美敦力近期披露了医疗设备的漏洞

普渡大学的科学家提出应对措施

美国国土安全部和食品与药物管理局于 3 月发出警告，称美敦力公司（Medtronic）生产的多种医疗设备都易受到网络攻击。安全漏洞影响到该公司 20 个型号的心脏植入装置以及与之通信的外部设备。

美敦力发言人称，该公司主动向国土安全部（DHS）披露了相关漏洞，且“没有发现与此相关的网络攻击、隐私权侵犯或患者受损害的事件”。

存在风险的是某些型号的心脏调节设备——植入式心脏同步治疗除颤器（CRT-D）和植入式复律除颤器（ICD）。植入式心脏同步治疗除颤器能够将电脉冲发送到下半心室，从而帮助其以更协调的模式一起跳动。植入式复律除颤器则能够传输电脉冲以纠正心律过快。外部计算机可以通过程序控制这些装置并获取其性能的相关信息。

这种医疗装置发出的无线信号最远可在距离人体几米外被探测到。国土安全部警告称，设备附近的坏人可以侵入信号并对其进行干扰、修改或窥探。

普渡大学的电气与计算机工程师施瑞亚斯•森（Shreyas Sen）说，美敦力设备产生的未加密信号很容易被拦截。“就好像坐在一个房间里听别人出声说话一样。”他说。

研究人员十多年来一再警告人们，医疗设备有可能成为伤害人的武器。科学家也以书面报告的形式或者在会议上演示了怎样侵入胰岛素泵、心脏起搏器甚至是整个医院的网络。

过去几年来，除美敦力外，还有几家公司也公开披露了自己的医疗设备存在网络安全漏洞的。2017 年，史密斯医疗公司（Smiths Medical）通过国土安全部披露其无线药泵（医院常用）可能被远程侵入。同年，美国食品与药品监督管理局告知公众，圣犹达医疗公司（St. Jude Medical）的植入式心脏设备（包括心脏起搏器、除颤器和再同步设备）存在安全漏洞。2017 年，国土安全部警告说 BMC Medical 公司和 3B Medical 公司生产的呼吸治疗机有可能被黑客入侵。

国土安全部的网络安全和基础设施安全局（CISA）从 2013 年开始跟踪医疗设备的安全漏洞。网络安全和基础设施安全局的一位发言人告诉本刊，该机构在前 5 年里只发布了 7 个警告，而这一数字在 2017 和 2018 财年分别攀升至 16 和 29。去年 10 月，美国食品与药品监督管理局和国土安全部发布了一个应对医疗设备网络安全威胁的协作框架。

维持生命医疗设备的制造商经常说，目前还没有发生过针对维持生命医疗设备的攻击。对这些设备的信号进行加密应该就能提供适当的保护。普渡大学的森说，仅仅加密是不够的。“物理信号还是可以被获取，而且我们不擅长使用密码口令。”他说。

为了防止潜在的攻击，森和他的同事设计了一种应对措施——一种戴在手腕上的装置，该装置使用了特定的低频技术，将来自医疗设备的所有通信信号限制在人体之内。

利用人体的导电特性，这些信号能产生准静态电场。例如，起搏器发出的信号可以从头传到脚，但它们不会离开皮肤。“除非有人碰触你的身体，否则他无法获取信号。”森说。

森和他的同事称之为“准静态电场人体通信”，并在《科学报告》（Scientific Reports）期刊中进行了阐述。在他们的研究中，森的样机成功地将可穿戴设备的信号限制在了人体内。（还有一项额外的好处：电准静态范围内的信号所需能量只是传统蓝牙通信能量的一小部分。）

研究人员目前尚未在佩戴植入式医疗设备的人身上测试其样机。美敦力的发言人称，他们公司正在开发一系列软件更新，以便更好地保护受公告所述问题影响的无线通信。第一次更新计划在 2019 年晚些时候进行。更新前须经监管部门批准。美敦力和美国食品与药品监督管理局建议患者和医生继续使用这些设备。