早在 2008 年,无线除颤器就被证明是可破解的。在今年的黑帽大会上,一位演讲者准确地展示了如何侵入无线胰岛素泵。这两者都证明了对无线医疗设备进行潜在致命黑客攻击的能力。
(这是一个无耻的插件。)我和其他几位作者编写了一本书的章节,其中提到了我们对各种无线医疗设备安全性的担忧,网址为http://www.intechopen.com/articles/show/title/wireless-telemedicine -system-an-accurate-reliable-and-secure-real-time-health-care。
虽然目前尚不存在已知的致命病毒,但可用的手动黑客使此类病毒的概念更近了一步。也许我是一个悲观主义者,但在我看来,国家或公司之间的暗杀企图可能会产生这种病毒……或者只是愚蠢的机会,无线网络上的另一种病毒可能会引发这种设备的严重问题。
您是否有类似的担忧,或者我是否过于担心?有没有其他人看到或发现其他无线医疗设备的致命安全问题?
从胰岛素泵的故事中考虑这一点:
以真正的黑客方式,他在过去的两年里一直试图自己破解它。
经过两年的努力,我怀疑你可以破解很多东西。这是否意味着它们本质上是不安全的,或者我们应该采取危言耸听的方法?我不这么认为。(顺便说一句,我并不是说你的问题是危言耸听)
任何医疗器械都必须进行风险分析。任何风险分析都必须考虑可预见的误用。在当今时代,网络入侵、病毒等肯定属于可预见的范畴,需要加以缓解。
我认为真正的问题是多少缓解才足够?这只能在特定设备的上下文中回答。
总会有黑客做这类事情,因为他们可以。我认为,该池与具有恶意意图的人重叠的程度是关注的严重程度。
与医学中的其他任何事情一样,成本和收益之间存在权衡,因此如果对患者的便利性以及控制剂量和其他参数的能力超过了黑客攻击的风险,那么我们应该继续提供此类设备。我不熟悉这种胰岛素系统的设计,但固件应该提供某种检查,以防止在任何情况下给予致命剂量。
最近,计算机安全研究人员对医疗设备的安全性越来越感兴趣,并且已经开始建立关于该主题的文献。如果有兴趣,您可以阅读以下一些研究论文:
植入式医疗器械的安全和隐私。Daniel Halperin、Thomas S. Heydt-Benjamin、Kevin Fu、Tadayoshi Kohno 和 William H. Maisel。IEEE 普适计算,2008 年。
起搏器和植入式心脏除颤器:软件无线电攻击和零功率防御。Daniel Halperin、Thomas S. Heydt-Benjamin、Benjamin Ransford、Shane S. Clark、Benessa Defend、Will Morgan、Kevin Fu、Tadayoshi Kohno、William H. Maisel。IEEE 安全与隐私,2008 年。
值得信赖的医疗器械软件。凯文·傅。FDA 510(k) 批准程序的公共卫生有效性,2010 年。
胰岛素泵输液系统安全性综述。Nathanael Paul、Tadayoshi Kohno、David C. Klonoff。发表于糖尿病科学与技术杂志,2012 年。
提高植入式医疗器械的安全性和隐私性。William H. Maisel 和 Tadayoshi Kohno。新英格兰医学杂志,2010。
神经安全:神经设备的安全和隐私。Tamara Denning、Yoky Matsuoka、Tadayoshi Kohno。神经外科焦点,2009。
进行两次软件更新,早上见我:医疗设备软件安全评估案例。史蒂文·汉纳、罗尔夫·罗尔斯、安德烈斯·莫利纳-马卡姆、Pongsin Poosankam、Kevin Fu、黎明宋。健康安全 2011。
医疗器械审批流程的软件问题。凯文·傅。在美国参议院作证。
内部风险:降低植入式医疗器械的风险。凯文·傅。ACM 通讯,2009 年。
有关该领域的更多研究,另请参阅HealthSec 2010、HeathSec 2011、HealthSec 2012、医疗器械安全中心和SHARPS 项目。
一个简短的总结是,研究人员在各种各样的医疗设备中发现了许多安全漏洞。这些设备的构建似乎没有考虑到安全性,没有遵循良好的安全开发实践,并且医疗认证过程并不能确保医疗设备是安全的。
但是,话虽如此,我认为您必须正确看待风险。该领域的领先研究人员一再强调这些设备的救生价值,并谨慎地声明其医疗利益大于安全风险。其中一位公开表示,如果他需要其中一种植入式设备,他会得到,毫无疑问。
我认为谈论远程暗杀是……电影院的风险。当然,原则上它在技术上可能是可行的,但对于普通人来说,这感觉有点牵强,远非最严重的风险。相反,我认为目前更大的风险是对医疗设备的意外或无意妥协或干扰的可能性。随着医疗设备中软件使用的增长,如果软件病毒无意中感染了医疗设备并干扰了医疗设备的运行怎么办?这就是我认为值得更多关注的事情。
此外,我要提醒您,医疗问题对许多人来说都是敏感和个人的。我知道安全研究人员有时会热衷于谈论潜在的最坏情况和令人敬畏的漏洞利用,但这里存在一个非常现实的风险:如果安全研究人员吓唬公众避免使用这些设备,那么治疗将远比疾病更糟糕. 如果安全社区在公众面前夸大或夸大风险,最终可能会对可避免的死亡负间接责任。因此,在与潜在患者交谈时,我认为我们有责任在讨论这个问题时非常谨慎和专业。
虽然实际损害的数量可能仍然很小,但感知到的威胁却是巨大的。即“恐惧因素”使得保护这些设备非常重要。其他人则提到了患者以安全为由拒绝使用设备造成的损害。制造这些设备的公司的声誉也受到损害。
也就是说,保护可植入设备有其自身的一系列挑战。这些设备旨在连续运行数年——越长越好。当您更换(植入)设备时,您总是冒着感染的风险,因为它的电池已经没电了。此外,设备本身也很昂贵。因此,您必须平衡用于提供安全性(加密、病毒检查?)的功率与用于提供治疗的功率。
任何一家医院的急诊室工作人员都必须随时访问和重新编程这些设备中的许多设备(如果患者出现起搏器介导的心动过速怎么办?)。如果您实施的安全方案在员工时间方面过于昂贵,患者可能会死亡。
您选择的任何安全方案也必须经得起时间的考验。一种设备可能需要数年时间才能完成研发,并需要一两年时间才能在所有将要销售的国家/地区获得认证。在此之后,在新设备上市很久之后,它可能仍会在某些市场(如中国)销售。然后在这一点之后,它将在某人的身体中保留多年。这意味着您的安全计划可能有 15 到 20 年的生命周期。
您还必须处理医院环境的安全丛林。医生来来去去,他们将记忆棒插入植入式设备的编程器(即起搏器编程器)中,这样他们就可以将心电图放入他们的电子病历中。即使您向他们提供安全更新,他们也可能决定不应用它们。许多这些植入式设备编程器实际上是运行 Windows Embedded 或 Windows CE 的计算机。
这些都不会减少植入式医疗设备对更好安全性的迫切需求,但挑战有时比表面上看起来要大。