因美納陷數(shù)據(jù)泄露“丑聞”:我國基因數(shù)據(jù)安全能交給美企嗎?
本文系深潛atom第499篇原創(chuàng)作品
2022年6月2日,美國國土安全部下屬的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)與美國食品藥品監(jiān)督管理局(FDA)相繼發(fā)布聲明,對相關(guān)臨床實(shí)驗(yàn)室和醫(yī)療機(jī)構(gòu)做出警示,希望它們關(guān)注因美納(Illumina)部分測序儀的本地運(yùn)行管理器軟件(LRM)存在的網(wǎng)絡(luò)安全漏洞可能帶來的風(fēng)險(xiǎn)。
△FDA和CISA警告
據(jù)相關(guān)媒體報(bào)道,從FDA和CISA此前的報(bào)告來看,涉及到這一網(wǎng)絡(luò)安全漏洞的產(chǎn)品非常多,覆蓋了因美納幾乎所有中小型設(shè)備,占其整體銷量的90%。
基因測序產(chǎn)業(yè)鏈上游包括基因測序儀及配套試劑生產(chǎn)制造商,在上游設(shè)備、試劑、耗材等供應(yīng)環(huán)節(jié),呈典型的寡頭壟斷競爭格局。目前,二代測序儀仍然占據(jù)市場主流,自2017年因美納不斷蠶食其他廠商的市場份額,逐漸形成了一家獨(dú)大的局面。2018年市場份額已增長至84%,穩(wěn)居第一。
可以說,因美納是全球當(dāng)之無愧的具有絕對壟斷地位的基因頭部企業(yè)。因此,這次暴露的安全漏洞,才會引起如此廣泛的關(guān)注。
01 壟斷巨頭的安全漏洞
根據(jù)網(wǎng)絡(luò)安全門戶極牛網(wǎng)的梳理,本次暴露的安全漏洞如下:
CVE-2022-1517(CVSS 評分:10)- 操作系統(tǒng)級別的遠(yuǎn)程代碼執(zhí)行漏洞,可能允許攻擊者篡改設(shè)置并訪問敏感數(shù)據(jù)或 API。
CVE-2022-1518(CVSS 評分:10) – 一個(gè)目錄遍歷漏洞,可能允許攻擊者將惡意文件上傳到任意位置。
CVE-2022-1519(CVSS 評分:10) – 任何文件類型的無限制上傳問題,允許攻擊者實(shí)現(xiàn)任意代碼執(zhí)行。
CVE-2022-1521(CVSS 評分:9.1) – 默認(rèn)情況下,LRM 中缺乏身份驗(yàn)證,使攻擊者能夠注入、修改或訪問敏感數(shù)據(jù)。
CVE-2022-1524(CVSS 評分:7.4)- LRM 2.4 及更低版本缺少 TLS 加密,攻擊者可能會利用該加密進(jìn)行中間人 (MitM) 攻擊和訪問憑據(jù)。
這里先解釋一下CVSS評分,它是指通用漏洞評分系統(tǒng),英文對應(yīng)Common Vulnerability Scoring System。CVSS旨在評估安全漏洞的嚴(yán)重性,是全球各組織使用的公開標(biāo)準(zhǔn)。在極牛網(wǎng)梳理的這5大安全漏洞中,CVSS評分為10分的就有3項(xiàng)。具體來說,CVSS評分為10分的安全漏洞所代表的含義是——攻擊的復(fù)雜度極低,無需復(fù)雜的技術(shù)能力就可以利用該漏洞,漏洞利用對對機(jī)密性、完整性和可用性的影響都高。
△CVSS評分
這些安全漏洞除了可以實(shí)現(xiàn)對基因測序儀進(jìn)行遠(yuǎn)程控制外,還可以影響患者的臨床測序結(jié)果,從而導(dǎo)致診斷過程中的結(jié)果被篡改。雖然目前沒有監(jiān)測到這些漏洞被廣泛利用,但鑒于漏洞的威脅程序極高,建議Illumina基因測序儀客戶盡快升級相應(yīng)的安全補(bǔ)丁。
在6月8號的因美納官方回應(yīng)中,因美納只是概述了這些漏洞的風(fēng)險(xiǎn),以及他們及時(shí)發(fā)布了修復(fù)補(bǔ)丁。并沒有對今后如何規(guī)避這種風(fēng)險(xiǎn)做出回應(yīng),只是以大而化之的“未來規(guī)劃”一筆帶過。在深潛atom看來,這個(gè)“未來規(guī)劃”,某種意義上更多的都是理念性的表態(tài),并沒有實(shí)質(zhì)性的內(nèi)容。
