本文系深潛atom第499篇原創作品
2022年6月2日,美國國土安全部下屬的網絡安全和基礎設施安全局(CISA)與美國食品藥品監督管理局(FDA)相繼發布聲明,對相關臨床實驗室和醫療機構做出警示,希望它們關注因美納(Illumina)部分測序儀的本地運行管理器軟體(LRM)存在的網絡安全漏洞可能帶來的風險。
△FDA和CISA警告
據相關媒體報導,從FDA和CISA此前的報告來看,涉及到這一網絡安全漏洞的產品非常多,覆蓋了因美納幾乎所有中小型設備,佔其整體銷量的90%。
基因測序產業鏈上遊包括基因測序儀及配套試劑生產製造商,在上遊設備、試劑、耗材等供應環節,呈典型的寡頭壟斷競爭格局。目前,二代測序儀仍然佔據市場主流,自2017年因美納不斷蠶食其他廠商的市場份額,逐漸形成了一家獨大的局面。2018年市場份額已增長至84%,穩居第一。
可以說,因美納是全球當之無愧的具有絕對壟斷地位的基因頭部企業。因此,這次暴露的安全漏洞,才會引起如此廣泛的關注。
01壟斷巨頭的安全漏洞
根據網絡安全門戶極牛網的梳理,本次暴露的安全漏洞如下:
CVE-2022-1517(CVSS 評分:10)- 作業系統級別的遠程代碼執行漏洞,可能允許攻擊者篡改設置並訪問敏感數據或 API。CVE-2022-1518(CVSS 評分:10) – 一個目錄遍歷漏洞,可能允許攻擊者將惡意文件上傳到任意位置。CVE-2022-1519(CVSS 評分:10) – 任何文件類型的無限制上傳問題,允許攻擊者實現任意代碼執行。CVE-2022-1521(CVSS 評分:9.1) – 默認情況下,LRM 中缺乏身份驗證,使攻擊者能夠注入、修改或訪問敏感數據。CVE-2022-1524(CVSS 評分:7.4)- LRM 2.4 及更低版本缺少 TLS 加密,攻擊者可能會利用該加密進行中間人 (MitM) 攻擊和訪問憑據。
這裡先解釋一下CVSS評分,它是指通用漏洞評分系統,英文對應Common Vulnerability Scoring System。CVSS旨在評估安全漏洞的嚴重性,是全球各組織使用的公開標準。在極牛網梳理的這5大安全漏洞中,CVSS評分為10分的就有3項。具體來說,CVSS評分為10分的安全漏洞所代表的含義是——攻擊的複雜度極低,無需複雜的技術能力就可以利用該漏洞,漏洞利用對對機密性、完整性和可用性的影響都高。
△CVSS評分
這些安全漏洞除了可以實現對基因測序儀進行遠程控制外,還可以影響患者的臨床測序結果,從而導致診斷過程中的結果被篡改。雖然目前沒有監測到這些漏洞被廣泛利用,但鑑於漏洞的威脅程序極高,建議Illumina基因測序儀客戶儘快升級相應的安全補丁。
在6月8號的因美納官方回應中,因美納只是概述了這些漏洞的風險,以及他們及時發布了修復補丁。並沒有對今後如何規避這種風險做出回應,只是以大而化之的「未來規劃」一筆帶過。在深潛atom看來,這個「未來規劃」,某種意義上更多的都是理念性的表態,並沒有實質性的內容。
事實上,這不是因美納在今年第一次出現安全和產品問題。2022年3月,因美納就曾在其官網發布公告,主動召回基因測序儀 NextSeqTM 550Dx Instrument。本次召回涉及的國家比較多,除中國之外,還囊括了美國、英國、澳大利亞等25個國家和地區,共計召回621臺,中國152臺。
△因美納召回設備
6月13日,FDA官網要求因美納在全球範圍內召回1813臺測序儀。但因美納並未進行實物召回,選擇的是軟體升級。根據因美納的回應,此次隱患屬於網絡安全範疇,國內相當數量的測序儀不聯入任何網絡,風險只存在於內部,測序儀並不存在隱患。
