医疗设备安全简史

作者：AJ Burns、M. Eric Johnson和Peter Honeyman

随着软件驱动设备的植入，给人体带来了独特的隐私和安全威胁。

介绍：

现代医疗设备的功能继续从根本上改变急性病症的治疗以及慢性长期疾病的管理。随着这些技术的发展，这些设备的安全性和可靠性面临的威胁也在不断增加。在过去的十年里，不乏关于心脏起搏器变成和平缔造者或胰岛素暗杀的头条新闻。尽管这些标语是虚构的（但并非难以想象），但它们抓住了大部分医疗设备安全报道的主旨。虽然我们强烈肯定公众对这些问题的认识的必要性，但我们认为夸张和/或错误描述可能会导致恐慌、麻木不仁，或者更糟糕的是剥削。

如今，人们的注意力正在转向无处不在的网络威胁所带来的危险，正如人们期待已久的 2014 年 10 月 2 日发布的美国食品药品监督管理局 (FDA) 关于医疗设备网络安全管理指南7和医疗器械网络安全上市后管理的最新指南草案。因此，当人体加入著名的物联网时，停下来看看我们是如何走到这一步的，是有建设性的。我们希望这份医疗设备和健康 IT 安全的简短年表有助于为医疗设备安全的当前状态提供背景信息。

尽管没有明确定义，但在我们看来，在医疗器械相对短暂的历史中出现了几个拐点。第一个时期本质上是更广泛的系统工程领域的溢出，涉及对复杂系统和意外灾难的关注。第二个时期始于植入式医疗设备的出现，第三个时期始于未经授权访问这些设备可能造成伤害的威胁。最后，第四个也是最近的一个时期是医疗设备安全面临网络威胁的时代。将所有这些联系在一起的是软件控制系统的影响以及对设备和系统安全以及患者健康和隐私的威胁。我们还重点关注立法时间表和医疗保健信息安全不断变化的威胁。

第一阶段：复杂系统和意外故障（20 世纪 80 年代至今）

“欢迎来到高风险技术的世界”，查尔斯·佩罗 (Charles Perrow) 的《正常事故》专着的介绍开头这样说道。21从核电站到航空电子设备再到医疗技术，20 世纪下半叶的系统工程壮举永远改变了人类的能力和复杂流程的管理。然而，这些进步也伴随着对这些设备和用户的安全和保障的新威胁。

1985-1987：Therac-25。从 1985 年 6 月到 1987 年 1 月，由于 Therac-25 加速器有缺陷，六名患者受到了有害水平的辐射。 Therac-25 灾难仍然作为复杂故障案例进行研究，它是用户错误、错误的软件工程和培训/支持不足的致命混合物。例如，在一个例子中，软件故障导致设备指示发生故障，导致放射治疗师多次错误地重新进行放射治疗。事实证明，这些故障已经成为 Therac-25 日常使用的一部分，制造商的支持在故障排除或解释错误代码方面几乎没有提供任何帮助。

2002年：BIDMC网络故障。 2002 年 11 月 13 日，一名研究人员无意中向贝斯以色列女执事医疗中心 (BIDMC) 的网络注入了大量数据，导致对关键信息和信息系统的访问出现有害的延迟。不幸的是，网络诊断只能通过网络本身进行。当无法解决问题时，医院将网络关闭四天，并恢复到纸质流程。如前所述，“主要故障点是用于引导网络流量的软件程序。该程序因超出软件规格的数据量和网络复杂性而不堪重负。”

第二阶段：植入式医疗器械（2000 年至今）

21世纪的第一个十年给医疗器械领域带来了重大变化。到 2001 年，美国使用的植入式医疗设备 (IMD) 数量已超过 2500 万个。IMD 的出现大大提高了医疗设备的安全性和可靠性。以前，设备故障的情况主要限于医院、诊所和患者家中的外部设备。对于 IMD，手术范围随着患者的活动范围而对称地扩展。此外，设备与人体的集成使设备和医生之间的数据通信过程变得复杂。

