医疗设备安全挑战与应对

最新推荐文章于 2025-10-16 13:48:08 发布

原创最新推荐文章于 2025-10-16 13:48:08 发布 · 970 阅读

29 ·

CC 4.0 BY-SA版权

文章标签：

#医疗设备 #网络安全 #恶意软件 #形式化方法 #患者安全

医疗领域的安全与保障问题

综述文章

医疗领域的安全与保障问题呈现出多种形式。例如，被污染的药品、血管支架的召回以及健康数据泄露。由非故意威胁引发的风险早已为人所知，例如电磁能量的干扰。

由于医疗设备越来越多地采用无线通信和互联网访问等新技术，由故意威胁引发的安全风险直到最近才得到证实。故意威胁包括对医疗设备的未授权访问或对该设备设置的未经授权更改。美国食品药品监督管理局（FDA）设备部门的一位高级官员经常被引用以下声明：“我们意识到‘数百台医疗设备感染恶意软件的事件。’” 尽管目前尚未报告此类入侵导致的死亡或伤害，但不难想象未来某一天这种情况可能会发生。毫无疑问，未来的医疗保健将日益数字化。医疗设备将变得越来越智能和互联。医院和诊所中计算机病毒的风险正是这一趋势的副作用之一。如果没有适当的应对措施，可能会导致更多的数据泄露，甚至出现威胁患者生命的恶意攻击。

安全旨在保护信息和信息系统免受未授权访问和使用。如前所述，医疗设备越来越多地配备具有通信机制的嵌入式软件，使其符合信息系统的定义。信息的保密性、完整性和可用性是核心设计和运行目标。安全软件应在遭受恶意攻击时仍能正常运行。从这个意义上讲，医疗设备安全是指通过工程手段设计这些设备，使其在遭受恶意攻击时仍能正常运行。这包括内部的硬件和软件方面，以及有意和无意的外部威胁。

医疗设备的安全挑战

医疗设备包含各种各样的器械和用具。在我们的考虑范围内，只有具备硬件、软件和某种形式互操作性的设备才值得关注。例如，人工关节不进行任何处理，即不涉及软件。因此，从安全角度来说，我们可以忽略它们。然而，从安全视角来看，它们可能确实至关重要。

此时，我们强调安全医疗设备的重要性。这并非真的关于防止有人通过医疗设备杀害他人。尽管这种情景听起来可能极为遥远且不太可能发生，但并非完全不可想象。保护医疗设备的安全是保护关键基础设施。它关乎防止恶意人员控制该基础设施，防止设备制造商或医疗机构遭受潜在勒索，以及关乎任何需要使用此类设备的个人的福祉感。

动机

影响公众的重大IT安全事件几乎经常被媒体报导。例如被盗的密码、被盗的信用卡信息或网站可用性问题。个人身份标识信息的丢失、被盗或泄露信息问题是医疗保健领域普遍存在的主要问题之一，占所有这些已报告问题的五分之一。美国食品药品监督管理局收集有关医疗设备可报告问题的信息，以记录和识别特定设备或设备类型的不良和意外事件。每年，都会收到数十万份关于疑似器械相关死亡、严重伤害和故障的医疗设备报告。对这些召回和事件的分析表明，多年来召回数量和不良事件数量均有所增加。

设备召回的主要原因涉及故障。与计算机相关的召回约占20%至25%，并且这一比例还在上升。数据显示，与计算机相关的召回主要由软件引起。超过90%的设备召回提及“软件”一词作为纠正措施的原因。不到3%提到升级将可在线获取。克雷默等人还通过报告设备漏洞测试了美国食品药品监督管理局的不良事件报告系统，结果发现该事件在数月后才出现在相应的数据库中。这一时间跨度对于应对软件相关故障而言显然过长。

医疗设备成功被黑客攻击的情况已多次出现。例如，已有人通过无线方式向胰岛素泵发送指令（提高或降低胰岛素水平，或将其禁用），最远可在150英尺距离内完成。美国食品药品监督管理局的安全通信已向设备制造商和医疗保健提供者发出警告，要求采取安全措施以防止网络攻击。目前尚无死亡或伤害的报告，但潜在后果显而易见。

