本文系深潛atom第499篇原創(chuàng)作品

2022年6月2日，美國國土安全部下屬的網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）與美國食品藥品監(jiān)督管理局（FDA）相繼發(fā)布聲明，對相關(guān)臨床實驗室和醫(yī)療機構(gòu)做出警示，希望它們關(guān)注因美納（Illumina）部分測序儀的本地運行管理器軟件（LRM）存在的網(wǎng)絡(luò)安全漏洞可能帶來的風險。

△FDA和CISA警告

據(jù)相關(guān)媒體報道，從FDA和CISA此前的報告來看，涉及到這一網(wǎng)絡(luò)安全漏洞的產(chǎn)品非常多，覆蓋了因美納幾乎所有中小型設(shè)備，占其整體銷量的90％。

基因測序產(chǎn)業(yè)鏈上游包括基因測序儀及配套試劑生產(chǎn)制造商，在上游設(shè)備、試劑、耗材等供應(yīng)環(huán)節(jié)，呈典型的寡頭壟斷競爭格局。目前，二代測序儀仍然占據(jù)市場主流，自2017年因美納不斷蠶食其他廠商的市場份額，逐漸形成了一家獨大的局面。2018年市場份額已增長至84％，穩(wěn)居第一。

可以說，因美納是全球當之無愧的具有絕對壟斷地位的基因頭部企業(yè)。因此，這次暴露的安全漏洞，才會引起如此廣泛的關(guān)注。

01 壟斷巨頭的安全漏洞

根據(jù)網(wǎng)絡(luò)安全門戶極牛網(wǎng)的梳理，本次暴露的安全漏洞如下：

CVE－2022－1517（CVSS 評分：10）－ 操作系統(tǒng)級別的遠程代碼執(zhí)行漏洞，可能允許攻擊者篡改設(shè)置并訪問敏感數(shù)據(jù)或 API。

CVE－2022－1518（CVSS 評分：10） – 一個目錄遍歷漏洞，可能允許攻擊者將惡意文件上傳到任意位置。

CVE－2022－1519（CVSS 評分：10） – 任何文件類型的無限制上傳問題，允許攻擊者實現(xiàn)任意代碼執(zhí)行。

CVE－2022－1521（CVSS 評分：9．1） – 默認情況下，LRM 中缺乏身份驗證，使攻擊者能夠注入、修改或訪問敏感數(shù)據(jù)。

CVE－2022－1524（CVSS 評分：7．4）－ LRM 2．4 及更低版本缺少 TLS 加密，攻擊者可能會利用該加密進行中間人 （MitM） 攻擊和訪問憑據(jù)。

這里先解釋一下CVSS評分，它是指通用漏洞評分系統(tǒng)，英文對應(yīng)Common Vulnerability Scoring System。CVSS旨在評估安全漏洞的嚴重性，是全球各組織使用的公開標準。在極牛網(wǎng)梳理的這5大安全漏洞中，CVSS評分為10分的就有3項。具體來說，CVSS評分為10分的安全漏洞所代表的含義是——攻擊的復(fù)雜度極低，無需復(fù)雜的技術(shù)能力就可以利用該漏洞，漏洞利用對對機密性、完整性和可用性的影響都高。

△CVSS評分

這些安全漏洞除了可以實現(xiàn)對基因測序儀進行遠程控制外，還可以影響患者的臨床測序結(jié)果，從而導(dǎo)致診斷過程中的結(jié)果被篡改。雖然目前沒有監(jiān)測到這些漏洞被廣泛利用，但鑒于漏洞的威脅程序極高，建議Illumina基因測序儀客戶盡快升級相應(yīng)的安全補丁。

在6月8號的因美納官方回應(yīng)中，因美納只是概述了這些漏洞的風險，以及他們及時發(fā)布了修復(fù)補丁。并沒有對今后如何規(guī)避這種風險做出回應(yīng)，只是以大而化之的“未來規(guī)劃”一筆帶過。在深潛atom看來，這個“未來規(guī)劃”，某種意義上更多的都是理念性的表態(tài)，并沒有實質(zhì)性的內(nèi)容。

事實上，這不是因美納在今年第一次出現(xiàn)安全和產(chǎn)品問題。2022年3月，因美納就曾在其官網(wǎng)發(fā)布公告，主動召回基因測序儀 NextSeqTM 550Dx Instrument。本次召回涉及的國家比較多，除中國之外，還囊括了美國、英國、澳大利亞等25個國家和地區(qū)，共計召回621臺，中國152臺。

△因美納召回設(shè)備

6月13日，F(xiàn)DA官網(wǎng)要求因美納在全球范圍內(nèi)召回1813臺測序儀。但因美納并未進行實物召回，選擇的是軟件升級。根據(jù)因美納的回應(yīng)，此次隱患屬于網(wǎng)絡(luò)安全范疇，國內(nèi)相當數(shù)量的測序儀不聯(lián)入任何網(wǎng)絡(luò)，風險只存在于內(nèi)部，測序儀并不存在隱患。

