這款軟件應用於illumina的很多測序產品，目前尚待尋找永久修復方案

文/ 辛穎 王小

編/ 王小

圖/Illumina官網

全球測序行業巨頭因美納（illumina）出現紕漏。

2022年6月13日，美國食品和藥物監督管理局（FDA）官網發佈的醫療器械召回通知顯示，召回illumina（ILMN）旗下NextSeq 550Dx 和MiSeqDx兩款基因測序儀，召回原因系儀器存在網絡安全漏洞。

此次召回涉及的儀器共2201臺，涉及美國、日本、俄羅斯、英國、越南等55個國傢和地區。其中，在中國有423臺需要召回。

這些儀器用於人類基因測序的臨床診斷、遺傳檢測或科研。早在5月初，兩款儀器存在網絡安全漏洞已被發現。5月5日，上海藥監局發文召回相關產品，召回級別為二級，意味著使用該醫療器械可能或者已經引起暫時的或者可逆的健康危害。

對定為二級召回的理由，6月15日，illumina相關負責人向《財經 大健康》介紹，雖然存在漏洞的設備用於體外的基因檢測，並不會直接對人體產生影響，但監管部門考慮到一些極端情況下的影響，“比如有一些人通過基因檢測做產前無創篩查，萬一有黑客通過這個漏洞篡改瞭檢測結果，臨床醫生可能會據此認定胎兒是不健康的，就將影響到人身安全”。

盡管截至記者發稿，全球范圍尚未收到任何表明該隱患已被利用的報告，這次的illumina網絡安全漏洞也被視為近十多年以來，最大的一次安全風險。

illumina相關負責人表示，在全球醫療體系中，該公司與各國監管機構保持密切溝通機制。

漏洞的危害有多大

此次事件的起因是，英國的一傢基因檢測公司在做日常系統安全維護時，其聘請的專業技術人員發現瞭illumina測序儀的漏洞，問題隨後告知該公司。由於這款軟件應用於illumina的很多產品，公司立刻開始瞭全面排查。

排查結果被曝出有五個安全漏洞，其中三個安全漏洞被視為最高嚴重等級。

兩款被召回的基因測序儀，適用於體外診斷。出現的網絡安全漏洞，可導致測序儀被遠程控制。

美國FDA官網顯示，該安全漏洞可導致未經授權的用戶遠程控制儀器，改變儀器或客戶網絡上的設置、配置、軟件或數據，或影響用於臨床診斷的儀器中的患者測試結果，包括導致儀器不提供結果或提供不正確的結果、改變的結果，或數據泄露。

兩款產品中，一款用於對來源於人體外周血的基因DNA測序；另一個款產品基於邊合成邊測序技術。兩者都用以檢測基因變化，這些基因變化可能導致存在疾病或易感性。

早在5月初，illumina向每一位受此影響的中國客戶發出通知，並在中國開展相應現場軟件升級措施。

6月3日，美國國土安全部下屬的網絡安全和基礎設施安全局（CISA）發佈瞭工業控制系統公告，詳細曝光瞭illumina多款設備存在多個漏洞。

CISA也說明，一旦這些漏洞被未經身份驗證的惡意行為者利用，則可以通過操作系統遠程上傳和執行代碼，以更改設置、配置、軟件或訪問受影響產品的敏感數據。

這一安全警示立竿見影，翌日，illumina股價跌幅達6.26%。

在CISA的公告中，詳細披露瞭NextSeq 550Dx、MiSeqDx、NextSeq 500、NextSeq 550、MiSeq、iSeq和 MiniSeq 等多款測序儀器軟件存在網絡安全漏洞。

illumina公佈瞭自己的補救計劃，稱“已開發並提供瞭一個短期軟件補丁，以防止本地運行管理軟件 Local Run Manager（LRM）受到遠程代碼執行（RCE）的影響。”另外，該公司正積極開發一個永久性的軟件修復方案，旨在為當前及將來的測序儀全面消除這一隱患，一經完成將及時通知客戶。

從這則公告中可見，目前尚未能徹底解決這些安全漏洞，隻能先發佈一個短期補丁。

被美國CISA評估為最高嚴重等級，此次暴露的網絡安全漏洞的潛在危害性不容小覷。

illumina的二代測序（NGS）和芯片技術，生成瞭全世界約90%的測序數據。在全球被使用的基因測序設備中，可能擁有大量患者的醫療數據，包括DNA數據、健康信息、傢族遺傳史等數據。

