美國國土安全部（DHS）上周警告說，美敦力生產(chǎn)的許多醫(yī)療設(shè)備是易受網(wǎng)絡(luò)攻擊的。這些漏洞影響該公司的17種型號的植入式心臟裝置和被用來與之通信的外部設(shè)備。

美敦力公司的一位發(fā)言人告訴IEEE Spectrum，該公司自愿向美國國土安全部披露了這些漏洞，而且“沒有發(fā)現(xiàn)網(wǎng)絡(luò)攻擊、隱私泄露或與這些問題相關(guān)的患者傷害。”

心臟調(diào)節(jié)裝置植入式心臟再同步化自動復律除顫器（CRT-D）和植入式心律轉(zhuǎn)復除顫器（ICD）的某些型號存在風險。CRT-D將電脈沖發(fā)送到心臟的心室，幫助它們以更同步的模式一起跳動。ICD提供電脈沖來糾正過快的心律。外部計算機對裝置進行編程并進行信息檢索。

這些裝置發(fā)射的射頻信號可以在佩戴者方圓幾米的范圍內(nèi)被檢測到。根據(jù)聯(lián)邦調(diào)查局的警告，懷有惡意的人可以在附近侵入這種信號對其進行干擾、改變或窺探。

美國普渡大學電氣和計算機工程師Shreyas Sen說，就像美敦力公司的設(shè)備所面臨的情況一樣，未經(jīng)加密的信號很容易被故意攔截。“這就像坐在一個房間里聽一個人用明語講話。”

十多年來，很多研究人員一再警告說，醫(yī)療設(shè)備可能會變成殺人武器。科學家們用書面報告和在會議上做口頭報告的方式展示了如何侵入胰島素泵、起搏器，甚至整個醫(yī)院網(wǎng)絡(luò)。

美敦力公司是過去幾年來公開披露其醫(yī)療設(shè)備在網(wǎng)絡(luò)安全方面的漏洞的幾家公司之一。2017年，史密斯醫(yī)療（Smiths Medical）通過國土安全部披露，其無線藥泵（通常用于醫(yī)院）可能被遠程入侵。同年，美國食品藥品監(jiān)督管理局（FDA）向公眾通報了圣猶達醫(yī)療公司（St. Jude Medical）植入式心臟裝置的漏洞，這些裝置包括起搏器、除顫器和再同步裝置。2017年，美國國土安全部警告說，黑客可能會入侵和控制BMC Medical公司和3B Medical公司制造的呼吸治療機。

國土安全部網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）從2013年開始跟蹤醫(yī)療設(shè)備的漏洞。CISA的一位發(fā)言人告訴IEEE Spectrum，在最開始的五年里，該機構(gòu)只發(fā)布了7個警告。該發(fā)言人表示，這一數(shù)字在2017財年躍升為16，在2018財年又躍升為29（是2017財年的近兩倍）。FDA和DHS去年10月宣布了一個框架，以協(xié)調(diào)他們對醫(yī)療設(shè)備網(wǎng)絡(luò)安全威脅的反應(yīng)。

生命支持醫(yī)療設(shè)備的制造商經(jīng)常指出，目前還沒有實際發(fā)生過針對生命支持醫(yī)療設(shè)備的攻擊。對這些設(shè)備的信號進行加密應(yīng)該就能提供不錯的保護。但是普渡大學的Sen說，僅僅加密是不夠的。“物理信號是可獲得到的，而且我們不擅長使用密碼。”他說。

為了挫敗潛在的攻擊者，Sen和他的同事們設(shè)計了一種對抗手段：一種戴在手腕上的裝置，它采用低頻率無載波（寬帶）傳輸?shù)姆椒▽碜葬t(yī)療設(shè)備的所有通信信號限制在人體內(nèi)。

這些信號利用人體的導電特性產(chǎn)生了所謂的電準靜態(tài)場。起搏器發(fā)出的信號可以從頭到腳傳播，但它們不會離開皮膚。“除非有人碰觸你的身體，否則他們不會得到信號。”Sen說。

Sen和他的同事們稱之為“電準靜態(tài)場人體通信”（EQS-HB），并在本月早些時候的 Scientific Reports期刊上對此進行了介紹（論文標題為“Enabling Covert Body Area Network using Electro-Quasistatic Human Body Communication”）。在這項研究中，Sen的原型成功地將來自可穿戴設(shè)備的信號限制在了人體內(nèi)。研究人員還沒有在佩戴著植入式醫(yī)療設(shè)備的人身上測試他們的原型。

額外好處：電準靜態(tài)場范圍內(nèi)的信號使用的能量只是傳統(tǒng)藍牙通信的一小部分。

美敦力公司的一位發(fā)言人表示，公司正在開發(fā)一系列軟件更新，以更好地保護受警告中所述問題影響的無線通信的安全。第一次更新計劃于2019年晚些時候進行，更新前須先經(jīng)監(jiān)管部門批準。美敦力和FDA建議患者和醫(yī)生繼續(xù)使用這些設(shè)備。