醫(yī)療設(shè)備與可穿戴設(shè)備和醫(yī)療應(yīng)用或軟件的連接日益增加，使設(shè)備面臨網(wǎng)絡(luò)安全威脅和攻擊。醫(yī)療設(shè)備中的任何漏洞都允許未經(jīng)授權(quán)的用戶訪問和控制設(shè)備，這可能會(huì)給患者帶來嚴(yán)重風(fēng)險(xiǎn)，特別是在 B 類和 C 類醫(yī)療設(shè)備中。因此，醫(yī)療機(jī)構(gòu)、監(jiān)管機(jī)構(gòu)和醫(yī)療設(shè)備制造商擔(dān)心這對(duì)臨床護(hù)理和患者安全的潛在影響。

為什么醫(yī)療設(shè)備的網(wǎng)絡(luò)安全是當(dāng)務(wù)之急？

關(guān)鍵功能：醫(yī)療設(shè)備控制患者的生命。它具有關(guān)鍵功能和敏感數(shù)據(jù)

復(fù)制：中級(jí)設(shè)備在數(shù)千或數(shù)百萬個(gè)相同的設(shè)備中批量生產(chǎn)。一次成功的攻擊可能會(huì)復(fù)制到多個(gè)設(shè)備

生命周期長(zhǎng)：醫(yī)療器械的生命周期從15年到20年不等。因此，開發(fā)滿足未來二十年安全需求的設(shè)備是一個(gè)巨大的挑戰(zhàn)。

孤立：最終用戶無法監(jiān)控設(shè)備的安全性或輕松進(jìn)行更改

由于網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露的增加，醫(yī)療設(shè)備制造商應(yīng)了解與醫(yī)療設(shè)備安全相關(guān)的風(fēng)險(xiǎn)，并考慮在設(shè)計(jì)和開發(fā)醫(yī)療設(shè)備時(shí)實(shí)施有效的網(wǎng)絡(luò)安全實(shí)踐。

讓我們了解網(wǎng)絡(luò)安全攻擊和可能的解決方案：

1）軟件攻擊：通過在系統(tǒng)上執(zhí)行稱為惡意軟件的自定義代碼段來對(duì)系統(tǒng)進(jìn)行軟件攻擊，這會(huì)導(dǎo)致設(shè)備的自定義（意外）行為。

固件克隆

概述/用例：攻擊者可以使用逆向工程克隆醫(yī)療設(shè)備硬件，也可以直接從閃存介質(zhì)克隆固件

風(fēng)險(xiǎn)：

設(shè)備復(fù)制

固件的逆向工程

決議：

設(shè)計(jì)足夠強(qiáng)大的固件許可機(jī)制，使其難以繞過

使用數(shù)據(jù)保護(hù)機(jī)制和加密固件

暴力破解

概述/用例：安全醫(yī)療設(shè)備在訪問云服務(wù)和/或人機(jī)界面 （HMI） 的設(shè)備功能之前要求進(jìn)行身份驗(yàn)證。攻擊者系統(tǒng)地檢查所有可能的密碼和密碼短語，直到找到正確的密碼和密碼短語

風(fēng)險(xiǎn)：

訪問設(shè)備服務(wù)和用戶數(shù)據(jù)

決議：

限制登錄試用次數(shù)

增加身份驗(yàn)證試用之間的延遲

固件更新

概述/用例：醫(yī)療設(shè)備售后市場(chǎng)發(fā)布會(huì)通過離線媒體（如USB，OTG電纜）或通過互聯(lián)網(wǎng)定期更新。這允許攻擊者更新設(shè)備上的自定義或損壞的固件（惡意軟件）

風(fēng)險(xiǎn)：

對(duì)設(shè)備的完全/部分訪問

設(shè)備固件損壞

決議：

使用加密和簽名設(shè)計(jì)/實(shí)施安全固件更新機(jī)制

通信堆棧（基于物聯(lián)網(wǎng)的設(shè)備）

概述/用例：醫(yī)療設(shè)備使用 BLE、Wi-Fi 或任何射頻技術(shù)通過移動(dòng)應(yīng)用程序或基于物聯(lián)網(wǎng)的軟件進(jìn)行通信。攻擊者可以利用技術(shù)漏洞并修改通信數(shù)據(jù)

風(fēng)險(xiǎn)：

基于數(shù)據(jù)修改的意外系統(tǒng)行為

未經(jīng)授權(quán)出售和/或勒索個(gè)人數(shù)據(jù)

決議：

使用防火墻進(jìn)行互聯(lián)網(wǎng)訪問

使用最新和安全的技術(shù);例如，在藍(lán)牙的情況下，請(qǐng)使用 v4.1 及更高版本

使用強(qiáng)大的配對(duì)和身份驗(yàn)證機(jī)制開始通信，然后使用加密數(shù)據(jù)進(jìn)行通信

敏感固件和數(shù)據(jù)