非医疗领域的IT环境也可能对医疗操作构成威胁。例如，当全球范围内的计算机因杀毒软件将正常系统文件误判为病毒而停止运行时，医院不得不推迟择期手术并中断对患者的治疗。

医疗设备

医疗设备包括从简单的木制压舌板和听诊器到高度复杂的计算机化医疗设备。根据世界卫生组织（WHO），医疗设备是指“用于疾病或其他状况的诊断、预防、监测和治疗的仪器、装置、用具、机器、器具、植入物、体外试剂或其他类似或相关的物品”。美国食品药品监督管理局（FDA）使用了类似的定义。例如，在美国、加拿大、欧洲或澳大利亚，医疗设备的分类定义有所不同。

FDA已建立分类针对大约1,700种不同类型的通用设备制定了规定。这些设备被划分为称为“专业组”的医学专科。美国食品药品监督管理局（FDA）的专科组示例包括心血管设备、牙科设备、骨科设备以及耳鼻喉设备。有源设备可能涉及软件、硬件和接口，而在考虑安全问题时，这些因素非常重要。这些设备能够进行一些处理，接收来自设备外部的输入（传感器），向外部输出数值（执行器），并与其他设备通信。

设备安全性

美国食品药品监督管理局的每种通用设备类型均被划分为三个监管类别之一：I类、II类和III类。分类依据是确保设备安全性和有效性的所需控制水平；风险越高，类别越高。例如，III类设备必须经过上市前审批程序。该类别包含永久植入人体且可能维持生命所必需的设备，例如人工心脏或自动体外除颤器。分类基于设备对患者或用户构成的风险。I类包括风险最低的设备，III类则包括风险最高的设备。

根据世界卫生组织（WHO）的说法，医疗设备的最佳安全性和性能需要在设备整个生命周期中所有相关方（即政府、制造商、进口商/供应商、用户和公众）的共同合作下进行风险管理。国际标准ISO 14971:2007为医疗设备制造商提供了风险管理的框架，包括在设备的设计、开发、制造以及售后对设备安全性和性能的监测过程中进行风险分析、风险评估和风险控制。

设备安全

如果医疗设备通过在专用硬件上运行某种软件并通常使用多种传感器，进行某种形式的处理和通信，则我们认为该设备是安全关键的。感知设备构成了一种安全威胁，因为错误的传感器值可能会导致后续治疗上的错误决策。

当攻击者设法在设备安装前植入恶意硬件或软件时。例如，可能在心脏起搏器中安装的硬件或软件木马，会在特定事件发生时被激活。必须在设计和开发过程中采取预防措施，以避免此类攻击。当然，通信设备提供了更广泛的攻击“表面”。

我们建议根据医疗设备是否处理或传输敏感信息，以及是否处理或传输安全性关键信息，对医疗设备进行安全分类。随附的表格总结了我们针对与安全相关的设备提出的建议级别。请注意，该分类集为初步分类，尽管尚未完全细化，但它是建立更全面的安全级别分类法的第一步。

示意图0

安全级别	描述	设备示例
Low	既不敏感也非安全关键	活动医院中用于行政工作的电脑心率表
Medium	敏感活动	处理电子健康记录（EHR）的个人电脑传输血糖水平的智能手机
High	安全关键活动	控制胰岛素泵或向起搏器发送参数的设备
Very High	安全关键活动，来自其他地方的输入	接收外部参数的心脏起搏器

医疗专业人员越来越多地使用移动医疗应用来改进和促进患者护理。越来越多的患者通过此类应用程序管理自身的健康与 wellness。此类应用可促进健康生活，并提供获取有用健康信息的途径。移动医疗应用具有多种用途。它们可通过连接医疗设备，以显示、存储、分析或传输患者特定数据，从而扩展医疗设备的功能。并非每个移动医疗应用必然带来安全风险。然而，一旦其处理或传输敏感信息，甚至控制医疗设备，则必须采取安全防护措施。

起搏器场景

我们将通过起搏器的例子来说明安全问题，即植入患者体内以调节患者心率的医疗设备。此类设备的目的是维持患者适当的心率，否则患者的心脏将无法做到这一点。起搏器被归类为III类，属于最高安全类别。

