計算機病毒不會歧視。在網路空間中搜尋銀行資訊和密碼的惡意軟體不會區分家用計算機或向患者提供治療的醫院機器。即使放射治療機(例如)被意外滲透,惡意軟體理論上也可能導致輻射劑量飆升。
根據美國食品和藥物管理局最近的指導草案,醫療裝置製造商需要保護其產品免受網路攻擊。FDA呼籲醫療裝置製造商考慮在醫療裝置被設計成更徹底地整合到網路並連線到網際網路時出現的漏洞。它要求製造商制定安全計劃,以保護系統免受惡意軟體的侵害,然後再提交市場批准計劃。該機構還敦促醫院加強未來對任何網路攻擊的報告。
美國國土安全部最近釋出警報,強調了一個影響約300種醫療裝置的漏洞,包括輸液泵、呼吸機和體外除顫器。它警告說,通常允許維修技術人員訪問無數機器的硬編碼密碼可能被用來進行惡意更改,如果它們落入壞人之手。“我們意識到數百種裝置,涉及數十家制造商,受到了網路安全漏洞或事件的影響,”FDA裝置和放射健康中心高階官員威廉·梅塞爾說。在這些案例中,沒有具體的裝置或醫院成為目標,也沒有網路攻擊導致患者受到傷害,至少FDA是知道的。一系列醫療裝置執行在Windows XP等標準軟體上,容易受到困擾家庭和辦公室計算機的常見病毒的攻擊。由於事件數量正在上升,梅塞爾說,FDA認為現在是釋出關於採取行動的必要性的正式指導的時候了。
關於支援科學新聞報道
如果您喜歡這篇文章,請考慮透過以下方式支援我們屢獲殊榮的新聞報道 訂閱。透過購買訂閱,您正在幫助確保有關塑造我們當今世界的發現和想法的有影響力的故事的未來。
將醫院系統和裝置連線到網際網路,使醫生可以遠端研究患者的掃描結果,計算機可以快速共享患者資訊。但它也建立了新的入口點,計算機病毒可以在這些入口點捕食電子系統。
自2009年以來,退伍軍人事務部一直在跟蹤醫療裝置感染。《華爾街日報》首次報道,已發生327起此類事件。退伍軍人健康管理局臨床資訊學和醫療技術經理克里斯蒂安·豪特曼說,這些事件並未導致患者受到傷害。 然而,他說,這些事件有時確實給患者帶來了麻煩,並給醫院帶來了鉅額賬單。
其中一起事件發生在2010年,當時Conficker計算機蠕蟲感染了新澤西州一家弗吉尼亞州醫院的整個睡眠實驗室。所有患者都必須重新安排時間,這是一個挑戰,因為他們中的許多人依靠家人開車送他們去實驗室。與此同時,為了阻止感染並確保裝置沒有Conficker病毒,製造商不得不重新格式化所有裝置——醫院為此花費了大約4萬美元,弗吉尼亞州衛生資訊安全副主任萊內特·謝里爾說。她說,對於像Conficker這樣的病毒,不僅僅是阻止病毒在可能鎖定使用者後進一步破壞的問題。計算機記憶體也必須清除病毒從網際網路下載並儲存在每臺計算機記憶體中的程式碼——病毒掃描無法消除這一點。Conficker是一種特別有害的病毒,還會洩露患者資料和密碼。據弗吉尼亞州記錄顯示,包括Conficker在內的惡意軟體的攻擊發生在醫療裝置上,包括影像裝置、眼科檢查掃描器和心電圖壓力分析儀。
然而,由於許多機器沒有特定的患者資訊,患者信用卡或健康資訊被盜的風險很小。惡意軟體,如殭屍網路——試圖控制一組計算機的功能,然後讓它們協同工作以執行某些非法任務的病毒——會消耗能量,減慢系統速度並擾亂其功能。惡意軟體還會導致裝置無法提供護理。“我認為我們就像在一個村莊裡,所有的房子都沒有鎖門,”密歇根大學專注於醫療裝置和網路安全的計算機科學家凱文·傅說。“不需要火箭科學家來思考我們應該制定一些風險緩解策略,因為通常壞人總是比好人領先幾步。”
惡意軟體的存在有時只有在有人注意到系統執行緩慢或裝置效能出現問題時才會被發現。透過這項新指南,FDA試圖啟動該過程,以便將網路安全問題納入生產的規劃階段,並建立系統來檢查和應對網路威脅。“我們不想等到裝置執行不正常的時候,”梅塞爾說。“我們希望裝置製造商和醫院能夠積極主動。”
然而,積極主動可能是一項艱鉅的任務。正如家用計算機在下載最新更新時可能會遇到問題一樣,將醫院系統連線到最新的安全補丁(指南中提到的一個步驟)也會帶來在解決問題期間暫時損害系統的風險。過去,一些公司建議不要更新系統,正是出於這個原因。“如果你因為推出補丁而損壞了重要的醫療掃描器,那和感染惡意軟體一樣糟糕,因為裝置現在無法使用,”非營利性反惡意軟體組織StopBadware的臨時執行董事布萊恩·古拉琴斯基說。網路安全專家一致認為,這個過程的很大一部分將是製造商和醫院進行自我教育。
隨著製造商努力將傳統的網路安全保護技術融入到醫療裝置中,包括起搏器、醫療掃描器和維持生命的機械,另一個平衡問題需要解決:如何在充分保護急救裝置的同時,創造護理人員可以快速繞過密碼需求以提供即時護理的情況。“這是一個非常現實的問題。當我在網站上登入我的電子郵件帳戶時,如果我三次輸入錯誤的密碼,它就會把我鎖定。這沒關係。這對醫療裝置來說是不可接受的,”傅說。他補充說,正在研究這個問題的公司將需要為這些現實情況建立靈活性。
醫療裝置安全專家顧問邁克·艾哈邁迪說,一些公司已經開始制定關於如何建立這些安全措施的戰略。醫療裝置公司仍然不願將他們的產品宣傳為安全的,因為他們不想邀請喜歡挑戰的駭客攻擊他們的系統,他說。“我知道有幾家起搏器公司做得非常出色,但沒有一家公司會站出來說我們有安全的裝置,你應該為此購買它。”他說,如果系統被破壞,宣傳安全性也可能是一個責任問題。
目前,這是一個管理風險的問題。“惡意軟體總是會存在的。就像美國疾病控制中心不試圖消除每一種疾病一樣——它試圖控制它們。惡意軟體也是如此——貓已經從袋子裡跑出來了,它就在那裡,”傅說。“在這一點上,對於惡意軟體沒有有意義的控制,而且在很大程度上我們依賴於希望;問題是有太多的入口點無法列舉。”