但這個說法是站不住腳的。實際上早在2018年，因美納就推出了BaseSpace，啟動了基因云計算平臺。BaseSpace的全稱是Illumina BaseSpace Sequence Hub 基因云計算平臺，因美納為了配合其在中國市場的推廣，還給它起了一個易記的本土化名字“零維度”。

△BaseSpace

按照因美納官方的解釋，BaseSpace Sequence Hub作為BaseSpace Suite的主要部件，是客戶Illumina儀器最直接的擴展項。因為儀器生成的加密數(shù)據(jù)直接導(dǎo)入BaseSpace Sequence Hub，客戶可以利用一套精選的分析應(yīng)用程序來輕松地管理和分析數(shù)據(jù)。BaseSpace Sequence Hub由亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）提供支持。

BaseSpace作為基因云計算平臺，是因美納的重要產(chǎn)品；“將測序數(shù)據(jù)轉(zhuǎn)化為標準格式，并直接傳送到云端，提高分析效率；可訪問計算資源，無需內(nèi)部基礎(chǔ)設(shè)施的資金支出”的“云”架構(gòu)，是其產(chǎn)品的核心賣點。

BaseSpace成為了因美納的一個重要支撐服務(wù)，因美納也說BaseSpace可以為客戶業(yè)務(wù)帶來幫助。如果中國測序儀不能聯(lián)網(wǎng)，那么因美納為什么要推出BaseSpace？如果中國測序儀不能聯(lián)網(wǎng)，BaseSpace又如何能夠幫助客戶提高服務(wù)效率呢？更重要的是，不能聯(lián)網(wǎng)何以稱之為“云計算平臺”？

此次，因美納的召回等級也是二級，二級的定義是有可能會引起暫時或者不可逆的健康損害，但因美納的回應(yīng)卻避重就輕、云淡風輕。

或許針對醫(yī)院的聯(lián)網(wǎng)方案有特殊要求，但因美納客戶眾多，同樣有很多醫(yī)療機構(gòu)和企業(yè)是可以聯(lián)網(wǎng)的。毫無疑問，因美納又自稱在中國銷售的基因測序儀不聯(lián)網(wǎng)，有些自相矛盾。面對如此重大的安全漏洞，因美納卻只想通過最低的代價搪塞過去，有違其國際巨頭的身份，更是對中國市場和客戶的藐視。

02 掘金中國，成就壟斷地位

作為基因檢測行業(yè)的早期的參與者，1998年成立的因美納選擇卡位上游，快速成為全球最大產(chǎn)品、技術(shù)和服務(wù)供應(yīng)商，對于整個行業(yè)發(fā)展都舉足輕重。如今，很多人都吐槽基因檢測產(chǎn)品價格太高，就是因為需要依托上游的因美納。有行業(yè)從業(yè)者對深潛atom表示，因美納不降價，基因檢測成本就很難下來，產(chǎn)品的價格也很難被打下來。

掌控了市場和定價權(quán)的因美納，在2021財年營收和利潤都出現(xiàn)了大幅度增長。其中營收45．26億美元同比增長40％；歸屬母公司凈利潤7．62億美元，同比增長16．16％。其中，因美納在大中華區(qū)（中國）產(chǎn)生了5．02億美元收入，幾乎是前一年營收的150％，占總營收的11．1％。

自2005年進入中國市場后，因美納成為了中國改革開放和醫(yī)療健康快速發(fā)展的受益者，快速占領(lǐng)中國70％的基因測序市場。

很大程度上，正是中國市場，成就了因美納的霸主地位。尤其是在新冠疫情爆發(fā)后，因美納更是賺的盆滿缽滿。

新開源、安必平、貝瑞基因和金域醫(yī)學等頭部基因科技企業(yè)，已經(jīng)分別與因美納達成合作協(xié)議，基于因美納的系統(tǒng)進行體外診斷產(chǎn)品的研發(fā)；2021年，先后有超過30家中國基因檢測企業(yè)與因美納簽署合作意向。行業(yè)龍頭的地位，讓其可以輕松獲得眾多合作伙伴。

政策上，因美納也受益良多。自2021年以來，浙江省、海南省、廣東省、四川省、山西省多地相關(guān)部門先后進行了醫(yī)療設(shè)備采購的政策。有些省份大力推廣國產(chǎn)醫(yī)療器械，也有省份加強了對進口設(shè)備的依賴。

廣東省委建委發(fā)布了《2021年省級衛(wèi)生健康機構(gòu)進口產(chǎn)品目錄清單的公示》，進口設(shè)備品種從132種下降到46種，為國產(chǎn)設(shè)備提供了便利；又比如，浙江省也將數(shù)十種設(shè)備移出進口清單，需要優(yōu)先采購國產(chǎn)設(shè)備。

2021年四川省進口采購清單中，醫(yī)療衛(wèi)生實驗室儀器類設(shè)備幾乎都是以進口產(chǎn)品為主，包括全自動核酸檢測分析儀、基因測序儀、自動化多通道移液工作站、全自動動物血常規(guī)分析儀、全自動凝血分析儀（動物）等都限制了國產(chǎn)器械。在一些省份逐漸限制進口設(shè)備的大背景下，四川省卻放開了進口限制，讓因美納繼續(xù)擴大中國市場。