临床视角

植入式医疗设备在许多医学专科中都很普遍。植入式心脏起搏器和除颤器医生对患者的健康和福祉可能尤为重要。每年都有数十万患者植入此类植入式设备；其中许多患者若无完全正常运作的设备将无法生存。带有此类植入式设备的患者通常需定期在门诊诊所或医院环境中接受随访，期间会对设备进行查询并根据需要进行调整。受训人员或医生使用设备制造商特定的编程系统，通过数据传输棒或无线技术与设备通信。此外，在过去几年中，几乎所有设备制造商都已建立基于家庭的设备随访系统。

为此，数据模块被放置在患者家中，通常位于床边。当患者接近该数据模块时，会建立无线连接，数据模块随即对设备进行查询。这些信息通过电话固话线路（通常如此）发送至基于互联网的存储库，授权的医疗专业人员可查看这些数据。

植入式心脏起搏器和除颤器具有很高的可靠性。然而，设备组件的故障仍时有发生，并凸显了潜在的医疗和法律影响。这些故障在很大程度上是由于制造过程和/或材料问题所致，通常仅限于某些设备批次。但几乎总是需要通过手术更换设备。随着基于网络的无线远程随访系统的日益普及，人们对设备安全的担忧已经出现。目前，这些远程随访系统处于只读模式。然而，通过远程随访系统进行设备编程正在被研究中。无论是由于错误、技术故障还是恶意意图导致的错误编程，都可能对患者造成危及生命的后果。

风险评估

在我们的起搏器场景中，我们根据CIA三要素（保密性、完整性和可用性）区分不同的风险。第一是保密性——患者的敏感数据及其起搏器的相关信息可能被泄露；第二是完整性——设备上的数据可能被篡改，从而对患者造成从轻微到严重的不同程度影响；第三是可用性——可能导致设备无法运行。

起搏器环境
互联网
无线
手动电话线
起搏器
家庭监护仪编程设备
服务提供商诊所

信息泄露和篡改可能发生在设备之间的任何连接中。在互联网上，除非采取了适当的措施（如加密机制），否则可能发生中间人攻击。无线通信还允许攻击者使用单独的设备监听通信流量，例如另一台编程设备、另一个家庭监护仪，或专门用于攻击的其他设备。此类设备不仅可用于监听，还可伪装成授权的通信方。此外，也可能发生拒绝服务攻击。在我们的场景中，最大的威胁源于起搏器的互操作性。对设备风险进行评估的目的是确定风险、其伤害程度以及伤害发生的可能性。根据这些信息，必须识别并选择相应的应对措施。

软件

软件中的漏洞是指可被攻击者直接利用以访问系统或网络的软件缺陷或错误。起搏器的软件属于保密且专有的信息。出于学术目的，可获取一份系统规格文档。它揭示了这些看似简单设备的复杂性。存在大量可编程参数，例如下限和上限频率，以及各种延迟和周期。功能包括设备监测、导线支持、脉冲起搏、多种运行模式和状态，以及广泛的诊断功能。不仅起搏器本身需要软件，编程设备和家庭监护仪同样需要软件。编程设备上的软件用于对起搏器进行无创重新编程，例如修改起搏器频率、监控特定功能以及处理从起搏器获取的数据。此类软件通常仅适用于一个或少数几个型号的设备，一般来自同一制造商。家庭监护仪上的软件需与起搏器通信，并主要将重要信息上传至特定服务器，诊所的工作人员随后可访问这些信息。在编程设备和家庭监护仪上，甚至在起搏器本身，都可能需要安装更新。被入侵的起搏器可能直接对患者造成伤害。被入侵的编程设备可能间接造成伤害，例如向设备发送心脏病专家未选择的其他参数。被入侵的家庭监护仪也构成严重威胁。如果其向服务器上传错误数值，则可能导致心脏病专家得出错误结论，最终设置错误的设备参数而伤害患者。最后但同样重要的是，存储所有这些数值的服务器一旦被入侵，也会带来类似的威胁。