涉及到生物基因安全，普通公眾非常敏感。哈佛大學的一項調查顯示：92％的美國人不願意公開基因數據，最關鍵的原因就是擔心子孫後代的信息可能會被公開。

此次安全漏洞影響范圍非常廣。如果補救不及時，隨時都將可能發生數據泄露事件，由於國內也有眾多企業使用瞭illumina的設備。

上述illumina相關負責人向《財經 大健康》介紹，自5月啟動升級計劃起，截至6月14日，“中國所有客戶全部完成現場軟件升級，是完成最快的國傢，目前全球客戶的維護接近基本完成”。並稱，將開發一個永久性的軟件修復方案，以全面解決類似問題。

燃石醫學相關負責人告訴《財經·大健康》，公司有使用illumina測序儀，但在中國此次並不涉及實物召回，之前已經收到瞭illumina的相關通知，第一時間完成瞭軟件的升級，目前沒有產生影響。

“我們的儀器平臺nextseq CN500這個型號是我們為國內定制的，隻能在國內生產，放到醫院後也是本地化局域網醫院存儲的，與illumina無交互。”貝瑞基因相關負責人說。

上述illumina相關負責人稱，網絡漏洞100%永遠沒有是不可能的，因此公司持續評估並優化所有產品的系統以確保網絡安全。所有相關方對於網絡安全性抱持主動且警覺的態度至關重要，包括采取優選方案，並且針對已識別的隱患采取短期和長期的應對方案。

“目前我們在基因檢測信息漏洞上還是缺乏專業人士和監管手段的，如果業內人士不說就很難發現，所以常常是在出現問題後才能做一些補救措施。”北京億生康源醫療科技有限公司創始人李琛認為，對於基因測序儀的使用機構應進行適當的限制。

誰能挑戰？

針對網絡安全方面的產品召回，這也是illumina首次遇到。

illumina相關負責人稱，基於生物安全考慮，中國很多客戶是不聯網的，尤其是絕大多數公立醫院。因為不聯網，所以必須要上門維修，即便是疫情封控的地方，可能工程師出不去，也會請授權的第三方、有資質的工程師去做。

此次事件所涉兩款產品中，NextSeq 550Dx是一款新產品，2021年11月15日才推出。另一款MiSeq Dx，具有裡程碑般的意義。2013年，它成為首臺被美國FDA批準用於臨床商業化使用的二代測序技術平臺，2018年獲得中國國傢藥監局批準上市。

illumina創立於1998年，總部位於美國加利福尼亞州聖迭戈 ，為115個國傢和地區提供服務，2020年年收入達32.36 億美元。

到目前為止，基因測序技術的發展一共湧現瞭四代測序技術。目前，二代測序技術（NGS）為市場主流，領頭的公司有illumina、羅氏公司、Life tech等。

一位基因檢測人士對《財經·大健康》分析，illumina的二代測序占全球基因測序80%以上的市場份額，有絕對的優勢。

這個領域的大佬不但“賣剃刀”，對刀片也感興趣。玩法是以測序平臺供應商為核心的“企業環繞體系”。如，擁有核心測序技術供應商構建一個測序平臺作為中心，與應用端的眾多企業達成基於聯合研發模式或儀器采購模式的合作，研發基於此平臺的基因測序試劑盒。

illumina周圍所環繞的企業數量最多且總體量最大，僅中國公司成為MiSeq Dx平臺戰略合作夥伴的就有燃石醫學、臻和、元碼基因、世和基因、嘉寶仁和、真固生物、艾德生物等。

據新思界產業研究中心發佈的一份研究報告顯示，當前全球NGS儀器不到一萬臺，其中illumina占比85%左右，其餘份額主要被賽默飛、羅氏等瓜分。

國內企業華大智造領先，不過由於起步相對較晚，目前以其NGS平臺為中心進行開發和應用的企業相對較少。《2021年中國基因檢測行業研究報告·技術篇》顯示，尤其在進行儀器聯合研發的內環中，除泛生子，其他三傢企業皆為“華大系”，即華大基因及其投資的企業。

“illumina的測序儀產品系列比較豐富，很難有能夠全面和illumina相抗衡的國產測序儀品牌。”高特佳投資執行合夥人王海蛟對《財經·大健康》分析。

目前，華大智造、真邁生物等國產測序儀都是從某一個應用場景上，尋找illumina的弱點，由此切入市場。比如病原微生物的宏基因組學在國內發展的比較好，國際上需求較少，所以illumina沒有這方面的單獨的測序儀，國產企業就單從這一領域切入。

“如果和illumina三四年前的有一些型號的測序儀相比，基本是可以實現國產替代的，但是由於上市時間較短，所以國產測序儀整體的市場還沒有發展起來。”王海蛟說。