从起搏器到智能手表，我们正日益成为一个控制论物种。这就是为什么最近关于植入式医疗设备漏洞的头条新闻可能会敲响警钟。你祖父的起搏器真的会被黑客入侵吗？如果是，现实世界的风险是什么？

这是一个及时的问题。是的，医疗技术正在发生重大变化-植入式设备现在可以无线通信，即将到来的医疗物联网(IoT)带来了各种可穿戴设备，使医疗保健提供者和患者保持更紧密的联系。但一家主要的医疗设备制造商因不是一个，而是两个严重的安全漏洞而登上了头条。

漏洞突显黑客风险

今年3月，国土安全部警告称，黑客可以无线访问美敦力制造的植入式起搏器。然后，仅仅三个月后，美敦力出于类似的原因自愿召回了一些胰岛素泵。

从表面上看，这很可怕，但可能没有听起来那么糟糕。黑客不能从数百英里外的远程终端访问植入的起搏器，也不能进行大规模攻击。要入侵其中一个起搏器，攻击必须在非常接近受害者的物理位置(在蓝牙范围内)进行，并且只有在设备连接到互联网发送和接收数据时才能进行。

虽然不太可能，但风险是真实存在的。美敦力设计了该设备的通信协议，这样它就不需要任何身份验证，数据也不会加密。因此，任何有足够动力的人都可以改变植入物中的数据，潜在地以危险甚至致命的方式改变它的行为。

和起搏器一样，被召回的胰岛素泵也可以无线连接到相关设备上，比如决定胰岛素泵输出量的计量装置。这一系列的胰岛素泵也没有内置的安全装置，所以该公司正在用更具网络意识的型号来取代它们。

行业正在迎头赶上

乍一看，美敦力似乎是愚蠢和危险安全的典范(该公司没有回应我们对这篇报道的置评请求)，但它远非孤军奋战。

物联网安全公司Keyfactor的首席技术官泰德·肖特(Ted Short)表示：“总的来说，医疗设备的网络安全状况很差。”

爱泼斯坦·贝克尔·格林律师事务所(Epstein Becker Green)专门研究隐私、网络安全和医疗保健监管的律师阿拉普·沙阿(Alaap Shah)解释说：“制造商在历史上开发的产品从来没有考虑到安全问题。”

毕竟，在过去，要篡改起搏器，你必须进行手术。整个行业都在努力追赶技术，并理解其中的安全影响。快速发展的生态系统-就像前面提到的医疗物联网-正在给这个以前从未考虑过的行业带来新的安全压力。

McAfee的首席威胁研究员史蒂夫·波沃尔尼(Steve Povolny)表示：“我们正遇到连接和安全担忧增长的拐点。”

尽管医疗行业存在漏洞，但从来没有一台医疗设备在野外遭到黑客攻击。

“我不知道有任何被利用的漏洞，”肖特说。

为什么不行？

Povolny解释说：“犯罪分子根本没有入侵心脏起搏器的动机。”“针对医疗服务器的投资回报率更高，在那里他们可以用勒索软件将患者记录扣为人质。这就是他们追求空间的原因--低复杂度、高回报率。“

事实上，当医院IT部门传统上受到如此糟糕的保护和如此丰厚的回报时，为什么还要投资于复杂的、高技术的医疗设备篡改呢？仅在2017年，就有16家医院因勒索软件攻击而瘫痪。如果你被抓到，关闭服务器不会带来谋杀指控。然而，破解一台正在运行的植入式医疗设备则是另一回事。

暗杀和医疗器械黑客行为

即便如此，前副总统迪克·切尼在2012年也没有抱任何希望。当医生用新的无线型号更换他的旧起搏器时，他们禁用了无线功能，以防止任何黑客攻击。切尼的医生说，部分灵感来自电视剧“国土安全”中的一个情节，“在我看来，美国副总统拥有一个也许有人可以…的设备似乎是个坏主意。侵入。“

切尼的传奇故事暗示了一个可怕的未来，个人通过调节自己健康的医疗设备成为远程目标。但是Povolny认为我们不会生活在一个恐怖分子通过篡改植入物远程电击人们的科幻世界。

“我们很少看到攻击个人的兴趣，”Povolny说，他提到了黑客攻击令人望而生畏的复杂性。

但这并不意味着它不可能发生。可能有人会成为现实世界中“不可能完成的使命”式黑客的受害者，这可能只是个时间问题。阿尔卑斯安全公司列出了五类最易受攻击的设备。位居榜首的是历史悠久的起搏器，它在没有召回美敦力的情况下入围，而是以2017年召回制造商雅培(Abbott)46.5万台植入的起搏器为例。该公司不得不更新这些设备的固件，以修补可能容易导致患者死亡的安全漏洞。

阿尔卑斯担心的其他设备包括植入式心律转复除颤器(类似于起搏器)，药物输注泵，甚至MRI系统，这些设备既不尖端，也不是植入性的。这里传达的信息是，医疗IT行业有很多工作要做，以确保各种设备的安全，包括暴露在医院里的大型遗留硬件。

我们有多安全？

值得庆幸的是，分析师和专家似乎一致认为，医疗器械制造商群体的网络安全态势在过去几年里一直在稳步改善。这在一定程度上是由于FDA在2014年发布了新的指导方针，以及跨越联邦政府多个部门的跨部门特别工作组。

例如，Povolny感到鼓舞的是，FDA正在与制造商合作，简化设备更新的测试时间表。“有必要平衡测试设备，既不会伤害任何人，又不会花太长时间让攻击者研究和实施针对已知漏洞的攻击。”

根据UL医疗系统互操作性和安全首席创新架构师Anura Fernando的说法，提高医疗设备的安全性是目前政府的首要任务。“FDA正在准备新的和改进的指南。医疗保健部门协调委员会最近发布了联合安全计划。标准开发组织正在发展标准，并在需要的地方创建新的标准。国土安全部正在继续扩大他们的CERT计划和其他关键基础设施保护计划，医疗保健界正在扩大并与其他人接触，以不断改善网络安全态势，以跟上不断变化的威胁格局。“

这么多首字母缩写被涉及进来，这或许让人感到欣慰，但还有很长的路要走。

费尔南多感叹道：“虽然一些医院拥有非常成熟的网络安全姿态，但仍有许多医院在努力理解如何处理甚至是基本的网络安全卫生问题。”

那么，您、您的祖父或任何拥有可穿戴或植入式医疗设备的患者都能做些什么呢？答案有点令人沮丧。

“不幸的是，责任落在制造商和医学界身上，”Povolny说。“我们需要更安全的设备和安全协议的适当实施。”

不过，有一个例外。如果你使用的是消费级设备-比如智能手表-Povolny建议你保持良好的安全卫生。更改默认密码，应用安全更新，并确保它不会一直连接到Internet(如果不是必须的话)。