硬件

隐藏的恶意电路为攻击者提供了隐蔽的攻击向量。当攻击者设法在设备安装前植入恶意硬件或软件时。例如，可能在心脏起搏器中安装的硬件或软件木马，会在特定事件发生时被激活。必须在设计和开发过程中采取预防措施，以避免此类攻击。

互操作性

由于起搏器具备无线通信能力，其安全问题也引起了关注。这些问题包括对设备上患者数据的未授权访问以及对设备参数的未授权修改。不用说，被修改的设备设置可能会损害患者的福祉，对其心脏造成严重伤害，甚至导致死亡。当设备的无线通信受到攻击时，设备完整性将面临风险。

关键问题是，未经授权的第三方是否能够更改设备设置、更改或禁用治疗，甚至发送指令电击。哈尔佩林等人使用示波器和软件无线电对起搏器的通信协议进行了部分逆向工程，并实施了多种攻击，这些攻击能够危及患者安全与隐私。

即使在我们的起搏器场景中所有设备的硬件和软件均无恶意软件，攻击者仍可能通过与这些设备中的任意一个进行通信构成威胁，例如家庭监护仪、编程设备、服务提供商的网络服务器或起搏器本身。互操作性需要定义通信双方之间操作序列的协议。这些序列必须确保数据的保护。网络协议经常存在漏洞，从而使攻击者能够冒充他人。攻击者可能会使用带有更强天线的修改过的编程设备，使其能够从更远的距离与起搏器通信。然后，他们可能冒充授权心脏病专家并修改设备设置。类似地，他们可能充当家庭监护仪读取敏感数据，或冒充起搏器与家庭监护仪通信并传递错误数值。
医疗设备安全是指通过工程手段设计这些设备，使其在遭受恶意攻击时仍能正常运行。

医挑疗战保健领域需要重点保护的关键资产包括医疗记录、大量医疗传感器和设备，以及至关重要的患者健康与人类生命。医疗设备的安全性与常规IT安全相比存在差异且更具挑战性，原因不仅在于涉及人类生命安全。显然，如果因安全漏洞导致安全性受损，非医疗设备（如汽车）也可能危及人类生命。可以设想一种场景：恶意软件被植入动态稳定控制系统，从而蓄意引发事故。但许多医疗设备直接影响患者生理状态，因此构成永久性威胁。资源限制并非存在于所有设备中，但在许多设备中确实存在，尤其是植入式医疗设备。有限的内存、处理能力、物理尺寸限制以及电池寿命，限制了可采用的安全防护措施。紧急情况带来了其他领域所没有的额外挑战：医疗设备必须防止未授权访问，但在紧急情况下又可能需要实现快速简便的访问。另一个问题是可重复性。安全研究人员通常难以获得专有设备的访问权限，因而限制了他们对攻击与防御进行研究的能力。

已描述了针对医疗设备漏洞的多种应对措施。这些措施可以是防护性、纠正性或检测性的。例如审计、通知、可信的外部或内部设备以及加密保护。此处，我们列举了各种面临的挑战并提出解决这些挑战的方法。

软件安全

除了功能之外，医疗设备的软件开发者还必须采取措施确保其代码的安全性以及安全。需要有安全的开发和安全的更新机制。傅和布鲁姆也描述了医疗设备软件的风险。

安全开发

安全是一种易变的属性。一个系统永远不会百分之百安全。只要漏洞不为人知，这就不是问题。当攻击者知道某个特定漏洞时，目标系统就会面临风险。安全医疗软件的工程化与其他类型软件的开发并无根本区别。人们普遍误解，认为只有糟糕的程序员才会编写不安全的代码。除了编写代码的内在复杂性之外，编写安全代码还需要详尽的知识、额外培训以及附加的开发活动。因此，经济因素有时还包括社会因素，往往会不利于安全质量。

在医疗设备软件中，我们必须确保安全性和安全处于最高优先级，并且有明确的流程来报告和修复漏洞。医疗设备面临的挑战包括：用于安全的附加代码不得干扰实时约束以及其他资源限制，例如有限的电池电量。

更新机制

当系统的制造商了解到漏洞时，他们会解决并纠正这些问题。然后必须进行修复分发到存在该漏洞的系统。更新机制本身可能被滥用以发起攻击。与个人电脑和智能手机相比，医疗设备的更新和补丁（仍然）要少得多。然而，有时这些更新是必要的。

