2019年9月23日 星期一

.駭客可利用植入式醫療器械「遙控殺人」?防範須多管齊下

Can Pacemakers Be Hacked?



來源:本来科技

六年前,曾被稱為「全球最牛駭客」的巴納拜·傑克在家中離奇死亡(時年僅35歲),而在死亡前幾天,他曾表示要在即將開幕的「白帽」駭客會議上,展示一項驚人的「駭客絕技」—— 在 9 米之外入侵,植入式心臟起搏器等無線醫療裝置,然後向其發出一系列830V高壓電擊,從而實現「遙控殺人」。

傑克聲稱,他已經發現了多家廠商生產的心臟起搏器的安全漏洞。有傳言稱,他正是因此招來殺身之禍。但該傳言不得證實,警方也拒絕透露,關於其死因的任何細節。


黑客可利用植入式医疗器械“遥控杀人”?防范须多管齐下

時至今日,越來越多的植入式醫療器械,走進人們的生活,相關的安全提醒也在逐年增加。類似心臟起搏器、植入式心房除顫器、植入式胰島素泵等,植入醫療器械存在網路安全漏洞,已經不再是轉喉觸諱的話題。

同余科技是對岸中國,一家致力於提供智慧設備體系安全服務的公司,該公司創始人袁开国在接受筆者採訪時說,未來是物聯網的世界,安全問題是必然存在的。特別是,未來不止病人需要植入醫療器械,隨著沈浸式體驗時代的到來,可能正常人也會植入網路設備。

醫療設備漏洞並非聳人聽聞
全漏洞警告中瞭解到,著名醫療器械製造商——美敦力使用的Conexus無線遙測協議,存在網路安全漏洞,因為它不使用加密、身份驗證或授權。

FDA已確認,如果利用這些漏洞,可能會允許未經授權的個人(如患者醫生以外的其他人)訪問,並可能操縱可植入設備、家庭監護儀或臨床程序員。

美國國土安全部(DHS)也在今年3月警告稱,美敦力生產的多款醫療設備,是易受網路安全攻擊的,「這些漏洞影響該公司17種型號的植入式心臟裝置,和被用來與之通訊的外設」。

黑客可利用植入式医疗器械“遥控杀人”?防范须多管齐下

美敦力並不是個例。從美國國土安全部(HDS)2017年9月披露的網路安全漏洞中,記者瞭解到,史密斯醫療(SMIths Medical)生產的 Medfusion 4000 無線注射器輸液泵,存在安全漏洞。遠端攻擊者透過利用這些漏洞,可能會獲得未經授權的訪問,並影響泵的預期操作,破壞通信模組和泵的治療模組。

據外媒 security affairs 報導,2017年,FDA 召回大約 46.5 萬個起搏器,業內人士認為,這些醫療器械被大規模召回,有可能的原因是「被駭客攻擊」。

對此,袁開國表示,心臟起搏器是有可能被駭客攻擊的,駭客可透過特殊手段監聽或修改心臟起搏器的信號,透過修改頻率對心臟起搏器產生干擾。不過,他也表示技術難度很大,「駭客目前沒有必要的利益驅動,但隨著未來物聯網的發展,網路安全是必須面對的問題」。

專家:不必恐慌
針對心臟起搏器等潛在的網路安全漏洞,美敦力一位發言人表示,到目前為止,還沒有觀察到網路攻擊、隱私洩露或與這些問題相關的患者傷害。

FDA 在警告中也指出,駭客若想成功利用該網路漏洞,需要滿足具有能夠發送或接收 Conexus 遙測通信的 RF 設備,例如監視器、編程器或軟體定義無線電,以對受影響的產品進行相鄰的短程訪問;同時,產品還必須處於 RF 功能有效的狀態。

「美敦力曾向我們發佈過,含有網路安全漏洞的產品清單,對於已使用清單產品的患者,只需醫院和醫生關注即可,無需過多干預。」專家認為收到醫療設備商的安全提醒,是很正常且有必要的。

隨著網路技術的發展,人們對於植入醫療器械的網路安全關注度,也越來越高。但患者不必恐慌,目前臨床上未出現過,遭受到駭客攻擊的事件,或不明信號的惡意干擾,而導致起搏器工作不正常的現象。

