我的位置 首页  >  新闻动态  >  国内新闻

可植入医疗器械被黑客瞄准?莫恐慌,可防范

来源:科技成果转化中心时间:2019-05-25
      

■本报见习记者 田瑞颖

6年前,被称为“全球最牛”的黑客巴纳拜·杰克在家中离奇死亡,而在死亡前几天,他曾表示要在即将开幕的“白帽”黑客会议上,展示一项惊人的“黑客绝技”——在9米之外入侵植入式心脏起搏器等无线医疗装置。

现如今,越来越多的植入医疗器械走进人们的生活,相关的安全提醒也在逐年增加。类似心脏起搏器、植入式心脏除颤器、植入式胰岛素泵等植入医疗器械存在网络安全漏洞已经不再是耸人听闻的话题。

同余科技是国内一家致力于提供智能设备体系安全服务的公司,该公司创始人袁开国告诉《中国科学报》,未来是物联网的世界,安全问题是必然存在的。特别是,未来不只病人需要植入医疗器械,随着沉浸式体验时代的到来,正常人可能也会植入物联网设备。

医疗设备漏洞并非耸人听闻

记者从美国食品药品监督管理局(FDA)网站近日公布的一则网络安全漏洞警告中了解到,某品牌起搏器使用的Conexus无线遥测协议存在网络安全漏洞,利用这些漏洞,可能会允许未经授权的个人(如患者医生以外的其他人)访问甚至操纵可植入设备、家庭监护仪或程控仪。

从美国国土安全部2017年9月披露的网络安全漏洞中,记者了解到,史密斯医疗(Smiths Medical)某型号的无线注射器输液泵存在安全漏洞,远程攻击者利用这些漏洞,可能会获得未经授权的访问并影响泵的预期操作,破坏通信模块和泵的治疗模块。

据外媒security affairs报道,2017年,FDA召回大约50万个起搏器。业内人士指出,这些医疗器械被大规模召回的原因是,有可能“被黑客攻击”。

对此,袁开国表示,心脏起搏器是有可能被黑客攻击的,黑客可通过特殊手段监听或修改心脏起搏器的信号,通过修改频率对心脏起搏器产生干扰。不过,他也表示技术难度很大,“黑客目前没有必要的利益驱动,但随着未来物联网的发展,网络安全是必须面对的问题”。

专家:不必恐慌

针对近期的某品牌心脏起搏器网络安全漏洞,FDA在警告中也指出,到目前为止,还没有观察到网络攻击、隐私泄露或患者受伤的问题。黑客若想成功利用该网络漏洞,需要拥有能够发送或接收Conexus遥测通信的RF设备,例如监视器、编程器或软件定义无线电,以对受影响的产品进行相邻的短程访问;同时,产品还必须处于RF功能有效的状态。

中国医学科学院阜外医院心律失常中心主任、世界心律失常学会主席张澍认为,“随着互联网的发展,人们对于植入医疗器械的网络安全关注度也更高。但患者不必恐慌,目前临床上未出现过遭受到黑客攻击的事件,或不明信号的恶意干扰而导致起搏器工作不正常的现象”。

张澍以起搏器为例解释道,首先,就生产技术而言,目前全球起搏器的制造商较少,起搏器的科技含量较高,厂商在设计制造时会考虑网络安全问题;其次,从攻击难度而言,目前起搏器使用的是专门的信号以及传输密码,传输密码非常复杂,外界很难进行干扰。另外,起搏器是单向的信号输出,远程技术很难改变起搏器的工作,必须由专门的医生使用专门的设备;并且,起搏器自身也有安全保障,在强磁场的干扰下,起搏器会自动进入安全模式,安全模式下除保证正常起搏外,任何外来的信号无法干扰,必须到医院进行解锁。

除此之外,张澍还补充道,防范也非常重要。设备厂商从技术层面发现安全问题时,要及时通知药监部门和医院,同样医生发现安全问题也要及时上报药监部门。

对于人们对可植入医疗器械的网络安全表现出的恐慌,张澍表示,“心脏起搏器在不同的发展阶段,需要解决不同的问题,就像我们药品中的使用说明书,会注明其有可能发生的不良反应一样,需给予一定关注,使用起搏器的病人也一样,不必恐慌,定期到医院进行检测即可”。

防范需多管齐下

记者从《科学报告》期刊上了解到,今年3月,美国普渡大学Shreyas Sen等人设计了一种对抗手段,利用“电准静态场人体通信”(EQS-HBC)的方法,通过采用低频率无载波(宽带)传输的方法,将医疗设备的通信信号限制在人体范围之内,测试表明EQS-HBC信号可被检测的范围小于0.15米,而传统的无限体域网(WBAN)是5米左右,相比之下,EQS-HBC提供了超过30倍的安全空间改进。

对此,袁开国表示,物联网安全防护设备轻巧便捷,但目前尚未成熟,24小时工作状态可能会使设备发烫,还需进一步实践。

记者了解到,目前欧美已有多家为医疗机构提供物联网安全的第三方公司,随着物联网的发展,物联网安全公司或将迎来新的机遇。

然而,采访中专家对记者表示,仅靠阻断信号的佩戴设备以及第三方网络安全公司,还不足以全面应对物联网时代下可植入医疗器械的网络安全问题,必须通力配合,多管齐下。比如,专家提出,国家要加强可植入医疗器械的网络安全监管,不断完善行业标准,及时发现问题并持续跟进。

今年3月,国家药监局综合司发布了关于进一步加强无菌和植入性医疗器械监督检查的通知,在生产环节检查中指出,要重点检查是否建立与所生产产品相适应的医疗器械不良事件收集方法,是否及时收集医疗器械不良事件信息,对存在安全隐患的医疗器械,是否采取了召回等措施,并按规定向有关部门进行报告。同时提出各级医疗器械监管部门要通过各种渠道,收集安全风险信息,每季度要开展一次安全形势分析,及时研判风险状况、及时采取措施加强监管。

袁开国认为,物联网尚处于早期阶段,关于物联网安全的标准还不完善,这使得厂商和行业在安全标准上跟进困难。不过,医疗器械厂商作为设备的设计和生产主体,从技术上决定着植入医疗器械的网络安全防范能力,因此厂商要增强网络安全意识,完善产品设计,及时检测跟进,发现漏洞及时上报药监部门并通知医院。

张澍表示,目前厂商都会在发现问题时及时通知药监部门和医院,我们经常会收到厂商的提示和提醒,我们也鼓励厂商及时通知的行为,这对于安全防范非常重要。

“作为医生,我们发现医疗器械的网络安全问题应及时上报药监部门,同时针对药监部门和厂商发布的提示和警告,予以密切关注和反馈。”张澍说,植入医疗器械的网络安全防范需要各主体通力配合,作为患者也要谨遵医嘱,定期检测,发现异常及时反馈,不做禁止事项。




文章来源:科学网


       (科技成果转化中心供稿)