美敦力近期披露了醫療設備的漏洞，普渡大學的科學家提出應對措施

美國國土安全部和食品與藥物管理局于3月發出警告，稱美敦力公司（Medtronic）生產的多種醫療設備都易受到網絡攻擊。安全漏洞影響到該公司20個型號的心臟植入裝置以及與之通信的外部設備。

美敦力發言人稱，該公司主動向國土安全部（DHS）披露了相關漏洞，且“沒有發現與此相關的網絡攻擊、隱私權侵犯或患者受損害的事件”。

存在風險的是某些型號的心臟調節設備——植入式心臟同步治療除顫器（CRT-D）和植入式復律除顫器（ICD）。植入式心臟同步治療除顫器能夠將電脈沖發送到下半心室，從而幫助其以更協調的模式一起跳動。植入式復律除顫器則能夠傳輸電脈沖以糾正心律過快。外部計算機可以通過程序控制這些裝置并獲取其性能的相關信息。

這種醫療裝置發出的無線信號最遠可在距離人體幾米外被探測到。國土安全部警告稱，設備附近的壞人可以侵入信號并對其進行干擾、修改或窺探。

普渡大學的電氣與計算機工程師施瑞亞斯?森（Shreyas Sen）說，美敦力設備產生的未加密信號很容易被攔截?！熬秃孟褡谝粋€房間里聽別人出聲說話一樣。”他說。

研究人員十多年來一再警告人們，醫療設備有可能成為傷害人的武器。科學家也以書面報告的形式或者在會議上演示了怎樣侵入胰島素泵、心臟起搏器甚至是整個醫院的網絡。

過去幾年來，除美敦力外，還有幾家公司也公開披露了自己的醫療設備存在網絡安全漏洞的。2017年，史密斯醫療公司（Smiths Medical）通過國土安全部披露其無線藥泵（醫院常用）可能被遠程侵入。同年，美國食品與藥品監督管理局告知公眾，圣猶達醫療公司（St. Jude Medical）的植入式心臟設備（包括心臟起搏器、除顫器和再同步設備）存在安全漏洞。2017年，國土安全部警告說BMC Medical公司和3B Medical公司生產的呼吸治療機有可能被黑客入侵。

Photo: Medtronic

國土安全部的網絡安全和基礎設施安全局（CISA）從2013年開始跟蹤醫療設備的安全漏洞。網絡安全和基礎設施安全局的一位發言人告訴本刊，該機構在前5年里只發布了7個警告，而這一數字在2017和2018財年分別攀升至16和29。去年10月，美國食品與藥品監督管理局和國土安全部發布了一個應對醫療設備網絡安全威脅的協作框架。

維持生命醫療設備的制造商經常說，目前還沒有發生過針對維持生命醫療設備的攻擊。對這些設備的信號進行加密應該就能提供適當的保護。普渡大學的森說，僅僅加密是不夠的?！拔锢硇盘栠€是可以被獲取，而且我們不擅長使用密碼口令。”他說。

為了防止潛在的攻擊，森和他的同事設計了一種應對措施——一種戴在手腕上的裝置，該裝置使用了特定的低頻技術，將來自醫療設備的所有通信信號限制在人體之內。

利用人體的導電特性，這些信號能產生準靜態電場。例如，起搏器發出的信號可以從頭傳到腳，但它們不會離開皮膚?！俺怯腥伺鲇|你的身體，否則他無法獲取信號?！鄙f。

森和他的同事稱之為“準靜態電場人體通信”，并在《科學報告》（Scientific Reports）期刊中進行了闡述。在他們的研究中，森的樣機成功地將可穿戴設備的信號限制在了人體內。（還有一項額外的好處：電準靜態范圍內的信號所需能量只是傳統藍牙通信能量的一小部分。）

研究人員目前尚未在佩戴植入式醫療設備的人身上測試其樣機。美敦力的發言人稱，他們公司正在開發一系列軟件更新，以便更好地保護受公告所述問題影響的無線通信。第一次更新計劃在2019年晚些時候進行。更新前須經監管部門批準。美敦力和美國食品與藥品監督管理局建議患者和醫生繼續使用這些設備。