医疗设备的数字安全问题终于被提上议程了

2017-01-03 03:47:18 来源:济宁新闻网

医疗设备的数字安全问题终于被提上议程了

美剧《国土安全》里有这样一段情节,男主角 Brody 将副总统的起搏器序列号发给恐怖组织,几分钟后黑客入侵了起搏器,副总统就这么死了。

这个不是科幻,安全研究人员去年做过一个仿真实验,成功靠入侵无线心脏起搏器杀了一个(仿真的)人。

医疗器械用到的软件、芯片越多,它被攻击的可能性就越大。这个领域此前的监管更多在意的是设备本身对人体的影响,并不太考虑数字安全。

现在情况有了些变化,美国食品药品监督管理局(FDA)终于盯上了医疗设备的安全。

最近,他们发布了一项规定,建议医疗设备制造商要保证其联网医疗设备的安全,即使这些设备已经在医院或者患者身上投入使用。

这项规定的草案将在明年 1 月正式出台,是一份 30 页的文档资料。它鼓励制造厂商们密切监控他们的医疗设备,保证设备使用过程出现漏洞时,也能随时修复出现的问题。目前,这项规定还不具备强制执行效力。

FDA 三年前曾对医疗设备安全发出过警告。

过去研究员们在测试中,曾成功侵入医疗系统,远程控制了心脏除颤仪、心脏起搏器、以及胰岛素泵。 2015 年,FDA 曾提醒医疗机构,他们通过控制医疗网络,能远程调节病人输液的速度,这对患者来说相当危险。

还好这只是一次测试。如果在生死攸关的时刻,这些医疗设备出了问题,造成的损害将难以估量。

除此以外, FDA 还发现病人的医疗信息也是黑客进行网络攻击的重要对象之一。

新规中,FDA 建议各大制造商联合起来,建立一个信息共享与分析组织 (ISAO),共同分享重要的安全威胁和应对措施。

接下来,FDA 还希望制造商上报其每次用于解决网络安全漏洞问题的补丁和更新信息,并分享给 ISAO,除非出现了死亡或非常严重的医疗事件。这些信息必须在发现漏洞的 30 天内告知消费者和设备使用者,漏洞必须在 60 天修复。

FDA 的副主管 Suzanne Schwartz 表示:实际上,医院的医疗网络持续不断地经受着攻击和入侵,威胁着患者的安全。随着黑客技术变得越来越复杂,网络安全的风险也在不断增加。

最近,物联网设备安全正成为备受关注的话题。随着这些联网智能设备的普及,它在给人们的生活、医疗等方面带来便利时,也在威胁着用户的隐私和自由。今年十月,美国发生的导致一半网络瘫痪的攻击事件就和物联网安全有关。

但医疗设备的物联网安全还要更严重一些,如果它也出了问题,受到影响的就不止信息安全,连人的生命安全都难以保障。

济宁IT新闻