醫療物聯網:危險、風險和安全問題
你可能聽過“你的健康就是你的財富”這句話,這也是美國僅在2015年就在醫療保健上花費超過3.2萬億美元的原因之一。
有這麼多的資金在流動,很多企業進入醫療市場是很自然的,包括科技公司。
醫療技術有時讓人覺得過時了,但公司有意將這些設備拖到21世紀。雖然互聯網連接似乎是一個很好的功能,但有一些真正的危險和問題可能會讓你感到驚訝。
什麼是醫療器械(medical devices)?
世界衛生組織(世衛組織)將醫療器械定義為“任何儀器、器械、工具、機器、器具、植入物、體外使用的試劑、軟件、材料[…],**商打算[…]用於人類的一個或多個[…]特定醫療目的”。
雖然這聽起來很複雜,但它只是指任何可能用於醫療目的的設備或軟件。
美國食品藥品監督管理局(FDA)負責對醫療器械進行監管,並將其分為三類:一類、二類和三類。一類器械的監管較輕,大多數控制僅針對其**和銷售方式。第二類增加了更為具體的規定,而第三類則保留用於支持或維持人類生命的裝置。
然而,正如世界各地的典型情況一樣,FDA一直在努力跟上創新的步伐。很少有人提到現代互聯網連接設備應該如何監管。
**商應該採取什麼措施來確保這些設備的安全性?2016年12月,FDA發佈了醫療器械安全指南,但這些指南在法律上沒有強制執行力。這就讓**商決定是否遵循建議。
(醫學)物聯網
這使得聯網醫療設備與更廣泛的物聯網(IoT)類別的醫療設備處於同一條船上。物聯網醫療設備有很多好處,但缺乏可執行的法規意味著**商不太可能投入大量資源來保護它們。
這只是物聯網成為安全噩夢的眾多原因之一。此外,我們將我們的生活置於醫療物聯網設備的手中。因此,風險甚至比常規物聯網設備更高。
醫療保健是一項昂貴的業務,不僅對病人,而且對提供者本身。公司對新設備和技術支持收取鉅額費用。這意味著醫院和其他醫療機構是一堆雜亂無章的工具——有些是新的,有些是舊的,有一系列不同的操作要求。舊的硬件、舊的軟件和專有的接口結合在一起,使得適當地保護系統成為提供商IT部門的噩夢。
例如:竊聽醫療泵
軟件和硬件之間的接口經常暴露出可利用的漏洞,正如Saurabh Harit在Black Hat Europe 2017上所展示的那樣。他獲得了一個靜脈輸液泵,可以將藥物注射到病人的血液中,可以對其進行編程和遠程操作。
在使用在線默認密碼進入水泵的管理模式後,他可以使用裝置的紅外線和從eBay購買的舊PDA將其Wi-Fi憑據導入水泵的網絡設置。
Harit使用Wireshark(許多開源網絡安全工具之一)檢查數據包,查看患者數據,如藥物劑量、醫務人員、姓名、位置和路線。令人驚訝的是,他甚至能夠訪問主藥物清單,其中設置和保持規定的劑量。
示例列表繼續。。。
如果這些漏洞僅限於這一個泵,那就足夠令人震驚了,但研究人員經常會發現新的漏洞。其中一個小組能夠使用CT掃描儀,這種設備可以給你一小劑量的輻射,從而在你的身體內部建立3D模型。
2017年8月,美國食品和藥物管理局召回了46.5萬個因黑客問題而由雅培生產的起搏器。雅培沒有強迫近50萬人接受侵入性手術,而是發佈了一個固件補丁,醫務人員可以將其應用到起搏器上。
早在2014年,國土安全部(DHS)就開始調查24臺涉嫌嚴重缺陷的設備。這些設備包括來自Hospira公司的輸液泵和來自Medtronic和St Jude Medical的植入式心臟設備。
遺留醫療設備和安全性差
如果你曾經在辦公室工作過,你就會知道很多企業都依賴於遺留軟件。這必然需要較舊的操作系統、驅動程序和外圍設備,這使得它們非常不安全。成本通常是決定是否更新的一個因素,許多人認為他們無法證明費用的合理性。如果它沒壞,就別修了,對吧?