事實(shí)上,這不是因美納在今年第一次出現(xiàn)安全和產(chǎn)品問題。2022年3月,因美納就曾在其官網(wǎng)發(fā)布公告,主動召回基因測序儀 NextSeqTM 550Dx Instrument。本次召回涉及的國家比較多,除中國之外,還囊括了美國、英國、澳大利亞等25個(gè)國家和地區(qū),共計(jì)召回621臺,中國152臺。
△因美納召回設(shè)備
6月13日,F(xiàn)DA官網(wǎng)要求因美納在全球范圍內(nèi)召回1813臺測序儀。但因美納并未進(jìn)行實(shí)物召回,選擇的是軟件升級。根據(jù)因美納的回應(yīng),此次隱患屬于網(wǎng)絡(luò)安全范疇,國內(nèi)相當(dāng)數(shù)量的測序儀不聯(lián)入任何網(wǎng)絡(luò),風(fēng)險(xiǎn)只存在于內(nèi)部,測序儀并不存在隱患。
但這個(gè)說法是站不住腳的。實(shí)際上早在2018年,因美納就推出了BaseSpace,啟動了基因云計(jì)算平臺。BaseSpace的全稱是Illumina BaseSpace Sequence Hub 基因云計(jì)算平臺,因美納為了配合其在中國市場的推廣,還給它起了一個(gè)易記的本土化名字“零維度”。
△BaseSpace
按照因美納官方的解釋,BaseSpace Sequence Hub作為BaseSpace Suite的主要部件,是客戶Illumina儀器最直接的擴(kuò)展項(xiàng)。因?yàn)閮x器生成的加密數(shù)據(jù)直接導(dǎo)入BaseSpace Sequence Hub,客戶可以利用一套精選的分析應(yīng)用程序來輕松地管理和分析數(shù)據(jù)。BaseSpace Sequence Hub由亞馬遜網(wǎng)絡(luò)服務(wù)(AWS)提供支持。
BaseSpace作為基因云計(jì)算平臺,是因美納的重要產(chǎn)品;“將測序數(shù)據(jù)轉(zhuǎn)化為標(biāo)準(zhǔn)格式,并直接傳送到云端,提高分析效率;可訪問計(jì)算資源,無需內(nèi)部基礎(chǔ)設(shè)施的資金支出”的“云”架構(gòu),是其產(chǎn)品的核心賣點(diǎn)。
BaseSpace成為了因美納的一個(gè)重要支撐服務(wù),因美納也說BaseSpace可以為客戶業(yè)務(wù)帶來幫助。如果中國測序儀不能聯(lián)網(wǎng),那么因美納為什么要推出BaseSpace?如果中國測序儀不能聯(lián)網(wǎng),BaseSpace又如何能夠幫助客戶提高服務(wù)效率呢?更重要的是,不能聯(lián)網(wǎng)何以稱之為“云計(jì)算平臺”?
此次,因美納的召回等級也是二級,二級的定義是有可能會引起暫時(shí)或者不可逆的健康損害,但因美納的回應(yīng)卻避重就輕、云淡風(fēng)輕。
或許針對醫(yī)院的聯(lián)網(wǎng)方案有特殊要求,但因美納客戶眾多,同樣有很多醫(yī)療機(jī)構(gòu)和企業(yè)是可以聯(lián)網(wǎng)的。毫無疑問,因美納又自稱在中國銷售的基因測序儀不聯(lián)網(wǎng),有些自相矛盾。面對如此重大的安全漏洞,因美納卻只想通過最低的代價(jià)搪塞過去,有違其國際巨頭的身份,更是對中國市場和客戶的藐視。
02 掘金中國,成就壟斷地位
作為基因檢測行業(yè)的早期的參與者,1998年成立的因美納選擇卡位上游,快速成為全球最大產(chǎn)品、技術(shù)和服務(wù)供應(yīng)商,對于整個(gè)行業(yè)發(fā)展都舉足輕重。如今,很多人都吐槽基因檢測產(chǎn)品價(jià)格太高,就是因?yàn)樾枰劳猩嫌蔚囊蛎兰{。有行業(yè)從業(yè)者對深潛atom表示,因美納不降價(jià),基因檢測成本就很難下來,產(chǎn)品的價(jià)格也很難被打下來。
掌控了市場和定價(jià)權(quán)的因美納,在2021財(cái)年?duì)I收和利潤都出現(xiàn)了大幅度增長。其中營收45.26億美元同比增長40%;歸屬母公司凈利潤7.62億美元,同比增長16.16%。其中,因美納在大中華區(qū)(中國)產(chǎn)生了5.02億美元收入,幾乎是前一年?duì)I收的150%,占總營收的11.1%。
