在當(dāng)今的醫(yī)療保健領(lǐng)域，幾乎沒有一個(gè)領(lǐng)域不采用更多的技術(shù)。從通過智能手表和可穿戴設(shè)備實(shí)時(shí)無線訪問您自己的健康參數(shù)，到植入體內(nèi)的設(shè)備，可隨著攻擊技術(shù)日漸猖獗，我們能保證這些設(shè)備的安全嗎?

[[348635]]

幾年前在黑帽安全大會，很多人都親眼目睹了一個(gè)胰島素泵被黑客攻擊。

無論該設(shè)備上的大部分軟件是否已經(jīng)上市，監(jiān)管機(jī)構(gòu)說，集成商都要負(fù)責(zé)整個(gè)堆棧的安全，包括底層的操作系統(tǒng)，即使操作系統(tǒng)有良好的安全記錄。換句話說：無論黑客使用何種技術(shù)破解了設(shè)備，設(shè)備制造商都應(yīng)對之有責(zé)任。

可能被黑客入侵的無線胰島素泵

因此，盡管市場壓力依賴于企業(yè)快速生產(chǎn)設(shè)備，但未來的道路看起來并不平坦，而且成本高昂。

那么補(bǔ)丁呢，誰負(fù)責(zé)這些呢?根據(jù)FDA的說法，制造商會負(fù)責(zé)。由于一些醫(yī)療設(shè)備預(yù)計(jì)要使用很多年，所以支持這些設(shè)備需要很長一段時(shí)間。

那么，它們被黑客攻擊的可能性有多大?醫(yī)療行業(yè)聯(lián)網(wǎng)設(shè)備的安全問題，下面是五個(gè)漏洞：

來自藍(lán)牙的威脅

很多醫(yī)療設(shè)備通過藍(lán)牙集成了監(jiān)控和交互功能，其漏洞存在的時(shí)間很長。

藍(lán)牙血糖儀

雖然可能會有補(bǔ)丁，但很難確定該領(lǐng)域的實(shí)際采用率和時(shí)間表。與此同時(shí)，如果你的血糖測量數(shù)據(jù)被欺騙了，如果你試圖根據(jù)錯誤的讀數(shù)來調(diào)整血糖水平，你可能會面臨真正的身體危險(xiǎn)。

系統(tǒng)危機(jī)

許多醫(yī)院的醫(yī)療設(shè)備管理計(jì)算機(jī)運(yùn)行在較舊的、不受支持的Windows版本上，原因是制造商更新滯后。

老舊的醫(yī)療電腦系統(tǒng)

制造商不能隨便在產(chǎn)品進(jìn)行廣泛測試、查看集成問題之前推出最新Windows補(bǔ)丁，所以補(bǔ)丁審查可能會很棘手。

一個(gè)潛在的攻擊者在這方面有優(yōu)勢，因?yàn)樗麄兛梢栽谝阎穆┒匆槐┞毒瓦M(jìn)行攻擊，而且還會打得供應(yīng)商措手不及。

云安全危機(jī)

我們在今年的黑帽和DEF CON大會上看到的，云安全暴露出很大的危機(jī)。患者不可能知道潛在的漏洞，但攻擊者很快會抓住已知的漏洞進(jìn)行攻擊，通過他們的攻擊框架快速利用這些漏洞。

因此一些患者會因?yàn)閾?dān)心遭到黑客攻擊而選擇不與心臟起搏器進(jìn)行外部通信，但將云技術(shù)應(yīng)用于植入式心臟裝置，將推動其進(jìn)一步應(yīng)用，這依然也會面臨危險(xiǎn)。

以太網(wǎng)

許多醫(yī)療設(shè)備通過以太網(wǎng)接入醫(yī)療TCP/IP網(wǎng)絡(luò)，但對許多臨床醫(yī)生和患者來說，很難注意到與現(xiàn)有設(shè)備連接在一起的網(wǎng)絡(luò)。

每個(gè)環(huán)節(jié)都緊密連擊，不可或缺

通過通過嵌入在這種竊聽裝置中的無線鏈接竊取數(shù)據(jù)，攻擊者可以窺探并制造漏洞。攻擊者只需要一次物理訪問，由于成本低、且不必返回拿走竊聽設(shè)備，使得風(fēng)險(xiǎn)進(jìn)一步加大。

無線鍵盤

一段時(shí)間以來，鍵盤記錄器一直是記錄無線鍵盤按鍵的標(biāo)準(zhǔn)工具，它們偽裝成插在插座上的假USB充電器，同時(shí)監(jiān)聽信號，并通過4G無線網(wǎng)卡竊取這些信號。

[[348639]]

無線鼠標(biāo)和鍵盤

這會捕獲受害者的敏感數(shù)據(jù)，如鍵入密碼，攻擊者會通過下載和安裝遠(yuǎn)程后門漏洞繞過安全產(chǎn)品。

措施

多年來，醫(yī)療領(lǐng)域一直緊隨其后–安全方面。在未來幾年內(nèi)，“醫(yī)療車隊(duì)安全化”將是一項(xiàng)挑戰(zhàn)。了解醫(yī)療設(shè)備的任何漏洞是明智的，特別是這些漏洞與醫(yī)療保障有關(guān)，早日將醫(yī)療保障安全提上日程是至關(guān)重要的。