醫(yī)療設備與可穿戴設備和醫(yī)療應用或軟件的連接日益增加，使設備面臨網(wǎng)絡安全威脅和攻擊。醫(yī)療設備中的任何漏洞都允許未經(jīng)授權的用戶訪問和控制設備，這可能會給患者帶來嚴重風險，特別是在 B 類和 C 類醫(yī)療設備中。因此，醫(yī)療機構、監(jiān)管機構和醫(yī)療設備制造商擔心這對臨床護理和患者安全的潛在影響。

為什么醫(yī)療設備的網(wǎng)絡安全是當務之急？

關鍵功能：醫(yī)療設備控制患者的生命。它具有關鍵功能和敏感數(shù)據(jù)

復制：中級設備在數(shù)千或數(shù)百萬個相同的設備中批量生產(chǎn)。一次成功的攻擊可能會復制到多個設備

生命周期長：醫(yī)療器械的生命周期從15年到20年不等。因此，開發(fā)滿足未來二十年安全需求的設備是一個巨大的挑戰(zhàn)。

孤立：最終用戶無法監(jiān)控設備的安全性或輕松進行更改

由于網(wǎng)絡安全威脅和數(shù)據(jù)泄露的增加，醫(yī)療設備制造商應了解與醫(yī)療設備安全相關的風險，并考慮在設計和開發(fā)醫(yī)療設備時實施有效的網(wǎng)絡安全實踐。

讓我們了解網(wǎng)絡安全攻擊和可能的解決方案：

1）軟件攻擊：通過在系統(tǒng)上執(zhí)行稱為惡意軟件的自定義代碼段來對系統(tǒng)進行軟件攻擊，這會導致設備的自定義（意外）行為。

固件克隆

概述/用例：攻擊者可以使用逆向工程克隆醫(yī)療設備硬件，也可以直接從閃存介質(zhì)克隆固件

風險：

設備復制

固件的逆向工程

決議：

設計足夠強大的固件許可機制，使其難以繞過

使用數(shù)據(jù)保護機制和加密固件

暴力破解

概述/用例：安全醫(yī)療設備在訪問云服務和/或人機界面 （HMI） 的設備功能之前要求進行身份驗證。攻擊者系統(tǒng)地檢查所有可能的密碼和密碼短語，直到找到正確的密碼和密碼短語

風險：

訪問設備服務和用戶數(shù)據(jù)

決議：

限制登錄試用次數(shù)

增加身份驗證試用之間的延遲

固件更新

概述/用例：醫(yī)療設備售后市場發(fā)布會通過離線媒體（如USB，OTG電纜）或通過互聯(lián)網(wǎng)定期更新。這允許攻擊者更新設備上的自定義或損壞的固件（惡意軟件）

風險：

對設備的完全/部分訪問

設備固件損壞

決議：

使用加密和簽名設計/實施安全固件更新機制

通信堆棧（基于物聯(lián)網(wǎng)的設備）

概述/用例：醫(yī)療設備使用 BLE、Wi-Fi 或任何射頻技術通過移動應用程序或基于物聯(lián)網(wǎng)的軟件進行通信。攻擊者可以利用技術漏洞并修改通信數(shù)據(jù)

風險：

基于數(shù)據(jù)修改的意外系統(tǒng)行為

未經(jīng)授權出售和/或勒索個人數(shù)據(jù)

決議：

使用防火墻進行互聯(lián)網(wǎng)訪問

使用最新和安全的技術;例如，在藍牙的情況下，請使用 v4.1 及更高版本

使用強大的配對和身份驗證機制開始通信，然后使用加密數(shù)據(jù)進行通信

敏感固件和數(shù)據(jù)

概述/用例：固件的某些部分需要特殊保護：例如加密算法或第三方庫。此外，如果所選數(shù)據(jù)被視為有價值的資產(chǎn)（加密密鑰），則可能需要增強保護。必須保護內(nèi)部存儲器內(nèi)容免受外部訪問（如通信接口）和內(nèi)部訪問（其他軟件進程）。內(nèi)存屬性（如不同內(nèi)存段的讀寫訪問）以及防火墻是進程和數(shù)據(jù)隔離的主要保護措施

風險：

敏感固件復制或數(shù)據(jù)盜竊

決議：

使用僅執(zhí)行訪問權限 （XO）

使用內(nèi)存保護單元

使用安全區(qū)域

使用外部存儲器加密

2）硬件非侵入性攻擊：這類攻擊主要集中在設備接口和環(huán)境信息上。它不會在硅級別損壞/分散設備硬件層。

調(diào)試端口（JTAG 或 SWD 接口）

概述/用例：調(diào)試端口提供對引導加載程序、寄存器、DRAM 等的訪問。攻擊者可能使用調(diào)試端口完全訪問和控制設備

風險：

完全訪問設備

決議：

在原型/開發(fā)人員發(fā)布后禁用硬件的設備調(diào)試功能

引導加載程序

概述/用例：大多數(shù)醫(yī)療設備使用基于引導模式、引導地址和/或引導引腳配置的引導加載程序進行引導。該攻擊旨在修改引導模式或地址，以在RAM和訪問設備中加載自定義應用程序

風險：

對設備的完全訪問權限

決議：

唯一的啟動項

實現(xiàn)安全引導加載程序并禁用調(diào)試選項

通信接口訪問，如 UART/I2C/SPI/USB

概述/用例：應用程序或引導加載程序使用 UART、I2C、SPI、US 等通信接口與設備進行通信。攔截此通信允許攻擊者訪問設備內(nèi)容和/或修改通信。惡意軟件也可以使用USB等某些媒體注入

風險：

訪問設備內(nèi)容

決議：

使用加密進行通信。例如，使用 TLS 進行數(shù)據(jù)通信。TLS 提供保護數(shù)據(jù)機密性和完整性的功能

禁用不需要的輸入端口/通信

使實體巴士難以到達

時鐘和電源干擾/毛刺

概述/用例：故障可以在數(shù)據(jù)表中定義的參數(shù)之外使用器件進行注入。威脅涉及更改時鐘和/或電源參數(shù)。成功的攻擊可能會改變程序行為

風險：

意外的設備行為

決議：

使用時鐘安全系統(tǒng) （CSS）

使用內(nèi)部時鐘（如果可用）

使用內(nèi)部穩(wěn)壓器

側(cè)信道攻擊 （SCA）

概述/用例：當設備運行時，攻擊者可能會觀察功耗、電磁輻射、溫度等，以檢索數(shù)據(jù)值和/或算法實現(xiàn)等機密資產(chǎn)。SPA（簡單功率分析）和DPA（差分功率分析）就是一個典型的例子。

風險：

訪問設備數(shù)據(jù)

決議：

使用會話隨機數(shù)鍵

使用受保護的加密庫

3）硬件侵入性攻擊：這種類型的攻擊包括直接訪問硅的破壞性攻擊。

逆向工程

概述/用例：攻擊者可能了解設備的內(nèi)部結(jié)構及其功能。它可以使用光學顯微鏡創(chuàng)建設備/微控制器的地圖，以產(chǎn)生設備表面的高分辨率圖像。進一步的步驟可能包括分析硬件設備的更深層

風險：

設備克隆

決議：

使用難以分析/調(diào)試的多層PCB

醫(yī)療設備公司應確保其設備安全并配備正確的網(wǎng)絡安全，并實現(xiàn)這一目標，他們需要精通醫(yī)療設備設計和開發(fā)的合適技術合作伙伴。

審核編輯：郭婷