起搏器(和其他医疗器械)真的会被黑客攻击吗?

心脏Pacemaker坐在心电图仪上。
Swapan摄影/ Shutterstock

从心脏Pacemaker到智能手表,我们越来越成为一种控制论的物种。 这就是为什么最近关于植入式医疗设备中的漏洞的头条新闻可能会引发警钟。 您祖父的心脏Pacemaker真的会被黑客攻击,如果是这样,真实世界的风险是什么?

这是一个及时的问题。 是的,医疗技术发生了重大变化,植入式设备现在可以无线通信,即将推出的医疗物联网(IoT)带来了各种可穿戴设备,以保持医疗服务提供者和患者之间的联系。 但是,一家主要的医疗设备制造商已成为头条新闻,但不是一个,而是两个关键的安全漏洞。

漏洞突出黑客风险

今年3月,美国国土安全部警告说, 黑客可以通过无线方式接入美敦力制造的植入心脏Pacemaker 然后,仅仅三个月后, 美敦力就出于类似的原因自愿召回了一些胰岛素泵

从表面上看,这是可怕的,但它可能不会听起来那么糟糕。 黑客无法从数百英里外的某个远程终端访问植入的心脏Pacemaker或进行大规模攻击。 要攻击其中一个心脏Pacemaker,攻击必须在物理上靠近受害者(在蓝牙范围内)进行,并且只有当设备连接到互联网以发送和接收数据时才能进行。

虽然不太可能,但风险是真实的。 美敦力设计了该设备的通信协议,因此它不需要任何身份验证,也不会对数据进行加密。 因此,任何有足够动力的人都可以改变植入物中的数据,从而可能以危险甚至致命的方式改变其行为。

与心脏Pacemaker一样,召回的胰岛素泵可无线连接到相关设备,如计量设备,可确定泵送多少胰岛素。 这一系列的胰岛素泵也没有内置的安全性,因此该公司正在用更具网络意识的模型取而代之。

行业正在追赶

X射线显示植入的Pacemaker。
ChooChin /存在Shutterstock

乍一看,可能看起来美敦力公司是无能为力和危险安全的典型代表(该公司没有回应我们对这个故事的评论请求),但它远非孤军奋战。

物联网安全公司Keyfactor首席技术官Ted Shorter说:“整体而言,医疗设备中的网络安全状况很差。”

Epstein Becker Green专门研究隐私,网络安全和医疗保健监管的律师Alaap Shah解释说:“制造商在历史上并未开发出考虑安全性的产品。”

毕竟,在过去,为了篡改心脏Pacemaker,你必须进行手术。 整个行业都在努力追赶技术并了解安全隐患。 一个快速发展的生态系统 - 就像之前提到的医疗物联网一样 - 正在给一个以前从未考虑过的行业带来新的安全压力。

迈克菲的首席威胁研究员史蒂夫·波沃尼说:“我们正面临着连接和安全问题增长的转折点。”

尽管医疗行业存在漏洞,但从来没有一种医疗设备遭到攻击。

“我不知道任何被利用的漏洞,”Shorter说。

为什么不?

“罪犯只是没有动力去攻击心脏Pacemaker,”Povolny解释道。 “医疗服务器的投资回报率更高,他们可以通过勒索软件将患者记录作为人质记录。 这就是他们追求太空低复杂度,高回报率的原因。“

事实上,为什么投资于复杂,高技术的医疗设备篡改,当医院IT部门传统上受到如此糟糕的保护并且支付得如此之好? 仅在2017年,就有16所医院因勒索软件攻击而瘫痪 如果你被抓住,禁用服务器不会带来谋杀费。 然而,黑客攻击一个功能正常的植入式医疗设备是一个非常不同的问题。

暗杀和医疗设备黑客攻击

即便如此,前副总统迪克切尼在2012年也没有采取任何机会。当医生用新的无线模型取代他的旧Pacemaker时,他们禁用了无线功能以防止任何黑客入侵。 受到电视节目“Homeland”情节的启发, 切尼的医生说 :“对于美国副总统来说,拥有一个可能有人可能能够破解的设备对我来说是一个坏主意。成。”

切尼的传奇暗示了一个可怕的未来,通过医疗设备远程控制个人的健康状况。 但是Povolny认为我们不会生活在科幻世界中,恐怖分子通过篡改植入物来远程摧毁人们。

“我们很少看到对攻击个人的兴趣,”Povolny说,引用了黑客的令人生畏的复杂性。

但这并不意味着它不可能发生。 这可能只是一个时间问题,直到有人成为现实世界,不可能任务式黑客的受害者。 Alpine Security制定了一份最易受攻击的五类设备清单。 名列榜首的是令人尊敬的心脏Pacemaker,它在没有最近的美敦力召回的情况下进行了削减,而是引用了制造商雅培公司 2017年召回的465,000个心脏Pacemaker 该公司不得不更新这些设备的固件,以修补可能导致患者死亡的安全漏洞。

其他设备Alpine担心包括植入式心律转复除颤器(类似于心脏Pacemaker),药物输液泵,甚至MRI系统,既不是出血也不是植入。 这里的信息是,医疗IT行业需要做大量工作来保护各种设备,包括在医院中暴露的大型传统硬件。

我们有多安全?

胰岛素泵在一个人的牛仔裤口袋里,贴在肚子上。
点击和照片/ Shutterstock

值得庆幸的是,分析师和专家似乎都同意,医疗设备制造商社区的网络安全态势在过去几年中一直在稳步提升。 这部分是由于FDA于2014年发布指导原则以及跨越联邦政府多个部门的跨部门工作组。

例如,Povolny鼓励FDA与制造商合作,简化设备更新的测试时间表。 “我们需要对测试设备进行足够的平衡,以免造成任何人伤害,但是我们不会花太多时间让攻击者在很长的时间内研究和实施对已知漏洞的攻击。”

根据UL医疗系统互操作性和安全性首席创新架构师Anura Fernando的说法,提高医疗设备的安全性是目前政府的首要任务。 “FDA正在准备新的和改进的指导。 医疗保健行业协调委员会最近制定了联合安全计划。 标准制定组织正在不断发展标准,并在需要时创建新标准。 国土安全部正在继续扩展其CERT计划和其他关键基础设施保护计划,医疗保健社区正在扩大并与其他人合作,不断改进网络安全状况,以跟上不断变化的威胁形势。“

也许令人放心的是涉及到如此多的缩略词,但还有很长的路要走。

“虽然一些医院的网络安全态度非常成熟,但仍有许多人正在努力了解如何处理基本的网络安全卫生,”费尔南多感叹道。

那么,您,您的祖父或患有可穿戴或植入式医疗设备的患者可以做些什么吗? 答案有点令人沮丧。

“很遗憾,责任在于制造商和医疗界,”Povolny说。 “我们需要更安全的设备和安全协议的正确实施。”

但是有一个例外。 如果您使用的是消费级设备,例如智能手表,那么Povolny建议您保持良好的安全卫生。 “更改默认密码,应用安全更新,并确保它不会一直连接到互联网,如果不是这样的话。”

赞 (0)
分享到:更多 ()