我们需要为医疗设备提供用户友好的更新流程，并采取预防措施，确保更新过程本身不涉及恶意软件。此外，更新不得损坏设备或中断其正常功能。

现成软件通常为医疗技术提供支持。在医疗设备上，软件补丁或更新常常被延迟，甚至完全缺失。缺少补丁也可能是组织层面的问题。由于设备制造商必须批准软件升级以及任何安全装置的安装，这可能导致延迟。旧版软件的问题在于它们通常包含已知漏洞。

医疗设备中的旧软件在这些设备独立运行时并不是问题。随着互联互通程度的增加，即使存在旧的恶意软件，这些设备也变得容易受到攻击。对于医疗设备而言，嵌入式软件的产生生命周期必须与设备的生产生命周期相匹配。制造商必须确保在软件支持已终止后，不再将其用于医疗设备。

硬件安全

硬件中的安全性问题比安全问题更为普遍。一个例子是非医疗设备对起搏器的电磁干扰。

通常需要获得制造商的批准，因此与安全相关的升级部署通常会被延迟。制造商、进口商和设备使用机构必须报告特定的设备相关不良事件和产品问题。

为了有效且高效地收集医疗设备在安全和隐私问题方面的数据，必须重新考虑监测策略。傅和布鲁姆讨论了一些监管方面以及标准机构、制造商和临床机构的作用。我们认为有必要采取行动，将医疗设备日益增长的软件更新需求与重大变更后重新进行临床试验的需求相协调。

恶意软件检测

漏洞通常在利用这些漏洞的恶意软件被检测到之前都是未知的。我们需要能够检测恶意软件存在的方法。恶意软件检测技术包括控制流完整性验证、调用栈监控、数据流分析以及多源哈希验证。尽管基于软件的恶意软件检测方法适用于传统计算系统，但对于具有严格时间约束的医疗设备而言，其性能开销可能过高。基于硬件的检测方法可以减少或消除性能开销，但功耗仍然是一个挑战。

对于医疗设备，我们需要非侵入式且功耗极低的恶意软件检测方法，因为电力是一种宝贵的资源，尤其是在植入式设备中。为了抵御零日攻击，需要采用基于异常的恶意软件检测方法。这些方法依赖于对系统正常行为的精确建模，这既需要使用形式化方法来建模该行为，也需要与系统设计任务紧密集成。医疗设备中时序要求的重要性可能提供一种独特的系统特征，可用于更有效地检测恶意软件。

恶意软件响应

仅检测恶意软件只能解决一半的问题。一旦检测到恶意软件，医疗设备应如何响应？通知是一种直接的选择，但这允许恶意软件重新运行。在设备能够被检查或更换之前，主要的主动防护措施应持续有效。如果暂时停止设备运行对患者是安全的，那么自动重新安装软件可能是可行的。我们生活在一个互联互通的世界中。断开互联网连接可能会带来一些不便，但不太可能对人造成身体上的伤害。然而，生命攸关的医疗设备则带来了更为复杂的一系列挑战。显然，对于仅在心律异常时起搏的心脏起搏器这类设备进行重新编程、重置或断开连接，其干扰性要小于永久性起搏器。在这种情况下必须权衡利弊做出决策。更换设备可能是一种选择，但在设备更换之前这段时间该如何应对？

至少第一步是可以关闭与该设备的所有通信，此前一位美国副总统就曾采取过这一措施，以避免潜在的恐怖攻击。不过必须明确的是，如果在终止通信功能之前恶意软件已被植入设备，那么这一步骤可能为时已晚。在此情形下，重置设备或许是一种可行的选择。

通知会提醒患者可能存在恶意活动。然而，安全漏洞的通知可能会让担忧的患者感到不安。我们设想了在怀疑或已知存在恶意软件时可切换的不同设备模式。例如，其中一种模式可以关闭所有通信，并使用预设的安全参数设置。关键是，替代性安全模式的设计必须通过软件保护措施和安全硬件架构确保各种软件实现相互隔离，从而防止恶意软件更改安全模式的运行。即使安全受到损害，故障安全功能也必须保护设备的关键功能。

