本文系深潜atom第499篇原创作品
2022年6月2日,美国国土安全部下属的网络安全和基础设施安全局(CISA)与美国食品药品监督管理局(FDA)相继发布声明,对相关临床实验室和医疗机构做出警示,希望它们关注因美纳(Illumina)部分测序仪的本地运行管理器软件(LRM)存在的网络安全漏洞可能带来的风险。
△FDA和CISA警告
据相关媒体报道,从FDA和CISA此前的报告来看,涉及到这一网络安全漏洞的产品非常多,覆盖了因美纳几乎所有中小型设备,占其整体销量的90%。
基因测序产业链上游包括基因测序仪及配套试剂生产制造商,在上游设备、试剂、耗材等供应环节,呈典型的寡头垄断竞争格局。目前,二代测序仪仍然占据市场主流,自2017年因美纳不断蚕食其他厂商的市场份额,逐渐形成了一家独大的局面。2018年市场份额已增长至84%,稳居第一。
可以说,因美纳是全球当之无愧的具有绝对垄断地位的基因头部企业。因此,这次暴露的安全漏洞,才会引起如此广泛的关注。
01 垄断巨头的安全漏洞
根据网络安全门户极牛网的梳理,本次暴露的安全漏洞如下:
CVE-2022-1517(CVSS 评分:10)- 操作系统级别的远程代码执行漏洞,可能允许攻击者篡改设置并访问敏感数据或 API。
CVE-2022-1518(CVSS 评分:10) – 一个目录遍历漏洞,可能允许攻击者将恶意文件上传到任意位置。
CVE-2022-1519(CVSS 评分:10) – 任何文件类型的无限制上传问题,允许攻击者实现任意代码执行。
CVE-2022-1521(CVSS 评分:9.1) – 默认情况下,LRM 中缺乏身份验证,使攻击者能够注入、修改或访问敏感数据。
CVE-2022-1524(CVSS 评分:7.4)- LRM 2.4 及更低版本缺少 TLS 加密,攻击者可能会利用该加密进行中间人 (MitM) 攻击和访问凭据。
这里先解释一下CVSS评分,它是指通用漏洞评分系统,英文对应Common Vulnerability Scoring System。CVSS旨在评估安全漏洞的严重性,是全球各组织使用的公开标准。在极牛网梳理的这5大安全漏洞中,CVSS评分为10分的就有3项。具体来说,CVSS评分为10分的安全漏洞所代表的含义是——攻击的复杂度极低,无需复杂的技术能力就可以利用该漏洞,漏洞利用对对机密性、完整性和可用性的影响都高。
△CVSS评分
这些安全漏洞除了可以实现对基因测序仪进行远程控制外,还可以影响患者的临床测序结果,从而导致诊断过程中的结果被篡改。虽然目前没有监测到这些漏洞被广泛利用,但鉴于漏洞的威胁程序极高,建议Illumina基因测序仪客户尽快升级相应的安全补丁。
在6月8号的因美纳官方回应中,因美纳只是概述了这些漏洞的风险,以及他们及时发布了修复补丁。并没有对今后如何规避这种风险做出回应,只是以大而化之的“未来规划”一笔带过。在深潜atom看来,这个“未来规划”,某种意义上更多的都是理念性的表态,并没有实质性的内容。
事实上,这不是因美纳在今年第一次出现安全和产品问题。2022年3月,因美纳就曾在其官网发布公告,主动召回基因测序仪 NextSeqTM 550Dx Instrument。本次召回涉及的国家比较多,除中国之外,还囊括了美国、英国、澳大利亚等25个国家和地区,共计召回621台,中国152台。
△因美纳召回设备
6月13日,FDA官网要求因美纳在全球范围内召回1813台测序仪。但因美纳并未进行实物召回,选择的是软件升级。根据因美纳的回应,此次隐患属于网络安全范畴,国内相当数量的测序仪不联入任何网络,风险只存在于内部,测序仪并不存在隐患。
但这个说法是站不住脚的。实际上早在2018年,因美纳就推出了BaseSpace,启动了基因云计算平台。BaseSpace的全称是Illumina BaseSpace Sequence Hub 基因云计算平台,因美纳为了配合其在中国市场的推广,还给它起了一个易记的本土化名字“零维度”。
△BaseSpace
按照因美纳官方的解释,BaseSpace Sequence Hub作为BaseSpace Suite的主要部件,是客户Illumina仪器最直接的扩展项。因为仪器生成的加密数据直接导入BaseSpace Sequence Hub,客户可以利用一套精选的分析应用程序来轻松地管理和分析数据。BaseSpace Sequence Hub由亚马逊网络服务(AWS)提供支持。
BaseSpace作为基因云计算平台,是因美纳的重要产品;“将测序数据转化为标准格式,并直接传送到云端,提高分析效率;可访问计算资源,无需内部基础设施的资金支出”的“云”架构,是其产品的核心卖点。
BaseSpace成为了因美纳的一个重要支撑服务,因美纳也说BaseSpace可以为客户业务带来帮助。如果中国测序仪不能联网,那么因美纳为什么要推出BaseSpace?如果中国测序仪不能联网,BaseSpace又如何能够帮助客户提高服务效率呢?更重要的是,不能联网何以称之为“云计算平台”?
