在過去幾個月,圣猶達(dá)醫(yī)療(St.Jude Medical)一直否認(rèn)其IoT醫(yī)療設(shè)備存在問題,而日前圣猶達(dá)醫(yī)療終于針對其物聯(lián)網(wǎng)(IoT)醫(yī)療設(shè)備的安全漏洞發(fā)布修復(fù)程序以及指導(dǎo)信息。
這些修復(fù)程序修復(fù)了Merlin@home數(shù)據(jù)傳輸器中的漏洞,這是圣猶達(dá)醫(yī)療公司對植入式起搏器和除顫器設(shè)備的遠(yuǎn)程監(jiān)控系統(tǒng)。在圣猶達(dá)醫(yī)療公司發(fā)布安全更新的同一天,美國食品和藥物管理局(FDA)和美國國土安全局工業(yè)控制系統(tǒng)網(wǎng)絡(luò)緊急響應(yīng)小組分別發(fā)表聲明詳細(xì)介紹了這些漏洞,并對醫(yī)療提供商、患者和照料者提供了建議。
“FDA已經(jīng)審查了圣猶達(dá)醫(yī)療公司Merlin@home數(shù)據(jù)傳輸器相關(guān)的潛在網(wǎng)絡(luò)安全漏洞信息,并確認(rèn)這些漏洞的存在。如果這些漏洞被利用,可能允許未經(jīng)授權(quán)用戶(即患者醫(yī)生以外的人員)通過挑戰(zhàn)Merlin@home 數(shù)據(jù)傳輸器來遠(yuǎn)程訪問患者植入心臟裝置,”FDA在其聲明中指出,“調(diào)整后的Merlin@home數(shù)據(jù)傳輸器隨后可被用于修改對植入設(shè)備的編程命令,這可能導(dǎo)致電池快速耗盡和/或施加不適當(dāng)?shù)钠鸩虿珦簟?rdquo;
這些易受攻擊的醫(yī)療IoT設(shè)備最初是由安全研究機(jī)構(gòu)MedSec在2016年8月發(fā)現(xiàn)。MedSec聯(lián)手投資研究機(jī)構(gòu)Muddy Waters Capital向公眾發(fā)表文章披露了這些設(shè)備漏洞;安全漏洞包括 Merlin@home數(shù)據(jù)傳輸器遠(yuǎn)程監(jiān)控系統(tǒng)使用的射頻協(xié)議加密中存在的漏洞,以及設(shè)備存在后門程序。
然而,當(dāng)時,圣猶達(dá)醫(yī)療機(jī)構(gòu)否認(rèn)了這種漏洞的存在,隨后對MedSec和Muddy Waters提起訴訟,指控他們通過虛假醫(yī)療設(shè)備安全信息對其實施誹謗。該訴訟仍然在進(jìn)行中。
圣猶達(dá)醫(yī)療公司被指責(zé)在最初披露五個月后都沒有解決易受攻擊設(shè)備問題,MedSec首席執(zhí)行官兼總監(jiān)Justine Bone在聲明中稱圣猶達(dá)醫(yī)療公司是“特別好斗和不友善的供應(yīng)商”。
Muddy Waters的聲明同樣也嚴(yán)厲批評了圣猶達(dá)醫(yī)療機(jī)構(gòu)發(fā)布的修復(fù)程序,“他們發(fā)布的補丁似乎不能解決很多較大的問題,包括存在的通用代碼可允許攻擊者控制植入裝置”。
圣猶達(dá)醫(yī)療公司的聲明強調(diào)此漏洞對醫(yī)療設(shè)備僅帶來“極低的網(wǎng)絡(luò)安全風(fēng)險”,他們建議Merlin@home數(shù)據(jù)傳輸器用戶確保將其打開并連接到互聯(lián)網(wǎng),以便它可接收自動補丁下載。
放眼大局
在FDA發(fā)布一般醫(yī)療設(shè)備網(wǎng)絡(luò)安全指南后,他們又緊接著發(fā)布了處理圣猶達(dá)醫(yī)療設(shè)備漏洞的指南。聯(lián)網(wǎng)設(shè)備是日益重要的安全問題,F(xiàn)DA專注于通用IoT設(shè)備安全,特別是IoT設(shè)備安全。
FDA的Suzanne Schwartz寫道:“現(xiàn)在醫(yī)療設(shè)備都開始連接到醫(yī)院的網(wǎng)絡(luò)或者甚至連接到患者家里互聯(lián)網(wǎng),我們看到醫(yī)療護(hù)理方面巨大的技術(shù)進(jìn)步,同時,網(wǎng)絡(luò)安全泄露事故的風(fēng)險也顯著增加,這可能會影響設(shè)備的性能和功能。”
美國聯(lián)邦委員會也在試圖解決聯(lián)網(wǎng)設(shè)備相關(guān)的安全風(fēng)險,例如他們近日發(fā)起競賽來創(chuàng)建保護(hù)家庭IoT設(shè)備的工具。
京公網(wǎng)安備 11010502049343號