医疗软件漏洞的存在 将导致DNA的医学诊断被攻击
无国界 2019-07-09
近期,桑迪亚国家实验室的研究人员新发现了一个用于基因组分析的通用开源软件的漏洞,该漏洞将导致基于DNA的医学诊断更容易受到网络攻击。当发现了这个漏洞后,他们及时通知了软件开发人员,并发布了一个补丁来解决这个问题,同时最新版本的软件也解决了这个问题。
虽然目前还不知道该漏洞是否遭受过攻击,但国家标准技术研究院最近在给软件开发人员、基因组学研究人员和网络管理员的一份说明中对该漏洞进行了分析。这一发现揭示了保护基因组信息不仅仅涉及个人基因信息的安全存储,而分析基因数据的计算机系统中的网络安全也是至关重要的。
个性化医学是利用患者的基因信息指导医疗的过程,这个过程包含两个步骤:首先对患者细胞中的整个基因内容进行测序,然后将该序列与标准化人类基因组进行比对。通过这种比对,医生可以确定与疾病相关的患者的特定基因变化。
通常个性化基因组学研究人员广泛使用的匹配程序为Burrows-Wheeler-Aligner(BWA)。基因组测序从切割和复制一个人的基因信息到数以百万计的片段开始。然后一台机器读取每个片段无数次,并将片段图像转换为构建基块序列,通常由字母A、T、C和G表示。最后,软件收集这些序列,并将每个片段匹配到其在标准化人类基因组序列上的位置。
桑迪亚国家实验室研究该项目网络安全的研究人员发现,当该项目从政府服务器导入标准化基因组时,存在一个漏洞。标准化的基因组序列在不安全的通道上传播,这就为普通的网络攻击创造了机会。
如果遭受了黑客攻击,他们可以截获标准的基因组序列,然后将其与恶意程序一起传输给BWA用户,恶意程序会改变从测序中获得的标准基因信息。然后,恶意软件可以在基因组绘图过程中更改患者的原始基因数据,使得最终的分析在没有人知道的情况下不正确。这也预示着,如果被黑客攻击,医生的诊断结果有可能是不对的,同样开出的药物可能对于患者也是无效的。
研究人员同时指出,同样使用这种软件的法医实验室和基因组测序公司也容易遭受到类似攻击。但是来自直接面向消费者的基因测试的信息不受此漏洞的影响,因为这种测试使用的方法与全基因组测序不同。