但這個說法是站不住腳的。實際上早在2018年,因美納就推出了BaseSpace,啟動了基因雲計算平臺。BaseSpace的全稱是Illumina BaseSpace Sequence Hub 基因雲計算平臺,因美納為了配合其在中國市場的推廣,還給它起了一個易記的本土化名字「零維度」。
△BaseSpace
按照因美納官方的解釋,BaseSpace Sequence Hub作為BaseSpace Suite的主要部件,是客戶Illumina儀器最直接的擴展項。因為儀器生成的加密數據直接導入BaseSpace Sequence Hub,客戶可以利用一套精選的分析應用程式來輕鬆地管理和分析數據。BaseSpace Sequence Hub由亞馬遜網絡服務(AWS)提供支持。
BaseSpace作為基因雲計算平臺,是因美納的重要產品;「將測序數據轉化為標準格式,並直接傳送到雲端,提高分析效率;可訪問計算資源,無需內部基礎設施的資金支出」的「雲」架構,是其產品的核心賣點。
BaseSpace成為了因美納的一個重要支撐服務,因美納也說BaseSpace可以為客戶業務帶來幫助。如果中國測序儀不能聯網,那麼因美納為什麼要推出BaseSpace?如果中國測序儀不能聯網,BaseSpace又如何能夠幫助客戶提高服務效率呢?更重要的是,不能聯網何以稱之為「雲計算平臺」?
此次,因美納的召回等級也是二級,二級的定義是有可能會引起暫時或者不可逆的健康損害,但因美納的回應卻避重就輕、雲淡風輕。
或許針對醫院的聯網方案有特殊要求,但因美納客戶眾多,同樣有很多醫療機構和企業是可以聯網的。毫無疑問,因美納又自稱在中國銷售的基因測序儀不聯網,有些自相矛盾。面對如此重大的安全漏洞,因美納卻只想通過最低的代價搪塞過去,有違其國際巨頭的身份,更是對中國市場和客戶的藐視。
02掘金中國,成就壟斷地位
作為基因檢測行業的早期的參與者,1998年成立的因美納選擇卡位上遊,快速成為全球最大產品、技術和服務供應商,對於整個行業發展都舉足輕重。如今,很多人都吐槽基因檢測產品價格太高,就是因為需要依託上遊的因美納。有行業從業者對深潛atom表示,因美納不降價,基因檢測成本就很難下來,產品的價格也很難被打下來。
掌控了市場和定價權的因美納,在2021財年營收和利潤都出現了大幅度增長。其中營收45.26億美元同比增長40%;歸屬母公司淨利潤7.62億美元,同比增長16.16%。其中,因美納在大中華區(中國)產生了5.02億美元收入,幾乎是前一年營收的150%,佔總營收的11.1%。
自2005年進入中國市場後,因美納成為了中國改革開放和醫療健康快速發展的受益者,快速佔領中國70%的基因測序市場。
很大程度上,正是中國市場,成就了因美納的霸主地位。尤其是在新冠疫情爆發後,因美納更是賺的盆滿缽滿。
新開源、安必平、貝瑞基因和金域醫學等頭部基因科技企業,已經分別與因美納達成合作協議,基於因美納的系統進行體外診斷產品的研發;2021年,先後有超過30家中國基因檢測企業與因美納籤署合作意向。行業龍頭的地位,讓其可以輕鬆獲得眾多合作夥伴。
政策上,因美納也受益良多。自2021年以來,浙江省、海南省、廣東省、四川省、山西省多地相關部門先後進行了醫療設備採購的政策。有些省份大力推廣國產醫療器械,也有省份加強了對進口設備的依賴。
廣東省委建委發布了《2021年省級衛生健康機構進口產品目錄清單的公示》,進口設備品種從132種下降到46種,為國產設備提供了便利;又比如,浙江省也將數十種設備移出進口清單,需要優先採購國產設備。
