在当今的医疗保健领域,几乎没有一个领域不采用更多的技术。从通过智能手表和可穿戴设备实时无线访问您自己的健康参数,到植入体内的设备,可随着攻击技术日渐猖獗,我们能保证这些设备的安全吗?
几年前在黑帽安全大会,很多人都亲眼目睹了一个胰岛素泵被黑客攻击。
无论该设备上的大部分软件是否已经上市,监管机构说,集成商都要负责整个堆栈的安全,包括底层的操作系统,即使操作系统有良好的安全记录。换句话说:无论黑客使用何种技术破解了设备,设备制造商都应对之有责任。
可能被黑客入侵的无线胰岛素泵
因此,尽管市场压力依赖于企业快速生产设备,但未来的道路看起来并不平坦,而且成本高昂。
那么补丁呢,谁负责这些呢?根据FDA的说法,制造商会负责。由于一些医疗设备预计要使用很多年,所以支持这些设备需要很长一段时间。
那么,它们被黑客攻击的可能性有多大?医疗行业联网设备的安全问题,下面是五个漏洞:
来自蓝牙的威胁
很多医疗设备通过蓝牙集成了监控和交互功能,其漏洞存在的时间很长。
蓝牙血糖仪
虽然可能会有补丁,但很难确定该领域的实际采用率和时间表。与此同时,如果你的血糖测量数据被欺骗了,如果你试图根据错误的读数来调整血糖水平,你可能会面临真正的身体危险。
系统危机
许多医院的医疗设备管理计算机运行在较旧的、不受支持的Windows版本上,原因是制造商更新滞后。
老旧的医疗电脑系统
制造商不能随便在产品进行广泛测试、查看集成问题之前推出最新Windows补丁,所以补丁审查可能会很棘手。
一个潜在的攻击者在这方面有优势,因为他们可以在已知的漏洞一暴露就进行攻击,而且还会打得供应商措手不及。
云安全危机
我们在今年的黑帽和DEF CON大会上看到的,云安全暴露出很大的危机。患者不可能知道潜在的漏洞,但攻击者很快会抓住已知的漏洞进行攻击,通过他们的攻击框架快速利用这些漏洞。
因此一些患者会因为担心遭到黑客攻击而选择不与心脏起搏器进行外部通信,但将云技术应用于植入式心脏装置,将推动其进一步应用,这依然也会面临危险。
以太网
许多医疗设备通过以太网接入医疗TCP/IP网络,但对许多临床医生和患者来说,很难注意到与现有设备连接在一起的网络。
每个环节都紧密连击,不可或缺
通过通过嵌入在这种窃听装置中的无线链接窃取数据,攻击者可以窥探并制造漏洞。攻击者只需要一次物理访问,由于成本低、且不必返回拿走窃听设备,使得风险进一步加大。
无线键盘
一段时间以来,键盘记录器一直是记录无线键盘按键的标准工具,它们伪装成插在插座上的假USB充电器,同时监听信号,并通过4G无线网卡窃取这些信号。
无线鼠标和键盘
这会捕获受害者的敏感数据,如键入密码,攻击者会通过下载和安装远程后门漏洞绕过安全产品。
措施
多年来,医疗领域一直紧随其后–安全方面。在未来几年内,“医疗车队安全化”将是一项挑战。了解医疗设备的任何漏洞是明智的,特别是这些漏洞与医疗保障有关,早日将医疗保障安全提上日程是至关重要的。
转载请注明:IT运维空间 » 安全防护 » 世上绝无安全的系统:黑客破解心脏起搏器,医疗设备面临安全危机?
发表评论