心脏起搏器易受黑客攻击的三个原因

美国食品和药物管理局(FDA)最近召回了由Abbott公司(前身为St. Jude Medical公司)生产的大约465,000个心脏起搏器,这些心脏起搏器容易受到黑客攻击,但这种情况表明存在持续的安全问题

召回的原因

这些设备可以远程“入侵”以增加活动或缩短电池寿命,从而可能危及患者

据报道,很大一部分心脏起搏器可能安装在澳大利亚患者身上

阅读更多:澳大利亚的汽车行业需要网络安全规则来应对黑客威胁然而,使远程可访问的人体植入物所需的品质 - 即低成本,低维护电池,小尺寸,远程访问 - 也使这些设备成为一个严峻的挑战

三个关键问题阻碍了网络安全:按照FDA的规定召回雅培的心脏起搏器不会涉及手术

相反,可以通过医生更新设备的固件

起搏器的脆弱性似乎是那些拥有“商用设备”的人可以向起搏器发送命令,更改其设置和软件

“修补”版本可以防止这种情况 - 它只允许授权的硬件和软件工具向设备发送命令

雅培公司已经淡化了这些风险,坚称465,000台设备中没有一台被报告为泄密

但对个人医疗设备的网络安全攻击的担忧并不是什么新鲜事

医疗设备现在是“物联网”(IoT)的一部分,其中小型电池供电传感器与嵌入式和定制计算机以及无线电通信(Wi-Fi,蓝牙,NFC等技术)相结合,正在网络安全领域得到应用

以前没有考虑过

这场世界的冲突带来了特殊的挑战

大多数嵌入式医疗设备目前没有内存,处理能力或电池寿命,无法支持正确的加密安全性,加密或访问控制

例如,根据卡内基梅隆研究人员的说法,使用HTTPS(一种加密网络流量以防止窃听的方式)而不是HTTP,由于代理丢失,可以将某些手机的能耗提高多达30%

传统的加密套件(用于证明身份和保密传输的算法和密钥)是为计算机设计的,涉及复杂的数学运算,超出了小型廉价物联网设备的能力

一种新兴的解决方案是将加密技术转移到专用硬件芯片中,但这会增加成本

美国国家标准与技术研究院(NIST)也正在开发专为低功耗物联网设备设计的“​​轻量级”加密套件

医生和患者不希望总是必须登录这些医疗设备

必须保持用户名,密码和加密密钥方便和安全的前景与他们计划使用它们的方式相反

没有人希望必须登录他们的烤面包机或冰箱

幸运的是,智能手机的普及以及它们作为“智能”物联网设备接口的用途正在改变用户在这方面的行为

然而,当您的心脏起搏器失灵并且救护车到达时,您是否真的有时间(或能力)找到设备序列号和身份验证详细信息以便提供给护理人员

外科植入物在需要移除或更换时会带来明显的医疗风险

因此,对于使用这些设备的患者来说,远程监控无疑是一种挽救生命的技术

患者不再依赖低电量“嗡嗡声”警告,如果设备出现故障,医生可以顺利更新其软件

不幸的是,这种远程控制功能会产生一种全新的漏洞

如果您的医生可以远程更新您的软件,其他人也可以

连接的嵌入式医疗设备的安全性是一个“邪恶”的问题,但解决方案即将出现

我们可以期待低成本加密硬件芯片和标准化加密套件,专为未来的低功耗,低内存和低功耗设备而设计

阅读更多:在科学的帮助下选择更好的密码也许我们也可以期待一代人习惯登录他们触摸的所有东西,并且有办法轻松安全地验证自己的设备,但我们还没有

在此期间,我们只能评估风险,并就如何保护自己做出有计划的决定

上一篇 :当澳大利亚罪犯存放在海外时,很难获得这些数据
下一篇 海伦菲利普斯