不可忽視的醫(yī)療健康設(shè)備安全隱患

■ 北京 李賀

編者按：隨著人們對(duì)自身健康的追求，有越來(lái)越多的人開始使用醫(yī)療健康設(shè)備，不僅包括醫(yī)院的專業(yè)醫(yī)療設(shè)備，更寬泛地講，像血糖儀及監(jiān)測(cè)心率的可穿戴設(shè)備等也可以包括在內(nèi)。像這些醫(yī)療健康設(shè)備在給人們帶來(lái)方便的同時(shí)，也存在一些潛在的安全問題。

以往在醫(yī)療保健領(lǐng)域似乎幾乎很少采用更多最新的前沿技術(shù)。盡管如此，新技術(shù)正在興起，從實(shí)時(shí)無(wú)線訪問，通過智能手表和可穿戴設(shè)備檢測(cè)健康參數(shù)，再到植入體內(nèi)的醫(yī)療設(shè)備。需要明確的是，雖然有些設(shè)備嚴(yán)格意義上講并非歸類為醫(yī)療設(shè)備，但它們也可收集人們的健康數(shù)據(jù)。那么我們能確保這些設(shè)備的安全性嗎？

幾年前在Black Hat 大會(huì)上曾展示了一個(gè)胰島素泵被黑客入侵的研究，引起人們對(duì)醫(yī)療健康設(shè)備安全性的擔(dān)憂。不管該設(shè)備上誰(shuí)的軟件份額最大，監(jiān)管機(jī)構(gòu)表示，即使操作系統(tǒng)具有良好的安全記錄，集成商也要負(fù)責(zé)上下堆棧的安全性，包括底層操作系統(tǒng)。換句話說(shuō)，無(wú)論使用何種技術(shù)，設(shè)備制造商均應(yīng)承擔(dān)安全責(zé)任。

雖然這給設(shè)備制造商帶來(lái)了一定的安全負(fù)擔(dān)，也極大地增加了將設(shè)備推向市場(chǎng)的成本和復(fù)雜性，但它也可能在不知不覺中使患者處于不安全的狀態(tài)。

那么，安全補(bǔ)丁又將由誰(shuí)來(lái)負(fù)責(zé)呢？根據(jù)相關(guān)法規(guī)，這也是制造商的責(zé)任。由于某些醫(yī)療設(shè)備會(huì)在用戶中使用很多年，因此需要花費(fèi)很長(zhǎng)時(shí)間來(lái)支持這些設(shè)備的維護(hù)。

是什么使設(shè)備易受攻擊？以及被黑客入侵的可能性有多大？在醫(yī)療健康中的互聯(lián)網(wǎng)連接設(shè)備的安全性上，有五個(gè)數(shù)字方面的缺陷。

安全問題

1.藍(lán)牙

許多醫(yī)療設(shè)備都通過藍(lán)牙集成了監(jiān)視和交互功能，而藍(lán)牙中的很多漏洞都有一定歷史了。盡管可能有補(bǔ)丁，但很難確定在醫(yī)療領(lǐng)域的實(shí)際采用率和時(shí)間表。同時(shí)，如果用戶的血糖測(cè)量結(jié)果受到篡改，那么用戶根據(jù)錯(cuò)誤的數(shù)據(jù)來(lái)調(diào)整血糖水平，則可能會(huì)面臨生命危險(xiǎn)。

2.Windows 系統(tǒng)

由于進(jìn)行集成的制造商的系統(tǒng)更新往往滯后，許多醫(yī)院都有用于其醫(yī)療設(shè)備的管理計(jì)算機(jī)，這些計(jì)算機(jī)運(yùn)行在不受支持的舊Windows版本上。如果制造商只是簡(jiǎn)單地發(fā)布最新的Windows 補(bǔ)丁程序，而無(wú)法在對(duì)其進(jìn)行廣泛測(cè)試來(lái)查看相關(guān)的集成問題，那么這種補(bǔ)丁程序可能會(huì)存在潛在隱患。一旦有漏洞被攻擊者發(fā)現(xiàn)，就會(huì)帶來(lái)極大的安全風(fēng)險(xiǎn)，因?yàn)橹圃焐炭赡芎芫貌艜?huì)修補(bǔ)漏洞。

3.云

許多植入的設(shè)備通過云連接將數(shù)據(jù)傳輸給臨床醫(yī)生，以促進(jìn)健康狀況更新并觸發(fā)可能需要引起患者注意的事情。但現(xiàn)如今無(wú)法確保云的安全性，患者不太可能有辦法了解潛在的漏洞，而攻擊者會(huì)迅速利用已知的漏洞并實(shí)施攻擊。在某些情況下，患者出于安全的擔(dān)憂而選擇退出與起搏器的外部通信，但是植入設(shè)備采用云技術(shù)的趨勢(shì)已非常明顯，一定程度上難以避免。

4.以太網(wǎng)

許多醫(yī)療設(shè)備都通過以太網(wǎng)接入醫(yī)療TCP/IP 網(wǎng)絡(luò)，但是對(duì)于許多臨床醫(yī)生和患者來(lái)說(shuō)，很難注意到與現(xiàn)有連接相串聯(lián)的網(wǎng)絡(luò)分流器。通過嵌入在此分流器中的無(wú)線鏈路竊取數(shù)據(jù)，攻擊者可以窺探流量和利用相關(guān)漏洞。這樣，攻擊者只需一次物理訪問即可實(shí)現(xiàn)目標(biāo)，且成本低廉。

