6年前,曾被称为“全球最牛黑客”的巴纳拜·杰克在家中离奇死亡(时年仅35岁),而在死亡前几天,他曾表示要在即将开幕的“白帽”黑客会议上,展示一项惊人的“黑客绝技”——在9米之外入侵植入式心脏起搏器等无线医疗装置,然后向其发出一系列830V高压电击,从而实现“遥控杀人”。
杰克声称,他已经发现了多家厂商生产的心脏起搏器的安全漏洞。有传言称,他正是因此招来杀身之祸。但该传言不得证实,警方也拒绝透露关于其死因的任何细节。
“最牛黑客”巴纳拜·杰克(1978-2013)
时至今日,越来越多的植入式医疗器械走进人们的生活,相关的安全提醒也在逐年增加。类似心脏起搏器、植入式心房除颤器、植入式胰岛素泵等植入医疗器械存在网络安全漏洞,已经不再是转喉触讳的话题。
同余科技是国内一家致力于提供智能设备体系安全服务的公司,该公司创始人袁开国在接受笔者采访时说,未来是物联网的世界,安全问题是必然存在的。特别是,未来不止病人需要植入医疗器械,随着沉浸式体验时代的到来,可能正常人也会植入互联设备。
医疗设备漏洞并非耸人听闻
笔者从美国食品药品监督管理局(FDA)网站近日公布的一则网络安全漏洞警告中了解到,著名医疗器械制造商——美敦力使用的Conexus无线遥测协议存在网络安全漏洞,因为它不使用加密、身份验证或授权。FDA已确认,如果利用这些漏洞,可能会允许未经授权的个人(如患者医生以外的其他人)访问并可能操纵可植入设备、家庭监护仪或临床程序员。
美国国土安全部(DHS)也在今年3月警告称,美敦力生产的多款医疗设备是易受网络安全攻击的,“这些漏洞影响该公司17种型号的植入式心脏装置和被用来与之通讯的外设”。
美敦力长期稳坐全球医疗器械领域老大宝座
美敦力并不是个例。从美国国土安全部(HDS)2017年9月披露的网络安全漏洞中,记者了解到,史密斯医疗(SMIths Medical)生产的Medfusion 4000无线注射器输液泵存在安全漏洞。远程攻击者通过利用这些漏洞,可能会获得未经授权的访问并影响泵的预期操作,破坏通信模块和泵的治疗模块。
据外媒security affairs报道,2017年,FDA召回大约46.5万个起搏器,业内人士认为,这些医疗器械被大规模召回,有可能的原因是“被黑客攻击”。
对此,袁开国表示,心脏起搏器是有可能被黑客攻击的,黑客可通过特殊手段监听或修改心脏起搏器的信号,通过修改频率对心脏起搏器产生干扰。不过,他也表示技术难度很大,“黑客目前没有必要的利益驱动,但随着未来物联网的发展,网络安全是必须面对的问题”。
专家:不必恐慌
针对心脏起搏器等潜在的网络安全漏洞,美敦力一位发言人表示,到目前为止,还没有观察到网络攻击、隐私泄露或与这些问题相关的患者伤害。
FDA在警告中也指出,黑客若想成功利用该网络漏洞,需要满足具有能够发送或接收Conexus遥测通信的RF设备,例如监视器、编程器或软件定义无线电,以对受影响的产品进行相邻的短程访问;同时,产品还必须处于RF功能有效的状态。
“美敦力曾向我们发布过含有网络安全漏洞的产品清单,对于已使用清单产品的患者,只需医院和医生关注即可,无需过多干预。”中国医学科学院阜外心血管病医院内科管委会主任、中华医学会心电生理和起搏专科医师培训中心主任张澍认为,收到医疗设备商的安全提醒是很正常且有必要的。
张澍表示,“随着互联网技术的发展,人们对于植入医疗器械的网络安全关注度也越来越高。但患者不必恐慌,目前临床上未出现过遭受到黑客攻击的事件,或不明信号的恶意干扰而导致起搏器工作不正常的现象”。
张澍以起搏器为例解释道:
首先,就生产技术而言,目前全球起搏器的制造商较少,起搏器的科技含量较高,厂商在设计制造时会考虑网络安全问题;
其次,从攻击难度而言,目前起搏器使用的是专门的信号以及传输密码,传输密码非常复杂,外界很难进行干扰。
另外,起搏器是单向的信号输出,远程技术很难改变起搏器的工作,必须由专门的医生使用专门的设备;
并且,起搏器自身也有安全保障,在强磁场的干扰下,起搏器会自动进入安全模式,安全模式下除保证正常起搏外,任何外来的信号无法干扰,必须到医院进行解锁。
心脏起搏器数据安全至关重要
不过专家也提醒,防范也非常重要。
张澍补充道,设备厂商从技术层面发现安全问题时,要及时通知到药监部门和医院,同样医生发现安全问题也会及时上报药监部门。
对于人们对可植入医疗器械网络安全表现出的恐慌,张澍表示,“心脏起搏器在不同的发展阶段,需要解决不同的问题,就像药品中的使用说明书会注明其有可能发生的不良反应一样,需给予一定关注,使用起搏器的病人也一样,不必恐慌,定期到医院进行检测即可”。