企業往往很難優先考慮網絡安全,普遍的態度是,如果攻擊還沒有發生,那麼它就不會發生。不幸的是,醫療保健提供者也不能倖免這種想法。2017年5月,一個名為WannaCry的勒索軟件攻擊幾乎同時感染了30萬臺電腦,其中許多電腦屬於英國國家衛生局(NHS)。
勒索軟件影響了全國40多個NHS信託機構,減少了病人護理,關閉了手術室,甚至關閉了醫院。攻擊的影響使患者處於危險之中,並可能破壞他們數據的安全性。可悲的是,微軟在攻擊前一個月發佈了一個補丁,這將阻止WannaCry佔領市場。不僅更新沒有推出,而且許多電腦仍然運行WindowsXP。
儘管在攻擊發生前兩年已經結束的15年操作系統得到了廣泛的支持。
醫療器械的未來讓我抓狂
科技繼續在醫療領域取得重大進步,但這並不像英國國家醫療服務系統(NHS)發現的那樣是醫療行業的救星。據**衛生部長傑里米·亨特(Jeremy Hunt)稱,由於“計算機算法錯誤”未能邀請45萬名婦女定期進行乳腺癌篩查,可能有多達270名婦女死亡。
與其他許多受科技進步影響的領域不同,醫療器械可能是生死攸關的問題。隨著摩爾定律使更多的設備在未來幾年上線,**商必須優先考慮安全問題。畢竟,如果設計一個“**特性”是一個極其準確的描述,那是沒有用的。
- 發表於 2021-03-25 00:31
- 閱讀 ( 49 )
- 分類:安全
你可能感興趣的文章
物聯網(iot)和2米(m2m)的區別
...器,提高安全性,並進行高效的能源管理。物聯網有助於醫療保健,以監測患者的健康狀況。城市可以使用智慧監控來安全運輸和環境監測。**廠可以利用物聯網檢測裝置和**過程中的缺陷。它可以使用先進的感測和分析來預測...
雲端計算(cloud computing)和物聯網(internet of things)的區別
...碰撞併發出指令,指導駕駛員避免事故發生。 同樣,在醫療保健、**業、能源生產、農業等領域也有許多例子。一個缺點是可能存在安全和隱私問題,因為這些裝置整天捕捉資料。總體而言,物聯網是一項新興技術,未來將呈指...
什麼是殭屍網路?你的電腦是殭屍網路的一部分嗎?
...的網路轉向這些功能以產生利潤。例如,向美國公民傳送醫療垃圾郵件的殭屍網路運營商也擁有提供這些商品的仿冒藥店。(哦,是的,郵件末尾有實際的產品。布萊恩·克雷布斯的《垃圾郵件之國》是對這個問題的一個極好的...
物聯網帶來醫療保健革命的5種方式
...和其他常見的智慧裝置,但真正的創新是物聯網(IoT)和醫療保健的交匯點(大多數普通消費者沒有注意到)。 ...
您的智慧家居是否面臨物聯網漏洞的風險?
...置型別。一些物聯網裝置天生就對隱私更敏感,比如整合醫療裝置和亞馬遜Echo。該分析僅使用加密流量的傳送/接收速率來識別使用者行為——不需要深入的資料包檢查。另外,雖然額外的整合安全功能可能會對物聯網裝置效能...
5個您現在需要使用的隱私保護應用程式
... 2物聯網掃描器(網路):你的裝置在網際網路上“開放”嗎? ...
勒索軟體的新領域:以下是2017年的目標
...市環境都在變得“更智慧”——越來越多的城市正在採用物聯網技術(IoT)。 ...
現在檢查你的網際網路裝置是否對駭客開放
...、手錶、藍芽揚聲器、汽車、門鎖,甚至衣服!它被稱為物聯網,非常令人興奮。 ...
谷歌將在雲端儲存醫療資料:這是好還是壞?
2019年11月,谷歌宣佈將與醫療系統提升合作。他們將共同管理雲中的醫療患者資料。該公司向患者保證,它將遵守有關患者資料(如HIPPA)的行業法規。然而,許多人擔心谷歌聚合大約5000萬患者的資料的安全和隱私問題。 ...
駭客威脅醫療物聯網裝置:以下是如何保證它們的安全
...線到網際網路,駭客攻擊的風險總是存在的。但對於使用醫療物聯網裝置的人來說,這是一個更嚴重的威脅。 ...