張澍以起搏器為例解釋道:
首先,就生產技術而言,目前全球起搏器的製造商較少,起搏器的科技含量較高,廠商在設計製造時會考慮網路安全問題;

其次,從攻擊難度而言,目前起搏器使用的是專門的信號,以及傳輸密碼,傳輸密碼非常複雜,外界很難進行干擾。

另外,起搏器是單向的信號輸出,遠端技術很難改變起搏器的工作,必須由專門的醫生使用專門的設備;

並且,起搏器自身也有安全保障,在強磁場的干擾下,起搏器會自動進入安全模式,安全模式下除保證正常起搏外,任何外來的信號無法干擾,必須到醫院進行解鎖。

黑客可利用植入式医疗器械“遥控杀人”?防范须多管齐下

不過專家也提醒,防範也非常重要。

設備廠商從技術層面發現安全問題時,要及時通知到藥監部門和醫院,同樣醫生發現安全問題,也會即時上報藥監部門。

對於人們對可植入醫療器械網路安全表現出的恐慌,心臟起搏器在不同的發展階段,需要解決不同的問題,就像藥品中的使用說明書,會注明其有可能發生的不良反應一樣,需給予一定關注,使用起搏器的病人也一樣,不必恐慌,定期到醫院進行檢測即可。

防範:需多管齊下
針對醫療設備潛在的網路安全威脅,已經有科研團隊開展了未雨綢繆的研究。

筆者在《科學報告》期刊上發現,今年3月,美國普渡大學Shreyas Sen等人設計了一種對抗手段,利用「電準靜態場人體通信」(EQS-HBC)的方法,透過採用低頻率無載波(寬頻)傳輸的方法,將醫療設備的通信信號,限制在人體範圍之內。測試表明,EQS-HBC 信號可被檢測的範圍小於0.15米,而傳統的無限體域網(WBAN)是 5 米左右,相比之下,EQS-HBC 提供了超過 30 倍的安全空間改進。

黑客可利用植入式医疗器械“遥控杀人”?防范须多管齐下

「起搏器發出的信號不會離開皮膚……除非有人碰觸你的身體,否則他們不會得到信號。」關於這項實驗,Sen說。

在筆者看來,這一「將醫療設備的通信信號,束縛在人體範圍內」的探索,為防範醫療設備潛在漏洞攻擊提供了思路。

記者同時也瞭解到,目前歐美已有多家為醫療機構,提供物聯網安全的第三方公司,隨著物聯網的發展,物聯網安全公司或將迎來新的機會。

然而,採訪中專家對筆者表示,僅靠阻斷信號的佩戴設備,以及第三方網路安全公司,還不足以全面應對物聯網時代下,可植入醫療器械的網路安全問題,必須通力配合,多管齊下。

黑客可利用植入式医疗器械“遥控杀人”?防范须多管齐下

今年 3 月,對岸中國的國家藥監局綜合司發佈了《關於進一步加強無菌和植入性醫療器械監督檢查的通知》,在生產環節檢查中指出,要重點檢查是否建立,與所生產產品相適應的醫療器械不良事件收集方法,是否即時收集醫療器械不良事件資訊,對存在安全隱憂的醫療器械,是否採取了召回等措施,並按規定向有關部門進行報告。

並提出,各級醫療器械監管部門要透過各種管道,收集安全風險資訊,每季要展開一次安全形勢分析,即時研判風險狀況、即時採取措施加強監管。

物聯網尚處於早期階段,關於物聯網安全的標準還不完善,這使得廠商和行業在安全標準上跟進困難。

不過,醫療器械廠商作為設備的設計和生產主體,從技術上決定著,植入醫療器械的網路安全防範能力,因此廠商要增強網路安全意識,完善產品設計,及時檢測跟進,發現漏洞即時,上報藥監部門並通知醫院。

目前廠商都會在發現問題時,即時通知藥監部門和醫院:「我們經常會收到廠商的提示和提醒,我們也鼓勵廠商即時通知的行為,這對於安全防範非常重要。」

「醫生如發現醫療器械的網路安全問題,應即時上報藥監部門,同時針對藥監部門和廠商發佈的提示和警告,也要進行密切關注和反饋。植入醫療器械的網路安全防範,需要各主體通力配合,作為患者也要謹遵醫囑,定期檢測,發現異常及時反饋,不做禁止事項。


AKD 寰楚專業級全系列監控設備

沒有留言:

張貼留言