心脏起搏器也要防黑客?
杰伊·拉德克利夫专业从事破解医疗器材系统的业务,因为他是网络安全研究员,负责测试这些产品的安全性。
杰伊本人是个糖尿病患者,他从不依赖全自动的胰岛素泵,而是坚持自己注射胰岛素,因为胰岛素泵可能被黑客侵入。
近年来,关于医疗器械安全性的忧虑陆续增加,像胰岛素泵、除颤器、胎儿监护器、扫描仪等器械越来越侧重于彼此之间的联系,以及与医院病历系统、互联网等的联系了。2011年时,杰伊公开了如何像黑客一样利用胰岛素泵的一个漏洞来进行控制,将胰岛素的注射量调到致命水平。一经公布,大众哗然。
尽管目前还没有任何确定的记录显示,有人通过控制医疗器械实施犯罪行为,伤害患者,但是美国国土安全部已经针对20几种器械展开了漏洞调查。而好莱坞于2012年出品的影视剧中,已经出现了密谋通过心脏起搏器暗杀副总统的剧情。
黑客能得到什么好处?
医院中使用的医疗器械确实有可能成为黑客的目标,因为与医院的整体数据系统相连的所有东西中,患者身上的器械是最薄弱的一环。真有黑客攻击医疗器械的话,他们的目的不太可能是害命,而是盗取医院的信息来赚钱。
医院掌握的信息很多,包括患者的社保卡号、经济状况、诊断书编号、保险单号等等。杰伊认为,患者的医疗信息的价值比信用号作息高出10倍。不法者可利用这些信息来申请信用卡、诈骗保险金、购买和倒卖药品及医疗器械。而且,被盗取者可能几年内都发现不了问题。
各方是否采取了措施?
目前,关于医疗器械的网络安全标准并不齐全。10月份,FDA出台了一项指南,建议制造商在生产新产品的过程中考虑安全因素,否则不予审核。但是这项指南不具法律约束效力,它要求制造商给出潜在的网络安全威胁,并提供更好的黑客入侵预警方法;另外,也要在设备中内置一些保护措施,如限制使用权限、只为有认证编码的设备提供更新等。今年年底,FDA将给市场上在售的医疗器械出台相似的指南。
医院一般不喜欢公开讨论医疗器械的安全性问题,不过不少医院已经着手提高所用系统的安全等级了。
美国中西部一个卫生系统请专家进行了两年的信息安全测试,结果发现他们所用的许多器械都是能够被黑客入侵的。如输液泵的设置可以远程修改,提高或减少用药剂量;除颤器可以在操作下发出不规律的冲击波;患者病历也可以更改。
美国卫生和公众服务部的斯蒂芬·柯伦(Stephen Curran)说,可能很多小型的卫生机构连负责网络安全的专人都没有,即使如此也有一些比较简单的方法可以提高安全性,如经常给系统做备份和打补丁,使用病毒防火墙等。
包括梅约诊所在内的一些医院已经开始限制所用器械的安全性了,它们在购买合同中明确列出了相关要求。德克萨斯大学安德森癌症中心则要求所有新软件必须通过医院专来安全小组的审查。
着名的网络安全公司科诺康正在为一些医疗器械制造商服务,但是这毕竟只是很少的一部分。有许多制造商连最基本的安全检测都不会进行,因为这些公司大部分都是小型的,其中80%只有不到50名员工,它们根本没有可以投入到安全检测中的资金。
那么,一句话来说,黑客真的可能入侵患者的输液泵或呼吸机吗?当然可能了。没有任何一种器械是百分之百安全的。