2021年四川省進口採購清單中,醫療衛生實驗室儀器類設備幾乎都是以進口產品為主,包括全自動核酸檢測分析儀、基因測序儀、自動化多通道移液工作站、全自動動物血常規分析儀、全自動凝血分析儀(動物)等都限制了國產器械。在一些省份逐漸限制進口設備的大背景下,四川省卻放開了進口限制,讓因美納繼續擴大中國市場。
因美納已經有兩款測序儀獲得了我國藥監局的審批,二代基因測序儀價格在50-100萬美元之間。在合作夥伴和某些地方性政策的推動下,因美納2021年在我國營收大幅增加也是正常現象。
△因美納測序儀
與一代和二代基因測序技術不同,第三、四代基因測序技術仍然處於興起階段,但毫無疑問掌握新一代測序技術的企業,將會掌握未來。但在三代測序和四代測序上,因美納的積累並不豐富。早在2012年,就計劃與英國第三代測序公司ONT合作,最終失敗;而後在2018年擬以12億美元收購另一家第三代測序公司太平洋生物科學公司,最終結果依然未如意,反而讓因美納陷入了反壟斷調查。
03發展本土化,數據安全不能假手他人
網際網路時代,各行各業誕生了海量的數據。伴隨著網際網路、人工智慧、雲計算、大數據等技術的發展,數位化已經成為常態,但數據安全性風險也越來越大。醫療數據是眾多數據中比較特殊的存在,醫療數據中包含著眾多私密敏感信息,因此,醫療信息的安全問題一直備受關注。
2021年9月1日,我國首部針對數據安全的《中華人民共和國數據安全法》正式開始實施,著重強調了保護公共衛生、醫療、養老等醫療健康數據安全的重要性。
在過去十幾年,在我國政策和醫療機構的支持下,因美納成功佔據了我國基因測序的大半市場,理應在數據安全方面全面配合,但現實是因美納並未盡數據安全相關的服務。因美納的產品出現嚴重的數據安全問題,是技術問題,還是態度問題呢?
更何況在因美納的回覆中,竟然強調全球都暫未收到任何表明隱患被利用的報告。難道沒有患者數據被利用就等同於沒有數據洩露嗎?而且這已經不是第一次因質量問題召回產品,這是一個犯了重要錯誤的企業,應該有的認錯態度嗎?
我國有56個民族,14億人口,貢獻了中國豐富的遺傳基因數據,引起了國外覬覦,有美國機構連續20多年竊取中國基因信息。2015年國家文件明確指出,有外方參與的臨床試驗,涉及中國病人採集的樣本,都需要專門申請,但依然有眾多數據安全問題出現。但政策並不能阻擋跨國企業竊取我國醫療信息的欲望,2018年,阿斯利康因為違規採集、收集、買賣、出口、出境人類遺傳資源和開展超出審批範圍的科研活動而被處罰。
2022年3月份,科技部印發再次強調我國醫療數據安全重要性,印發的《人類遺傳資源管理條例實施細則》明確規定:「人類遺傳資源材料是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料;境外組織、個人及其設立或者實際控制的機構不得在我國境內採集、保藏我國人類遺傳資源,不得向境外提供我國人類遺傳資源。」
核心設備不在自己手中,我國遺傳信息能否真正得到保護,猶未可知。哈爾濱工業大學網絡空間安全學院餘翔湛教授接受採訪時表示,「目前人類基因組數據已經成為各國重要的數據,涉及種族、國家安全,受到國家保護。這種數據一旦洩露後果不堪設想。」
與其將數據安全寄託於不負責任的美國企業,不如將數據掌握在自己手中。更何況,在基因測序儀這個領域,國產設備性能並不弱於美國企業。在美國企業不重視我國醫療數據的背景下,大力發展本土化產品,才是解決醫療數據安全問題的核心關鍵。