因美納已經(jīng)有兩款測序儀獲得了我國藥監(jiān)局的審批，二代基因測序儀價格在50－100萬美元之間。在合作伙伴和某些地方性政策的推動下，因美納2021年在我國營收大幅增加也是正�，F(xiàn)象。

△因美納測序儀

與一代和二代基因測序技術(shù)不同，第三、四代基因測序技術(shù)仍然處于興起階段，但毫無疑問掌握新一代測序技術(shù)的企業(yè)，將會掌握未來。但在三代測序和四代測序上，因美納的積累并不豐富。早在2012年，就計劃與英國第三代測序公司ONT合作，最終失�。欢�后在2018年擬以12億美元收購另一家第三代測序公司太平洋生物科學公司，最終結(jié)果依然未如意，反而讓因美納陷入了反壟斷調(diào)查。

03 發(fā)展本土化，

數(shù)據(jù)安全不能假手他人

互聯(lián)網(wǎng)時代，各行各業(yè)誕生了海量的數(shù)據(jù)。伴隨著互聯(lián)網(wǎng)、人工智能、云計算、大數(shù)據(jù)等技術(shù)的發(fā)展，數(shù)字化已經(jīng)成為常態(tài)，但數(shù)據(jù)安全性風險也越來越大。醫(yī)療數(shù)據(jù)是眾多數(shù)據(jù)中比較特殊的存在，醫(yī)療數(shù)據(jù)中包含著眾多私密敏感信息，因此，醫(yī)療信息的安全問題一直備受關(guān)注。

2021年9月1日，我國首部針對數(shù)據(jù)安全的《中華人民共和國數(shù)據(jù)安全法》正式開始實施，著重強調(diào)了保護公共衛(wèi)生、醫(yī)療、養(yǎng)老等醫(yī)療健康數(shù)據(jù)安全的重要性。

在過去十幾年，在我國政策和醫(yī)療機構(gòu)的支持下，因美納成功占據(jù)了我國基因測序的大半市場，理應(yīng)在數(shù)據(jù)安全方面全面配合，但現(xiàn)實是因美納并未盡數(shù)據(jù)安全相關(guān)的服務(wù)。因美納的產(chǎn)品出現(xiàn)嚴重的數(shù)據(jù)安全問題，是技術(shù)問題，還是態(tài)度問題呢？

更何況在因美納的回復(fù)中，竟然強調(diào)全球都暫未收到任何表明隱患被利用的報告。難道沒有患者數(shù)據(jù)被利用就等同于沒有數(shù)據(jù)泄露嗎？而且這已經(jīng)不是第一次因質(zhì)量問題召回產(chǎn)品，這是一個犯了重要錯誤的企業(yè)，應(yīng)該有的認錯態(tài)度嗎？

我國有56個民族，14億人口，貢獻了中國豐富的遺傳基因數(shù)據(jù)，引起了國外覬覦，有美國機構(gòu)連續(xù)20多年竊取中國基因信息。2015年國家文件明確指出，有外方參與的臨床試驗，涉及中國病人采集的樣本，都需要專門申請，但依然有眾多數(shù)據(jù)安全問題出現(xiàn)。但政策并不能阻擋跨國企業(yè)竊取我國醫(yī)療信息的欲望，2018年，阿斯利康因為違規(guī)采集、收集、買賣、出口、出境人類遺傳資源和開展超出審批范圍的科研活動而被處罰。

2022年3月份，科技部印發(fā)再次強調(diào)我國醫(yī)療數(shù)據(jù)安全重要性，印發(fā)的《人類遺傳資源管理條例實施細則》明確規(guī)定：“人類遺傳資源材料是指含有人體基因組、基因等遺傳物質(zhì)的器官、組織、細胞等遺傳材料；境外組織、個人及其設(shè)立或者實際控制的機構(gòu)不得在我國境內(nèi)采集、保藏我國人類遺傳資源，不得向境外提供我國人類遺傳資源�！�

核心設(shè)備不在自己手中，我國遺傳信息能否真正得到保護，猶未可知。哈爾濱工業(yè)大學網(wǎng)絡(luò)空間安全學院余翔湛教授接受采訪時表示，“目前人類基因組數(shù)據(jù)已經(jīng)成為各國重要的數(shù)據(jù)，涉及種族、國家安全，受到國家保護。這種數(shù)據(jù)一旦泄露后果不堪設(shè)想。”

與其將數(shù)據(jù)安全寄托于不負責任的美國企業(yè)，不如將數(shù)據(jù)掌握在自己手中。更何況，在基因測序儀這個領(lǐng)域，國產(chǎn)設(shè)備性能并不弱于美國企業(yè)。在美國企業(yè)不重視我國醫(yī)療數(shù)據(jù)的背景下，大力發(fā)展本土化產(chǎn)品，才是解決醫(yī)療數(shù)據(jù)安全問題的核心關(guān)鍵。

       原文標題 : 因美納陷數(shù)據(jù)泄露“丑聞”：我國基因數(shù)據(jù)安全能交給美企嗎？