬局域網（VLAN）可以降低部分風險，但一旦防火墻被攻破，后果將不堪設想。

固件攻擊的潛在威脅

固件攻擊并非新鮮事物。早在2007年，ICLord BIOS工具就首次演示了通過固件實施攻擊的可能性。2011年，首個被實際使用的BIOS Rootkit——Mebromi被發現。此后，LoJax和MosaicRegressor等固件植入攻擊相繼浮現，展現出攻擊者利用固件漏洞的能力。

對于基因測序儀這樣的設備來說，這種攻擊的潛在影響更為嚴重。一旦固件感染得逞，攻擊者不僅可以破壞設備，還可能通過篡改基因測序數據干擾醫學研究和診斷。例如，研究顯示，惡意軟件可以使測序儀報告錯誤的親緣關系數據，從而影響基因數據庫的可靠性。

醫療行業的安全瓶頸：重新認證需要花費巨資

醫療設備的安全性問題并非技術無法解決，而是受到制度與認證流程的掣肘。醫療設備的認證周期極為漫長且成本高昂，一旦硬件或軟件發生重大改變，可能需要重新認證，這將耗費大量時間與資金。例如，從Windows 8升級到Windows 11可能需要數百萬美元的認證成本，甚至到新系統發布時設備仍未能通過認證。

隨著基因測序市場的快速增長，設備安全問題愈發重要。iSeq 100暴露的安全漏洞只是冰山一角。Eclypsium的研究再次凸顯了醫療設備供應鏈安全的重要性。醫療設備制造商專注于其核心技術，往往忽視計算基礎設施的潛在風險，高昂的認證費用進一步固化了這種風險。早期供應鏈中的安全漏洞，可能擴散至整個行業的多種設備和供應商。

面對這些挑戰，業內專家呼吁加強對醫療設備供應鏈的監管，推動更高標準的安全要求。例如，將安全啟動功能作為醫療設備的強制標準，定期對老舊設備進行更新和審查，減少潛在的攻擊面。