概述/用例：固件的某些部分需要特殊保護(hù)：例如加密算法或第三方庫。此外，如果所選數(shù)據(jù)被視為有價(jià)值的資產(chǎn)（加密密鑰），則可能需要增強(qiáng)保護(hù)。必須保護(hù)內(nèi)部存儲(chǔ)器內(nèi)容免受外部訪問（如通信接口）和內(nèi)部訪問（其他軟件進(jìn)程）。內(nèi)存屬性（如不同內(nèi)存段的讀寫訪問）以及防火墻是進(jìn)程和數(shù)據(jù)隔離的主要保護(hù)措施

風(fēng)險(xiǎn)：

敏感固件復(fù)制或數(shù)據(jù)盜竊

決議：

使用僅執(zhí)行訪問權(quán)限 （XO）

使用內(nèi)存保護(hù)單元

使用安全區(qū)域

使用外部存儲(chǔ)器加密

2）硬件非侵入性攻擊：這類攻擊主要集中在設(shè)備接口和環(huán)境信息上。它不會(huì)在硅級(jí)別損壞/分散設(shè)備硬件層。

調(diào)試端口（JTAG 或 SWD 接口）

概述/用例：調(diào)試端口提供對(duì)引導(dǎo)加載程序、寄存器、DRAM 等的訪問。攻擊者可能使用調(diào)試端口完全訪問和控制設(shè)備

風(fēng)險(xiǎn)：

完全訪問設(shè)備

決議：

在原型/開發(fā)人員發(fā)布后禁用硬件的設(shè)備調(diào)試功能

引導(dǎo)加載程序

概述/用例：大多數(shù)醫(yī)療設(shè)備使用基于引導(dǎo)模式、引導(dǎo)地址和/或引導(dǎo)引腳配置的引導(dǎo)加載程序進(jìn)行引導(dǎo)。該攻擊旨在修改引導(dǎo)模式或地址，以在RAM和訪問設(shè)備中加載自定義應(yīng)用程序

風(fēng)險(xiǎn)：

對(duì)設(shè)備的完全訪問權(quán)限

決議：

唯一的啟動(dòng)項(xiàng)

實(shí)現(xiàn)安全引導(dǎo)加載程序并禁用調(diào)試選項(xiàng)

通信接口訪問，如 UART/I2C/SPI/USB

概述/用例：應(yīng)用程序或引導(dǎo)加載程序使用 UART、I2C、SPI、US 等通信接口與設(shè)備進(jìn)行通信。攔截此通信允許攻擊者訪問設(shè)備內(nèi)容和/或修改通信。惡意軟件也可以使用USB等某些媒體注入

風(fēng)險(xiǎn)：

訪問設(shè)備內(nèi)容

決議：

使用加密進(jìn)行通信。例如，使用 TLS 進(jìn)行數(shù)據(jù)通信。TLS 提供保護(hù)數(shù)據(jù)機(jī)密性和完整性的功能

禁用不需要的輸入端口/通信

使實(shí)體巴士難以到達(dá)

時(shí)鐘和電源干擾/毛刺

概述/用例：故障可以在數(shù)據(jù)表中定義的參數(shù)之外使用器件進(jìn)行注入。威脅涉及更改時(shí)鐘和/或電源參數(shù)。成功的攻擊可能會(huì)改變程序行為

風(fēng)險(xiǎn)：

意外的設(shè)備行為

決議：

使用時(shí)鐘安全系統(tǒng) （CSS）

使用內(nèi)部時(shí)鐘（如果可用）

使用內(nèi)部穩(wěn)壓器

側(cè)信道攻擊 （SCA）

概述/用例：當(dāng)設(shè)備運(yùn)行時(shí)，攻擊者可能會(huì)觀察功耗、電磁輻射、溫度等，以檢索數(shù)據(jù)值和/或算法實(shí)現(xiàn)等機(jī)密資產(chǎn)。SPA（簡(jiǎn)單功率分析）和DPA（差分功率分析）就是一個(gè)典型的例子。

風(fēng)險(xiǎn)：

訪問設(shè)備數(shù)據(jù)

決議：

使用會(huì)話隨機(jī)數(shù)鍵

使用受保護(hù)的加密庫

3）硬件侵入性攻擊：這種類型的攻擊包括直接訪問硅的破壞性攻擊。

逆向工程

概述/用例：攻擊者可能了解設(shè)備的內(nèi)部結(jié)構(gòu)及其功能。它可以使用光學(xué)顯微鏡創(chuàng)建設(shè)備/微控制器的地圖，以產(chǎn)生設(shè)備表面的高分辨率圖像。進(jìn)一步的步驟可能包括分析硬件設(shè)備的更深層

風(fēng)險(xiǎn)：

設(shè)備克隆

決議：

使用難以分析/調(diào)試的多層PCB

醫(yī)療設(shè)備公司應(yīng)確保其設(shè)備安全并配備正確的網(wǎng)絡(luò)安全，并實(shí)現(xiàn)這一目標(biāo)，他們需要精通醫(yī)療設(shè)備設(shè)計(jì)和開發(fā)的合適技術(shù)合作伙伴。

審核編輯：郭婷