6月2日消息,美国CISA(国土安全部下属的网络安全和基础设施安全局)发布了工业控制系统公告(Industrial Controls Systems Advisory,ICSA),详细曝光了美国基因测序巨头 illumina多款设备存在多个漏洞。这些漏洞在 CVSS v3.0 评分体系为 10,意味着严重等级为最高。
同日,美国FDA(食品药品监督管理局)也就此事专门发布安全警示。
截至目前,尚未看到illumina针对此事的公开回应。安全警示发出后翌日,illumina股价跌幅达6.26%。
Illumina的总部位于美国,是遗传变异和生物学功能分析领域的产品、技术和服务供应商。根据前瞻研究院的数据显示,illumina占到了全球基因测序市场83.9%的份额,是全球基因测序领域的绝对霸主。事实上早在今年5月3日,illumina就已经向部分客户发送了通知,告知漏洞情况并针对该缺陷发布了相关的修复补丁,如今CISA和FDA双双发布通告,再次建议这些测序仪的用户尽快安装相应的补丁软件。
在CISA的公告中,详细披露了包括illumina NextSeq 550Dx、MiSeqDx、NextSeq 500、NextSeq 550、MiSeq、iSeq和 MiniSeq 在内的多款测序仪器软件存在网络安全漏洞。
CISA表示,一旦这些漏洞被未经身份验证的恶意行为者利用,则可以通过操作系统远程上传和执行代码,以更改设置、配置、软件或访问受影响产品的敏感数据。同时可以查看和上传任何文件类型,包括允许远程代码利用的可执行代码,并利用此代码远程控制服务器,以及注入、重放、修改或拦截敏感数据等。
CISA创建于2018年,全称为“网络安全与基础设施安全局” (Cybersecurity and Infrastructure Security Agency),隶属于国土安全部,是美国六大网络相关机构之一,其主要任务是保护关键基础设施网络安全。能被美国CISA这样的政府机构评估为最高严重等级,可见illumina此次暴露的网络安全漏洞的潜在危害性是非常巨大的。毕竟基因测序设备中可能拥有大量患者的医疗数据,包括DNA数据、健康信息、家族遗传史等等大量数据。如果不法分子获取到这些敏感的医疗信息,那后果不堪设想。
正因为此,多国都禁止包括人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料外流。中国也于近期出台了《人类遗传资源管理条例实施细则》,其中明确规定,境外组织机构不得采集我国人类遗传资源,禁止我国相关企业向境外提供我国人类遗传资源,坚决防止我国遗传资源向外流失,保护我国公民基因数据的安全。
所以,尽管illumina在此前已经开发了一个软件补丁来防止远程利用这些漏洞,并正在积极努力为当前和未来的仪器提供永久软件修复,但一日之内能被美国两大监管机构通报,还是不得不让外界重视,此事件也受到海内外媒体广泛关注和报道。