5.無(wú)線鍵盤

鍵盤記錄器是記錄鍵盤擊鍵的一種攻擊方式，特別是冒充插入插座的USB 充電器來(lái)偵聽擊鍵信號(hào)，并通過工業(yè)4G 無(wú)線網(wǎng)卡來(lái)傳播數(shù)據(jù)。這種攻擊方式可以捕獲通過鍵盤鍵入的密碼之類的敏感數(shù)據(jù)，但也可以允許攻擊者繞過安全產(chǎn)品的警告提示來(lái)嘗試下載和安裝遠(yuǎn)程后門漏洞。

如何防范

這些關(guān)乎每個(gè)人健康狀況的醫(yī)療健康設(shè)備的安全性必須引起重視。那么我們應(yīng)當(dāng)采取哪些防范措施呢？以下幾點(diǎn)或許能夠幫助到您。

1.保護(hù)您的手機(jī)

許多醫(yī)療物聯(lián)網(wǎng)設(shè)備都是將智能手機(jī)作為接口，并用作收集、存儲(chǔ)和共享健康數(shù)據(jù)的手段。因此，無(wú)論您是Android 還是iOS 手機(jī)，都需要在手機(jī)上安裝安全軟件，以便保護(hù)手機(jī)來(lái)訪問和控制相關(guān)內(nèi)容。

2.為設(shè)備設(shè)置強(qiáng)密碼

一些物聯(lián)網(wǎng)設(shè)備非常容易受到攻擊，正是因?yàn)樗鼈兊哪J(rèn)用戶名和密碼。這些出廠設(shè)備默認(rèn)的用戶名和密碼通常是可以被查到的，因此在購(gòu)買這些設(shè)備之后，首先就需要重新設(shè)置強(qiáng)密碼，并確保這些密碼的安全。最好不要將它們存放在筆記本或便簽上，不如考慮使用密碼管理器來(lái)管理這些密碼。

3.使用雙因素身份驗(yàn)證

其實(shí)在銀行或在購(gòu)物時(shí)登錄相關(guān)帳戶，很多人都會(huì)遇到雙因素身份驗(yàn)證。通過使用您的用戶名和密碼以及發(fā)送到您另一臺(tái)設(shè)備（通常是手機(jī)）的驗(yàn)證碼的組合來(lái)登錄設(shè)備，相比于單一驗(yàn)證方式，黑客想要破解您的設(shè)備就會(huì)困難很多。如果您的醫(yī)療健康設(shè)備支持雙重身份驗(yàn)證，請(qǐng)盡快啟用來(lái)提高設(shè)備安全性。

4.定期更新

對(duì)設(shè)備的固件或軟件版本進(jìn)行及時(shí)更新是至關(guān)重要的，以便可以從設(shè)備上獲得最新功能。更為重要的是，更新也包括對(duì)安全的升級(jí)，以便能夠及時(shí)修復(fù)漏洞。當(dāng)然，最好將設(shè)備設(shè)置為自動(dòng)更新。

5.保護(hù)路由器

與其他設(shè)備一樣，醫(yī)療健康設(shè)備也會(huì)使用家庭WiFi網(wǎng)絡(luò)連接到Internet。確保該路由器使用了強(qiáng)度較高且區(qū)別于其他設(shè)備的密碼，以防止被暴力破解或撞庫(kù)。另外，還要更改路由器的名稱，以防止它泄露您的地址或身份。再者，檢查路由器是否使用了加密方法，例如WPA2，以便確保路由器信號(hào)的安全。如果對(duì)安全性要求較高，還可以考慮購(gòu)買具有內(nèi)置安全保護(hù)功能的高級(jí)路由器，這樣可以監(jiān)視連接到網(wǎng)絡(luò)的任何可疑設(shè)備。

6.使用VPN 和全面的安全解決方案

與上述類似，如果想要進(jìn)一步保護(hù)通過Internet發(fā)送的健康數(shù)據(jù)，可以使用VPN。VPN 通過使用加密的連接方式來(lái)發(fā)送和接收數(shù)據(jù)，從而防止數(shù)據(jù)被窺探。這有助于確保您的健康數(shù)據(jù)的安全。

7.購(gòu)買設(shè)備時(shí)，應(yīng)深入研究

如今有越來(lái)越多的人有意愿購(gòu)買新的聯(lián)網(wǎng)健康設(shè)備。要想確保設(shè)備的安全，在購(gòu)買時(shí)不妨多閱讀有關(guān)對(duì)這些設(shè)備的評(píng)論，以及有關(guān)其制造商的新聞。詳細(xì)了解設(shè)備制造商在安全方面的措施，例如是否曾發(fā)生數(shù)據(jù)安全事件等。

結(jié)語(yǔ)

多年來(lái)，醫(yī)療領(lǐng)域在安全防護(hù)方面都相對(duì)落后。盡管近期醫(yī)療網(wǎng)絡(luò)安全工作已邁出了重要的一步，但許久以來(lái)，發(fā)生關(guān)于醫(yī)療健康設(shè)備的網(wǎng)絡(luò)安全事件相對(duì)不是很常見，這也減少了人們對(duì)這些設(shè)備安全性的關(guān)注。在未來(lái)幾年內(nèi)，醫(yī)療行業(yè)的網(wǎng)絡(luò)安全建設(shè)將是一項(xiàng)挑戰(zhàn)。但如今醫(yī)務(wù)工作者和網(wǎng)絡(luò)安全從業(yè)者們已經(jīng)開始注意到這些方面的威脅。希望人們?cè)谙硎茚t(yī)療健康設(shè)備給自身帶來(lái)好處，了解自身健康數(shù)據(jù)的同時(shí)，能夠更多地關(guān)注可能關(guān)乎自身健康的醫(yī)療健康設(shè)備的安全問題。