自2005年進(jìn)入中國市場后,因美納成為了中國改革開放和醫(yī)療健康快速發(fā)展的受益者,快速占領(lǐng)中國70%的基因測序市場。
很大程度上,正是中國市場,成就了因美納的霸主地位。尤其是在新冠疫情爆發(fā)后,因美納更是賺的盆滿缽滿。
新開源、安必平、貝瑞基因和金域醫(yī)學(xué)等頭部基因科技企業(yè),已經(jīng)分別與因美納達(dá)成合作協(xié)議,基于因美納的系統(tǒng)進(jìn)行體外診斷產(chǎn)品的研發(fā);2021年,先后有超過30家中國基因檢測企業(yè)與因美納簽署合作意向。行業(yè)龍頭的地位,讓其可以輕松獲得眾多合作伙伴。
政策上,因美納也受益良多。自2021年以來,浙江省、海南省、廣東省、四川省、山西省多地相關(guān)部門先后進(jìn)行了醫(yī)療設(shè)備采購的政策。有些省份大力推廣國產(chǎn)醫(yī)療器械,也有省份加強(qiáng)了對進(jìn)口設(shè)備的依賴。
廣東省委建委發(fā)布了《2021年省級衛(wèi)生健康機(jī)構(gòu)進(jìn)口產(chǎn)品目錄清單的公示》,進(jìn)口設(shè)備品種從132種下降到46種,為國產(chǎn)設(shè)備提供了便利;又比如,浙江省也將數(shù)十種設(shè)備移出進(jìn)口清單,需要優(yōu)先采購國產(chǎn)設(shè)備。
2021年四川省進(jìn)口采購清單中,醫(yī)療衛(wèi)生實(shí)驗(yàn)室儀器類設(shè)備幾乎都是以進(jìn)口產(chǎn)品為主,包括全自動核酸檢測分析儀、基因測序儀、自動化多通道移液工作站、全自動動物血常規(guī)分析儀、全自動凝血分析儀(動物)等都限制了國產(chǎn)器械。在一些省份逐漸限制進(jìn)口設(shè)備的大背景下,四川省卻放開了進(jìn)口限制,讓因美納繼續(xù)擴(kuò)大中國市場。
因美納已經(jīng)有兩款測序儀獲得了我國藥監(jiān)局的審批,二代基因測序儀價(jià)格在50-100萬美元之間。在合作伙伴和某些地方性政策的推動下,因美納2021年在我國營收大幅增加也是正,F(xiàn)象。
△因美納測序儀
與一代和二代基因測序技術(shù)不同,第三、四代基因測序技術(shù)仍然處于興起階段,但毫無疑問掌握新一代測序技術(shù)的企業(yè),將會掌握未來。但在三代測序和四代測序上,因美納的積累并不豐富。早在2012年,就計(jì)劃與英國第三代測序公司ONT合作,最終失敗;而后在2018年擬以12億美元收購另一家第三代測序公司太平洋生物科學(xué)公司,最終結(jié)果依然未如意,反而讓因美納陷入了反壟斷調(diào)查。
03 發(fā)展本土化,
數(shù)據(jù)安全不能假手他人
互聯(lián)網(wǎng)時(shí)代,各行各業(yè)誕生了海量的數(shù)據(jù)。伴隨著互聯(lián)網(wǎng)、人工智能、云計(jì)算、大數(shù)據(jù)等技術(shù)的發(fā)展,數(shù)字化已經(jīng)成為常態(tài),但數(shù)據(jù)安全性風(fēng)險(xiǎn)也越來越大。醫(yī)療數(shù)據(jù)是眾多數(shù)據(jù)中比較特殊的存在,醫(yī)療數(shù)據(jù)中包含著眾多私密敏感信息,因此,醫(yī)療信息的安全問題一直備受關(guān)注。
2021年9月1日,我國首部針對數(shù)據(jù)安全的《中華人民共和國數(shù)據(jù)安全法》正式開始實(shí)施,著重強(qiáng)調(diào)了保護(hù)公共衛(wèi)生、醫(yī)療、養(yǎng)老等醫(yī)療健康數(shù)據(jù)安全的重要性。
在過去十幾年,在我國政策和醫(yī)療機(jī)構(gòu)的支持下,因美納成功占據(jù)了我國基因測序的大半市場,理應(yīng)在數(shù)據(jù)安全方面全面配合,但現(xiàn)實(shí)是因美納并未盡數(shù)據(jù)安全相關(guān)的服務(wù)。因美納的產(chǎn)品出現(xiàn)嚴(yán)重的數(shù)據(jù)安全問題,是技術(shù)問題,還是態(tài)度問題呢?