形式化方法

在医疗设备中部署之前发现软件和硬件中的漏洞可以显著提高安全性。实际上，消除所有安全漏洞是不可行且不切实际的。形式化验证方法可用于分析时间行为并检测潜在漏洞。在开发心脏起搏器等安全关键实时系统时，保证时序特性是一个重要问题。Jee 等人以起搏器为例，提出了一种实时软件的安全保证的开发方法。他们采用了模型驱动开发技术，并使用基于测量的时序分析来确保其实现以及形式化模型中的时序特性。

形式化方法在确保医疗设备的硬件和软件按设计运行方面发挥着重要作用。我们还认为，应利用形式化方法来验证软件更新、恶意软件响应方法以及其他运行时系统重新配置的正确性。形式化建模与验证对于确保运行时系统的变更能够在不影响设备行为的情况下完成至关重要。

资源限制

有限的电源/能量和有限的尺寸可能使已知的安全解决方案变得不切实际。例如，植入式除颤器可能没有足够的资源来运行商用防病毒软件。即使能够运行，也可能过度消耗电池电量。此外，此类软件需要连接互联网以保持病毒信息的更新，从而开辟另一个攻击向量。有限内存可能需要使用简化版本的操作系统，同时也使得常见的安全软件更难被有效利用。

近期研究已经展示了能够将心跳运动转化为电能的微型发电机，以及可无线充电的植入式设备。此外，还实现了利用感应射频能量进行零功耗的通知和身份验证，无需消耗电池电量，例如在发生安全敏感事件时向患者发出 audible 警报。但由于资源有限，许多医疗设备的安全措施仍然受到限制。

非技术方面

除了医疗设备的技术安全方面外，我们还必须考虑非技术问题。安全意识是一个主要方面。当人们例如提供登录凭据时，技术安全措施将毫无用处。

未经授权的人员。从技术上可行的系统对患者来说可能仍然不受欢迎。

普通人群日益关注互联网在日常生活诸多方面的滥用问题，例如银行欺诈或身份盗窃。作为一名心脏病专家和电生理学家，其中一位作者（P. 奥特，医学博士）注意到患者对安全问题的意识正在增强，他们质疑植入式设备在数字领域中的安全性。我们预计此类担忧将变得更加紧迫。一项小型研究表明，在为医疗设备设计对策时，必须考虑感知到的安全性、安全性、摆脱不需要的文化和历史关联以及自我形象等因素。

我们需要更多关于患者对其所用设备安全性的担忧程度的信息。用户研究可以揭示患者愿意采取哪些具体的额外措施来提高安全性，这将为制造商提供宝贵的信息。我们需要提高所有利益相关方（即制造商、患者、医生和医疗机构）的安全意识。此外，设备的安全状态必须对所有利益相关方更加可见、易于理解和访问。

IT基础设施

为了保护医疗设备，还必须确保其周围的IT环境安全。本文将重点讨论医疗设备，因此不再列举IT安全中常见的应对措施。这些措施同样适用于医疗保健安全或医疗设备安全，例如在处置硬盘前将其数据擦除、备份数据或实施自带设备（BYOD）政策。诸如智能手机或平板电脑等现成设备也越来越多地存储、处理和传输敏感医疗数据。这些设备上的数据必须受到保护，以防恶意软件侵害。

IT基础设施必须根据健康保险可携性和责任法案（HIPAA）保障医疗数据隐私。然而，安全性也面临风险。对于医疗设备而言，需要注意的是，常规IT设备在直接或间接与医疗设备互操作时，也会对医疗设备构成威胁。大多数重要的是，医疗设备应始终假设其周围环境可能已被破坏。

结论

保护医疗设备意味着保护人类生命、人类健康和人类福祉。这也涉及保护敏感健康信息的隐私并确保其安全。我们看到移动医疗应用的使用日益增加，同时使用无线通信并利用互联网连接的医疗设备也在增多。新型传感技术为远程医疗提供了机遇，并有望使医疗保健更具成本效益。如果不采取适当的应对措施，敏感医疗数据可能被滥用的大门将完全敞开，甚至可能面临恶意软件和攻击，从而危及人类生命。