從起搏器到智慧手錶，我們正日益成為一個控制論物種。這就是為什麼最近有關植入醫療裝置的漏洞的頭條新聞可能會敲響警鐘。你祖父的心臟起搏器真的會被竊聽嗎？如果是的話，現實世界的風險是什麼？

這是個及時的問題。是的，醫療技術正在發生重大變化，植入式裝置現在可以無線通訊，即將到來的醫療物聯網（IoT）帶來了各種可穿戴裝置，讓醫療保健提供者和患者保持更緊密的聯絡。但是，一家大型醫療器械**商的頭條新聞不是一個，而是兩個嚴重的安全漏洞。

漏洞凸顯駭客攻擊風險

今年三月，美國國土安全部警告說，駭客可以無線訪問美敦力公司生產的植入起搏器。僅僅三個月後，美敦力出於類似的原因主動召回了部分胰島素泵。

表面上看，這是可怕的，但它可能沒有聽起來那麼糟糕。駭客無法從幾百英里外的遠端終端接入植入的起搏器，也無法進行大規模攻擊。為了攻擊其中一個起搏器，攻擊必須在離受害者很近的地方進行（在藍芽範圍內），並且只有當裝置連線到網際網路來發送和接收資料時。

雖然可能性不大，但風險是真實存在的。Medtronic設計了該裝置的通訊協議，因此它不需要任何身份驗證，也不需要對資料進行加密。因此，任何有足夠動機的人都可以改變植入物中的資料，可能以危險甚至致命的方式改變植入物的行為。

與起搏器一樣，召回的胰島素泵也可以無線連線到相關裝置，如計量裝置，以確定胰島素泵入量。這一系列的胰島素泵也沒有內建的安全性，因此該公司正在用一種更具網路意識的型號來取代它們。

這個行業正在迎頭趕上

乍一看，美敦力似乎是無知和危險安全的典範（該公司沒有迴應我們對此事發表評論的要求），但它絕非孤軍奮戰。

物聯網安全公司Keyfactor首席技術官特德•肖特（tedshorter）表示：“總體而言，醫療裝置的網路安全狀況很差。

愛潑斯坦•貝克爾•格林公司（Epstein Becker Green）的一位專門研究隱私、網路安全和醫療監管的律師Alaap Shah解釋說：“從歷史上看，**商在開發產品時並沒有考慮到安全問題。”

畢竟，在過去，要篡改起搏器，你必須做手術。整個行業都在努力趕上技術的發展，並瞭解其安全含義。像前面提到的醫療物聯網這樣一個快速發展的生態系統正在給一個以前從未考慮過的行業帶來新的安全壓力。

McAfee的首席威脅研究員Steve Povolny說：“我們正面臨連線和安全問題增長的拐點。”。

儘管醫療行業存在漏洞，但從未有醫療裝置在野外遭到駭客攻擊。

肖特說：“我不知道有什麼漏洞被利用。

為什麼不呢？

波沃尼解釋說：“罪犯只是沒有動機去侵入心臟起搏器。“在醫療伺服器上有更大的投資回報率，在那裡他們可以用勒索軟體劫持患者記錄。這就是為什麼他們追求低複雜度高回報率的空間。”

事實上，為什麼要投資於複雜的、高技術的醫療裝置篡改，而醫院的IT部門傳統上保護得如此之差，支付得如此之高？僅2017年，就有16家醫院因勒索軟體攻擊而癱瘓。如果你被抓了，關閉伺服器也不算謀殺罪。不過，竊聽一個功能正常、植入的醫療裝置則是另一回事。

暗殺和醫療裝置駭客攻擊

即便如此，前副總統切尼在2012年也沒有冒險。當醫生們用一種新的無線型號替換他舊的起搏器時，他們禁用了無線功能以防止任何駭客攻擊。切尼的醫生說，部分靈感來自電視節目《家園》的一個情節，“在我看來，美國副總統擁有一個可能有人能夠……侵入的裝置，似乎是個壞主意。”

切尼的傳奇故事暗示了一個可怕的未來，在這個未來，人們透過調節健康的醫療裝置被遠端鎖定。但波沃尼不認為我們會生活在一個科幻世界裡，****透過篡改植入物遠端襲擊人們。

“我們很少看到有人對攻擊個人感興趣，”波沃尼說，他引用了駭客行為令人生畏的複雜性。

但這並不意味著它不可能發生。這可能只是一個時間問題，直到有人成為一個現實世界的受害者，不可能的任務風格駭客。Alpine Security列出了五類最易受攻擊的裝置。位居榜首的是久負盛名的起搏器，它在沒有美敦力最近召回的情況下削減了開支，而是引用了**商雅培（Abbott）2017年召回的46.5萬個植入起搏器。該公司不得不更新這些裝置的韌體，以修補容易導致患者死亡的安全漏洞。

阿爾卑斯擔心的其他裝置包括可植入的心臟復律除顫器（類似於起搏器）、藥物輸注泵，甚至MRI系統，它們既不是出血邊緣也不是可植入的。這裡要傳達的資訊是，醫療IT行業有很多工作要做，以確保各種裝置的安全，包括暴露在醫院中的大型傳統硬體。

我們有多安全？

值得慶幸的是，分析師和專家們似乎一致認為，醫療器械**商群體的網路安全狀況在過去幾年中一直在穩步改善。這在一定程度上是由於美國食品和藥物管理局（FDA）2014年公佈的指導方針，以及跨聯邦**多個部門的跨部門工作組。

例如，Povolny對FDA正在與**商合作簡化裝置更新的測試時間表感到鼓舞。“我們需要在測試裝置之間保持足夠的平衡，這樣我們就不會傷害任何人，但也不會花費太長的時間，讓攻擊者有很長的時間來研究和實施對已知漏洞的攻擊。”

根據UL醫療系統互操作性和安全性的首席創新架構師anurafernando的說法，提高醫療裝置的安全性是**目前的首要任務。FDA正在準備新的和改進的指南。醫療保健部門協調委員會最近提出了聯合安全計劃。標準開發組織正在開發標準，並在需要時建立新的標準。國土安全部正在繼續擴大其CERT計劃和其他關鍵基礎設施保護計劃，醫療保健界正在擴大並與其他人合作，不斷改善網路安全態勢，以跟上不斷變化的威脅形勢。”

這麼多縮略語的出現或許讓人放心，但還有很長的路要走。

費爾南多感嘆道：“雖然一些醫院的網路安全態勢非常成熟，但仍有許多人在努力理解如何處理甚至是基本的網路安全衛生問題。”。

那麼，你，你的祖父，或者任何一個帶著可穿戴或植入醫療裝置的病人能做些什麼呢？答案有點令人沮喪。

“不幸的是，責任在**商和醫學界，”波沃尼說。“我們需要更安全的裝置和安全協議的適當實施。”

不過，有一個例外。例如，如果您使用的是消費級裝置（如智慧手錶），Povolny建議您保持良好的安全衛生。更改預設密碼，應用安全更新，並確保它沒有一直連線到internet（如果不需要）