此次,因美纳的召回等级也是二级,二级的定义是有可能会引起暂时或者不可逆的健康损害,但因美纳的回应却避重就轻、云淡风轻。
或许针对医院的联网方案有特殊要求,但因美纳客户众多,同样有很多医疗机构和企业是可以联网的。毫无疑问,因美纳又自称在中国销售的基因测序仪不联网,有些自相矛盾。面对如此重大的安全漏洞,因美纳却只想通过最低的代价搪塞过去,有违其国际巨头的身份,更是对中国市场和客户的藐视。
02 掘金中国,成就垄断地位
作为基因检测行业的早期的参与者,1998年成立的因美纳选择卡位上游,快速成为全球最大产品、技术和服务供应商,对于整个行业发展都举足轻重。如今,很多人都吐槽基因检测产品价格太高,就是因为需要依托上游的因美纳。有行业从业者对深潜atom表示,因美纳不降价,基因检测成本就很难下来,产品的价格也很难被打下来。
掌控了市场和定价权的因美纳,在2021财年营收和利润都出现了大幅度增长。其中营收45.26亿美元同比增长40%;归属母公司净利润7.62亿美元,同比增长16.16%。其中,因美纳在大中华区(中国)产生了5.02亿美元收入,几乎是前一年营收的150%,占总营收的11.1%。
自2005年进入中国市场后,因美纳成为了中国改革开放和医疗健康快速发展的受益者,快速占领中国70%的基因测序市场。
很大程度上,正是中国市场,成就了因美纳的霸主地位。尤其是在新冠疫情爆发后,因美纳更是赚的盆满钵满。
新开源、安必平、贝瑞基因和金域医学等头部基因科技企业,已经分别与因美纳达成合作协议,基于因美纳的系统进行体外诊断产品的研发;2021年,先后有超过30家中国基因检测企业与因美纳签署合作意向。行业龙头的地位,让其可以轻松获得众多合作伙伴。
政策上,因美纳也受益良多。自2021年以来,浙江省、海南省、广东省、四川省、山西省多地相关部门先后进行了医疗设备采购的政策。有些省份大力推广国产医疗器械,也有省份加强了对进口设备的依赖。
广东省委建委发布了《2021年省级卫生健康机构进口产品目录清单的公示》,进口设备品种从132种下降到46种,为国产设备提供了便利;又比如,浙江省也将数十种设备移出进口清单,需要优先采购国产设备。
2021年四川省进口采购清单中,医疗卫生实验室仪器类设备几乎都是以进口产品为主,包括全自动核酸检测分析仪、基因测序仪、自动化多通道移液工作站、全自动动物血常规分析仪、全自动凝血分析仪(动物)等都限制了国产器械。在一些省份逐渐限制进口设备的大背景下,四川省却放开了进口限制,让因美纳继续扩大中国市场。
因美纳已经有两款测序仪获得了我国药监局的审批,二代基因测序仪价格在50-100万美元之间。在合作伙伴和某些地方性政策的推动下,因美纳2021年在我国营收大幅增加也是正常现象。
△因美纳测序仪
与一代和二代基因测序技术不同,第三、四代基因测序技术仍然处于兴起阶段,但毫无疑问掌握新一代测序技术的企业,将会掌握未来。但在三代测序和四代测序上,因美纳的积累并不丰富。早在2012年,就计划与英国第三代测序公司ONT合作,最终失败;而后在2018年拟以12亿美元收购另一家第三代测序公司太平洋生物科学公司,最终结果依然未如意,反而让因美纳陷入了反垄断调查。
03 发展本土化,
数据安全不能假手他人
互联网时代,各行各业诞生了海量的数据。伴随着互联网、人工智能、云计算、大数据等技术的发展,数字化已经成为常态,但数据安全性风险也越来越大。医疗数据是众多数据中比较特殊的存在,医疗数据中包含着众多私密敏感信息,因此,医疗信息的安全问题一直备受关注。
2021年9月1日,我国首部针对数据安全的《中华人民共和国数据安全法》正式开始实施,着重强调了保护公共卫生、医疗、养老等医疗健康数据安全的重要性。
在过去十几年,在我国政策和医疗机构的支持下,因美纳成功占据了我国基因测序的大半市场,理应在数据安全方面全面配合,但现实是因美纳并未尽数据安全相关的服务。因美纳的产品出现严重的数据安全问题,是技术问题,还是态度问题呢?
更何况在因美纳的回复中,竟然强调全球都暂未收到任何表明隐患被利用的报告。难道没有患者数据被利用就等同于没有数据泄露吗?而且这已经不是第一次因质量问题召回产品,这是一个犯了重要错误的企业,应该有的认错态度吗?
我国有56个民族,14亿人口,贡献了中国丰富的遗传基因数据,引起了国外觊觎,有美国机构连续20多年窃取中国基因信息。2015年国家文件明确指出,有外方参与的临床试验,涉及中国病人采集的样本,都需要专门申请,但依然有众多数据安全问题出现。但政策并不能阻挡跨国企业窃取我国医疗信息的欲望,2018年,阿斯利康因为违规采集、收集、买卖、出口、出境人类遗传资源和开展超出审批范围的科研活动而被处罚。
2022年3月份,科技部印发再次强调我国医疗数据安全重要性,印发的《人类遗传资源管理条例实施细则》明确规定:“人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料;境外组织、个人及其设立或者实际控制的机构不得在我国境内采集、保藏我国人类遗传资源,不得向境外提供我国人类遗传资源。”
核心设备不在自己手中,我国遗传信息能否真正得到保护,犹未可知。哈尔滨工业大学网络空间安全学院余翔湛教授接受采访时表示,“目前人类基因组数据已经成为各国重要的数据,涉及种族、国家安全,受到国家保护。这种数据一旦泄露后果不堪设想。”
与其将数据安全寄托于不负责任的美国企业,不如将数据掌握在自己手中。更何况,在基因测序仪这个领域,国产设备性能并不弱于美国企业。在美国企业不重视我国医疗数据的背景下,大力发展本土化产品,才是解决医疗数据安全问题的核心关键。
