您可能已经听说过“您的健康就是您的财富"这一短语。这就是美国仅在2015年就在医疗保健上花费超过3.2万亿美元的原因之一。
只有这么多钱在浮动,这仅仅是很自然,很多企业都进入了医疗保健市场,包括科技公司。
医疗技术有时会让人感觉过时,但是公司却打算将这些设备拖入21世纪。尽管互联网连接似乎是一个很棒的功能,但仍有一些实际的危险和问题会让您感到惊讶。
什么是医疗设备?
世界卫生组织(WHO) )将医疗设备定义为“制造商打算用于[…]人类的任何仪器,设备,工具,机器,器具,植入物,体外使用的试剂,软件,材料[…],用于一个或多个人。 […]特定的医疗用途"。
虽然听起来很复杂,但这仅表示可以用于医疗目的的任何设备或软件。
美国食品药品监督管理局(FDA)负责医疗器械的监管监督,并将其分为三类:I类,II类和III类。 1类设备的监管很严格,大多数控制只针对它们的制造和销售方式。 II类增加了更具体的法规,而III类则保留用于支持或维持人类生命的设备。
但是,与世界各地一样,FDA一直在努力跟上创新的步伐。很少有关于如何规范现代互联网连接设备的参考。
制造商应采取哪些步骤来确保此类设备的安全性? FDA在2016年12月确实发布了有关医疗设备安全性的指南,但法律上没有强制性。这使制造商可以决定是否遵循建议。
(医疗)物联网
这将与互联网相连的医疗设备与更广泛的医疗设备放在同一条船上物联网(IoT)类别。物联网医疗设备有很多好处,但是缺乏强制性的法规意味着制造商不太可能投入大量资源来保护它们。
这只是物联网成为众多原因的原因之一安全噩梦。此外,我们从字面上将生活置于医疗物联网设备的手中。因此,风险甚至比普通的物联网设备还要高。
医疗保健是一项昂贵的业务,不仅对患者而言,而且对提供商本身也是如此。公司向新设备和技术支持收取大量费用。这意味着医院和其他医疗实践是一堆杂乱无章的工具,有些是新工具,有些是旧工具,具有一系列不同的操作要求。旧硬件,旧软件和专有接口都结合在一起,从而使适当地保护系统成为提供商IT部门的噩梦。
示例:窃听医用泵
如Saurabh Harit在Black Hat Europe 2017上所展示的那样,软件和硬件经常会暴露出可利用的漏洞。他获得了IV输液泵,可以将药物注入患者的血液中,并可以进行远程编程和操作。
通过使用在线找到的默认密码访问泵的管理模式,他能够使用该设备的红外线和从eBay购买的旧PDA将其Wi-Fi凭据导入到泵的网络设置。
使用Wireshark (许多开源网络安全工具之一)Harit检查数据包,查看了患者数据,例如药物剂量,护理人员,姓名,位置和路线。令人惊讶的是,他甚至能够访问设置并保持规定剂量的主药列表。
示例列表不胜枚举……
如果此类漏洞仅限于该泵,这足够令人震惊,但研究人员会定期发现新的。一个团队能够使用CT扫描仪,该设备可以为您提供小剂量的辐射,从而在体内创建3D模型。
2017年8月,FDA召回了465,000枚由他制造的起搏器雅培对黑客的担忧。雅培没有强迫近一半的人进行侵入性手术,而是发布了一个固件补丁,医护人员可以将其应用于起搏器。
早在2014年,国土安全部(DHS)就开始了针对疑似严重漏洞调查了24种设备。设备包括Hospira Inc.的输液泵以及Medtronic和St Jude Medical的可植入心脏设备。
传统医疗设备和安全性较差
如果您曾经在办公室工作过,会知道许多企业都依赖旧版软件。这总是需要较旧的操作系统,驱动程序和外围设备,这使其非常不安全。费用通常是决定是否更新的决定因素,许多人认为他们无法证明费用合理。如果安全性没有问题,就不要修复它,对吧?
企业经常以优先考虑的方式来努力确定网络安全的优先级,即如果尚未发生攻击,则不会。不幸的是,医疗保健提供者也无法避免这种思路。 2017年5月,被称为WannaCry的勒索软件攻击几乎同时感染了300,000台计算机,其中许多属于英国国家卫生局(NHS)。
该勒索软件影响了全国40多个NHS信托,减少了患者护理,关闭手术室,甚至关闭医院。攻击的后果使患者处于危险之中,并有可能破坏其数据的安全性。可悲的是,微软在攻击发生前一个月发布了补丁程序,这可能会使WannaCry无法发挥作用。不仅没有发布此更新,而且事实证明许多计算机仍在运行Windows XP。
尽管对具有15年历史的操作系统的支持已得到扩展,而该操作系统已在攻击发生前两年结束了。
医疗器械的未来使我震惊
技术继续在医疗领域取得重大进步,但这并不是英国NHS发现的医疗领域的救助之举。根据政府卫生部长杰里米·亨特(Jeremy Hunt)的说法,由于“计算机算法错误"未能邀请45万女性定期进行乳腺癌筛查,可能有多达270名妇女死亡。
与受进展影响的其他许多地区不同就技术而言,医疗设备可能是生死攸关的问题。随着摩尔定律在未来几年内使更多设备能够上网,制造商必须优先考虑安全性。毕竟,如果设计出一个“杀手级功能",那真是一个毁灭性的准确描述。
