中文版 Global
首页 > 安全资讯 > 正文

【深度分析】黑客不光要钱,还要命 --医疗物联网面临的威胁及应对研究

  • 2019-05-12 22:59:43

一、   医疗物联网面临网络安全问题

AI、IoT等新技术的发展,正在给各行各业带来深刻的变革,医疗行业也不例外。一个由患者数据、医疗设备和应用程序组成的新场景已悄然而至,它就是IoMT——医疗物联网。最新的研究报告显示:到2020年,全球会有300多亿台医疗物联网设备投入使用;到2022年,医疗物联网的市场规模将超过1500亿美元。

在医疗领域内,经常使用的物联网工具包括一系列体外设备,如输液泵、患者监控系统等,和以无线方式连接的体内植入设备,如心脏除颤器、起搏器、假肢等。然而,这些设备在为病患带来良好治疗体验的同时,也大大扩展了网络攻击面,加剧了安全风险。

1. 针对体内设备的攻击

2012年,在美剧《国土安全》第二季中,黑客入侵了美国副总统的心脏起搏器,对剧中副总统的起搏器下达强电流指令,最终令副总统死亡。

这集美剧播后不久,美国时任副总统Dick Cheney的医疗团队因担心黑客会采取类似行动,便立即关闭了他心脏起搏器上的无线功能。

这在当时有可能是编剧的脑洞大开。然而,时隔五年后,电视剧中的情节真的成为现实。2017年,美国食品和药品管理局(FDA)发布公告,召回了46.5万个无线射频植入心脏起搏器。因为FDA通过审查发现,黑客可以改变程序,通过耗尽电池或增加起搏器的速度,对患者造成伤害。

2019年3月,美国国土安全部警告称,医疗科技公司美敦力(Medtronic)生产的心脏除颤器存在严重缺陷,植入患者体内后,黑客可利用无线电通讯完全控制这些设备,在神不知鬼不觉的情况下夺去病人的生命。

2. 针对体外设备的攻击

2016年,英国Owlet婴儿心脏监测传感器被爆出安全漏洞。研究人员发现,虽然父母智能手机和基地服务器之间发送的数据是安全的,但传感器和基地服务器之间的网络没有任何加密,甚至不需要登录就可以访问。这意味着任何在监控范围内的人都可以监控婴儿的数据,干扰警报系统,或以其他方式干扰监控。

将药物输送到患者血液中的输液泵也容易被黑客攻击。一名白帽黑客称,他编写了一个程序,可以通过远程控制,让输液泵向患者体内输送致命剂量的药物。虽然输液泵有防火墙,但轻而易举就可被关闭。

此外,安全人员发现,黑客可以截获血糖监测器的信号,并改变读数,这可能会导致佩戴者调整剂量。还有安全公司McAfee最近的一项研究显示,黑客还可轻易篡改电脑所监控的病人生命体征。

二、   医疗物联网设备为何存在诸多隐患?

1. 在设计之初并未考虑安全因素

很多医疗物联网设备在设计时并没有考虑安全性。无论是针对设备本身,还是针对设备收集的患者数据。比如上文提到的心脏除颠器,其所使用的Conexus无线射频遥测协议,没有使用加密技术来确保通信安全,这就使得在无线电范围内的攻击者可以攻击通信;并且该协议没有进行身份验证,再加上大量其他漏洞,可能会使攻击者完全重写除颤器的固件。

2. 医院管理系统过于陈旧

有些医院所使用的电脑系统过于陈旧。比如Windows XP或者更早期的版本,可是Microsoft对Windows XP的支持在2014年就已终止,不再为Windows XP操作系统提供安全更新或技术支持。在没有任何安全防护的情况下,这些老旧的电脑系统给黑客获取患者信息提供了可乘之机。2016年,澳大利亚墨尔本皇家医院的Windows XP系统因感染病毒,彻底陷入瘫痪,很多医疗工作不得不由人工来完成。