更何況在因美納的回復(fù)中,竟然強(qiáng)調(diào)全球都暫未收到任何表明隱患被利用的報(bào)告。難道沒有患者數(shù)據(jù)被利用就等同于沒有數(shù)據(jù)泄露嗎?而且這已經(jīng)不是第一次因質(zhì)量問題召回產(chǎn)品,這是一個(gè)犯了重要錯(cuò)誤的企業(yè),應(yīng)該有的認(rèn)錯(cuò)態(tài)度嗎?
我國有56個(gè)民族,14億人口,貢獻(xiàn)了中國豐富的遺傳基因數(shù)據(jù),引起了國外覬覦,有美國機(jī)構(gòu)連續(xù)20多年竊取中國基因信息。2015年國家文件明確指出,有外方參與的臨床試驗(yàn),涉及中國病人采集的樣本,都需要專門申請,但依然有眾多數(shù)據(jù)安全問題出現(xiàn)。但政策并不能阻擋跨國企業(yè)竊取我國醫(yī)療信息的欲望,2018年,阿斯利康因?yàn)檫`規(guī)采集、收集、買賣、出口、出境人類遺傳資源和開展超出審批范圍的科研活動而被處罰。
2022年3月份,科技部印發(fā)再次強(qiáng)調(diào)我國醫(yī)療數(shù)據(jù)安全重要性,印發(fā)的《人類遺傳資源管理?xiàng)l例實(shí)施細(xì)則》明確規(guī)定:“人類遺傳資源材料是指含有人體基因組、基因等遺傳物質(zhì)的器官、組織、細(xì)胞等遺傳材料;境外組織、個(gè)人及其設(shè)立或者實(shí)際控制的機(jī)構(gòu)不得在我國境內(nèi)采集、保藏我國人類遺傳資源,不得向境外提供我國人類遺傳資源。”
核心設(shè)備不在自己手中,我國遺傳信息能否真正得到保護(hù),猶未可知。哈爾濱工業(yè)大學(xué)網(wǎng)絡(luò)空間安全學(xué)院余翔湛教授接受采訪時(shí)表示,“目前人類基因組數(shù)據(jù)已經(jīng)成為各國重要的數(shù)據(jù),涉及種族、國家安全,受到國家保護(hù)。這種數(shù)據(jù)一旦泄露后果不堪設(shè)想!
與其將數(shù)據(jù)安全寄托于不負(fù)責(zé)任的美國企業(yè),不如將數(shù)據(jù)掌握在自己手中。更何況,在基因測序儀這個(gè)領(lǐng)域,國產(chǎn)設(shè)備性能并不弱于美國企業(yè)。在美國企業(yè)不重視我國醫(yī)療數(shù)據(jù)的背景下,大力發(fā)展本土化產(chǎn)品,才是解決醫(yī)療數(shù)據(jù)安全問題的核心關(guān)鍵。
原文標(biāo)題 : 因美納陷數(shù)據(jù)泄露“丑聞”:我國基因數(shù)據(jù)安全能交給美企嗎?
請輸入評論內(nèi)容...
請輸入評論/評論長度6~500個(gè)字
圖片新聞
最新活動更多
-
即日-1.14火熱報(bào)名中>> OFweek2025中國智造CIO在線峰會
-
7月30-31日報(bào)名參會>>> 全數(shù)會2025中國激光產(chǎn)業(yè)高質(zhì)量發(fā)展峰會
-
精彩回顧立即查看>> 【上海線下】設(shè)計(jì),易如反掌—Creo 11發(fā)布巡展
-
精彩回顧立即查看>> 【線下論壇】華邦電子與萊迪思聯(lián)合技術(shù)論壇
-
精彩回顧立即查看>> 【線下論壇】華邦電子與恩智浦聯(lián)合技術(shù)論壇
-
精彩回顧立即查看>> 2024(第五屆)全球數(shù)字經(jīng)濟(jì)產(chǎn)業(yè)大會暨展覽會
- 高級軟件工程師 廣東省/深圳市
- 自動化高級工程師 廣東省/深圳市
- 光器件研發(fā)工程師 福建省/福州市
- 銷售總監(jiān)(光器件) 北京市/海淀區(qū)
- 激光器高級銷售經(jīng)理 上海市/虹口區(qū)
- 光器件物理工程師 北京市/海淀區(qū)
- 激光研發(fā)工程師 北京市/昌平區(qū)
- 技術(shù)專家 廣東省/江門市
- 封裝工程師 北京市/海淀區(qū)
- 結(jié)構(gòu)工程師 廣東省/深圳市