解決無(wú)線(xiàn)醫療設備的 7 個(gè)安全問(wèn)題

2021-06-07

解決無(wú)線(xiàn)醫療設備的 7 個(gè)安全問(wèn)題

支持藍牙的血糖儀和胰島素泵等無(wú)線(xiàn)便攜式醫療設備已經(jīng)成為用戶(hù)值得信賴(lài)的家居用品和日常生活伴侶，并在全球醫療保健系統中發(fā)揮了不可替代的作用。藍牙醫療設備持續準確地跟蹤用戶(hù)的生理狀況，為他們的智能手機應用程序提供健康數據。醫生和臨床醫生可以通過(guò)遠程門(mén)診護理應用程序訪(fǎng)問(wèn)數據。無(wú)線(xiàn)應用能夠以方便和非侵入性的方式在急性期和康復期后對患者進(jìn)行連續監測?；颊呖梢栽诩抑邢硎苋粘Ｉ?，而醫生可以遠程高效、安全地進(jìn)行醫療診斷、觀(guān)察和會(huì )診，有效防止疾病的病毒傳播。

全球無(wú)線(xiàn)便攜式醫療設備市場(chǎng)預計將繼續大幅增長(cháng)，到 2025 年將再增加 170 億美元的收入，因為世界各國政府都在尋求通過(guò)數字化和遠程門(mén)診護理來(lái)提高效率。然而，安全問(wèn)題正在蓬勃發(fā)展的設備市場(chǎng)和醫療數字化狂潮中隱約可見(jiàn)。產(chǎn)品開(kāi)發(fā)人員必須考慮關(guān)鍵的安全問(wèn)題，才能在無(wú)線(xiàn)醫療設備市場(chǎng)取得成功并保障數字醫療轉型。

醫療器械安全挑戰 

從歷史上看，醫療設備由于缺乏無(wú)線(xiàn)連接而不受安全威脅的影響。用戶(hù)和醫生可以信任這些未連接的設備，直到最近，安全性才成為設備制造商的問(wèn)題。

鑒于暴露的漏洞數量不斷增加，醫療保健行業(yè)和設備制造商必須將無(wú)線(xiàn)安全作為開(kāi)發(fā)的第一要務(wù)。以下是設備制造商、制造商和醫療保健技術(shù)專(zhuān)業(yè)人員在開(kāi)發(fā)或評估無(wú)線(xiàn)醫療設備時(shí)應考慮的七大安全考慮因素的概要。

惡意軟件

惡意代碼插入無(wú)疑是無(wú)線(xiàn)醫療設備中最常見(jiàn)的安全威脅。黑客插入惡意代碼來(lái)使設備脫軌以執行錯誤的軟件，而不是為產(chǎn)品開(kāi)發(fā)的真實(shí)可靠的代碼。惡意代碼插入可以通過(guò) 在設備上執行之前對軟件進(jìn)行身份驗證來(lái)消除 。當檢測到惡意代碼時(shí)，應該對設備進(jìn)行編程以觸發(fā)對策，例如停用受感染的產(chǎn)品。

芯片組克隆

藍牙醫療設備通常由不精通技術(shù)的用戶(hù)在不受保護的環(huán)境中遠程使用。這使得黑客很容易使用克隆的芯片組和偽造的智能手機應用程序來(lái)干擾身份驗證過(guò)程、訪(fǎng)問(wèn)設備和私人數據?？寺〉慕鉀Q方案在于使用帶有唯一 ID硬編碼的芯片組，該 ID每次加入網(wǎng)絡(luò )時(shí)都會(huì )識別設備，并使舊產(chǎn)品退役以避免克隆。

打開(kāi)后門(mén)

熟悉編程的每個(gè)人都知道，讓 USB 端口不受保護可以輕松訪(fǎng)問(wèn)內部計算機架構。這同樣適用于無(wú)線(xiàn)醫療設備。但是，產(chǎn)品開(kāi)發(fā)人員可以使用調試端口輕松關(guān)閉打開(kāi)的后門(mén)，該 端口可以 使用加密密鑰鎖定和解鎖。它可以防止未經(jīng)授權的訪(fǎng)問(wèn)，同時(shí)允許簡(jiǎn)單而安全的現場(chǎng)診斷和更新。

未經(jīng)認證的芯片組

產(chǎn)品開(kāi)發(fā)人員如何知道無(wú)線(xiàn)芯片組或微控制器對于醫療用途是否足夠安全？安全選項是使用 經(jīng)過(guò)安全認證的芯片。

差分功率分析攻擊

差分功率分析 (DPA) 基于高度先進(jìn)的功率監控和數學(xué)信號分析，以重新生成設備的安全密鑰。DPA 攻擊需要對設備進(jìn)行物理訪(fǎng)問(wèn)，但如果成功，它就會(huì )利用整個(gè)產(chǎn)品線(xiàn)或設備群。產(chǎn)品開(kāi)發(fā)人員可以通過(guò)使用配備特定差分功率分析對策技術(shù)的芯片組來(lái)消除其設計中的 DPA 威脅 。

草率的密鑰保護

草率的密鑰保護是許多醫療設備制造商的致命弱點(diǎn)。密鑰保護通常是黑客攻擊的第一件事，因為可以重復成功的攻擊向量來(lái)利用整個(gè)安裝群。這 物理不可克隆功能 (PUF) 根據單個(gè)設備缺陷創(chuàng )建隨機且唯一的密鑰。PUF 密鑰始終在啟動(dòng)時(shí)生成并加密安全密鑰存儲中的所有密鑰，應用程序可以在保持機密的情況下處理這些密鑰。

未受保護的軟件維護 

許多藍牙醫療設備在處置之前可能有幾個(gè)月甚至幾年的使用壽命。在它們的生命周期中可能需要多次軟件更新，每個(gè)事件都為黑客提供了潛在的機會(huì )。醫療產(chǎn)品的安全設計不僅僅是硬件和軟件的強化。產(chǎn)品開(kāi)發(fā)人員必須考慮整個(gè)生命周期維護過(guò)程——包括如何通過(guò)無(wú)線(xiàn) (OTA)安全管理已安裝的設備庫 、驗證更新文件、加密整個(gè)過(guò)程，以及通過(guò)安全啟動(dòng)保證固件映像不變.

結論

現代醫療保健系統將需要大量智能無(wú)線(xiàn)設備，以通過(guò)安全的門(mén)診護理渠道有效地治療老齡化人口。藍牙醫療設備市場(chǎng)對制造商、設備制造商和初創(chuàng )公司來(lái)說(shuō)是一個(gè)巨大的收入機會(huì )，需要強大、不妥協(xié)的安全性才能繼續增長(cháng)。