3. 医护人员缺乏网络安全意识

医院科室众多,医护人员每天因接待大量病人而无暇顾及网络安全。在这个庞大的组织中,医护人员往往会有太多紧急的护理任务,从而忽略了网络安全的重要性。而且医院往往不会雇佣专门的网络安全人员去保护自己的网络,而是将网络安全保护工作外包给其他公司,但是外包服务的质量也良莠不齐,有时无法满足医院在网络安全上的需要。

4. 制度无法跟上技术发展的速度

一些国家正在通过政策手段保护医疗物联网设备的安全。比如美国FDA试图发布新的行业指南,以确保医疗设备的安全。但是根据德勤的调查,FDA的数字设备和医疗软件监管框架还需要五年时间才能赶上今天的水平。而且,各种新技术日新月异,黑客的手段也会越来越高明,制度的制定速度恐怕无法赶上黑客的手速。

三、   保护医疗物联网设备的三道 “闸门”

上述曝光的医疗物联网安全事件,仅仅是呈现在我们眼前的冰山一角。实际上,还有大量的医疗物联网安全威胁未被发现。随着医疗物联网设备逐渐走进大众的生活,医院将会成为黑客们的新战场。过去,我们会了保护钱财,保护敏感数据而行动。如今以及未来,我们需要为生命安全而行动。

1. 第一道闸门:政府部门

制定医疗物联网行业网络安全指南

政府部门可以从制度上为医疗物联网设备设立第一道闸门。通过与医疗行业、技术行业合作,并结合攻击实例,为医疗物联网设备制定配套的相关行业标准和网络安全指南,从而为医疗服务提供者和其他相关组织提供建议,预防和应对涉及医疗设备的网络安全事件。

大力加强监管和处罚力度

一般来说,黑客攻击医疗物联网设备的终极目的并非窃取钱财,而是夺人性命。一旦令其得手,带来的必然是社会性灾难。如此人命关天的事情必须大力加强监管和处罚力度,比如对研发和制造医疗物联网设备的厂家加强监管,对采购和使用的物联网设备医疗机构加强监管,对破坏医疗物联网设备的黑客进行严惩等。

2. 第二道闸门:医疗行业

对医护人员进行培训,对医院设备进行升级

定期对医院的工作人员进行全员网络安全培训。包括行业内的最新资讯、新的攻击方式等等。将保护医疗物联网设备的安全列入医院的行为准则当中。同时,医院还应更换陈旧的计算机系统和设备,做到“软硬兼施”。

加密患者信息

保护患者电子健康记录(EHRs)的安全非常重要。医疗物联网设备会向医院网络公开大量病人信息,可以借助一些新兴技术保护这些敏感数据。同态加密技术是一种在使用时也能保护数据的新技术,医疗行业可以使用同态加密等新技术来保护患者信息免受不必要的访问。同时,医院还应妥善处理和存储病人文件。

3. 第三道闸门:科技巨头

预防攻击,监测威胁

技术每天都在上演着日新月异的变化,黑客也会利用新技术充实自己的武器库。在保护医疗物联网设备的安全上,必须要快人一步,做好预警,预知威胁。这里不妨运用360安全大脑的建设思路,综合利用大数据、人工智能、云计算等新技术,打造出一个具有感知、学习、推理、预测等能力的智能系统——“医疗物联网安全大脑”,采集各种网络安全数据,然后利用人工智能的机器学习能力,加上网络安全专家的智慧,识别潜在威胁,做好防范工作。

大厂之间通力合作

在国外,许多技术巨头已经在医疗物联网领域投入研发、开展业务、进行合作。微软、谷歌、亚马逊、甲骨文、IBM等行业巨头已经宣布共同合作,致力于“消除医疗设备互操作性技术障碍”。

国内的大厂也可以借鉴国外的做法。因为IT巨头在数据、技术、资金和人力上具有无可比拟的优势,保护安全更加得心应手。在利用新技术为医疗行业带来便利的同时,也可为医疗物联网保驾护航。面对复杂多变的医疗物联网安全问题,只有各方通力合作,才能保障我们的生命安全。


 

360安全卫士

热点排行

用户
反馈 返回
顶部