2000 年代：植入式心脏除颤器故障。从 1990 年到 2000 年，FDA 召回了 114,645 台植入式心脏除颤器 (ICD)。 2005 年，一名 21 岁心脏病患者的死亡比之前许多 ICD 故障引起了更多关注，当时 ICD 在引发可能挽救生命的电击时发生短路。在这场备受瞩目的悲剧发生后，与 ICD 故障相关的健康和安全风险成为公众关注的问题。

2005：HCMSS。 2005 年 6 月，高可信度医疗设备软件和系统 (HCMSS) 研讨会在宾夕法尼亚州费城举行。该研讨会由 FDA、NIST、NSF、NSA 和 NITRD 赞助，其目标是制定路线图，以克服医疗设备软件和系统的设计、制造、认证和使用所面临的关键问题和挑战。

第三阶段：未经授权的各方和医疗设备（2006 年至今）

到 2006 年，美国的医疗设备软件已经达到了一个临界点，市场上 50% 的医疗设备要么是独立软件包，要么是具有某些软件驱动功能的其他设备类型。这些由软件支持的设备日益复杂，导致许多研究人员和一些知名患者开始质疑医疗设备（特别是 IMD）对未经授权方的脆弱性。正是在这段时间，“医疗设备黑客”的概念成为主流关注点。

2006 年：嵌入式设备的软件更新。 2006 年，研究人员展示了安全更新嵌入式设备软件的挑战。嵌入式设备缺乏允许客户端确认和安装更新的接口。此外，这些设备的性质决定了它们既是游牧的，而且就网络连接而言，是零星的。这些属性使得嵌入式设备特别容易受到中间人攻击。

2008 年：植入式心脏除颤器。 2008 年，研究人员暴露了 FDA 批准的 ICD 中的漏洞，该漏洞允许对现成的设备进行修改，以窃听该设备生成的信息，甚至控制除颤器的电击分配。

2008 年：Reigel 与 Medtronic。在植入式设备带来的新型安全威胁被揭露之际，美国最高法院在一项备受瞩目的案件中做出裁决，限制医疗设备制造商对 FDA 批准的设备造成的伤害承担的责任。

2011 年：胰岛素泵年。 2011年，几起涉及植入式胰岛素泵安全性的重大事件引起了学术界、从业者和广大公众的关注。同年，对可信医疗设备软件状况的审查建议采取以下措施来提高医疗设备软件的可信度：

• 监管政策指定结果衡量标准而不是技术，
• 收集有关软件在医疗设备中的作用的统计数据，
• 建立开放式创新研究平台，
• 更清晰地分担软件负担的角色和责任，澄清软件实质等同的含义
• 增加美国食品和药物管理局 (FDA) 接触外部软件专家的机会。

2011 年：经过同行评审的胰岛素泵漏洞。 2011 年，未经授权方披露了胰岛素泵的漏洞。17使用现成的硬件，成功实现了被动攻击（例如，窃听无线通信）和主动攻击（例如，冒充和控制医疗设备以改变预期治疗）。这些发现暴露了某些胰岛素泵的一个漏洞，可能允许未经授权的一方“模拟遥控器的全部功能：唤醒胰岛素泵、停止/恢复胰岛素注射，或立即将推注剂量的胰岛素注射到胰岛素泵中”。人体。”

2011 年：针对未经授权访问 IMD 的同行评审防御措施。为了应对新兴的射频 (RF) 漏洞，一种针对未经授权访问的新颖防御措施提出了一种射频屏蔽来充当与植入式医疗设备 (IMD) 通信的代理。10防护罩通过干扰所有其他通信，主动阻止除自身以外的任何设备直接与 IMD 通信。

扩展“盾牌”概念，出现了一种类似的防御措施，它可以被动地监视个人的个人健康系统，并在检测到异常情况时进行干预，从而无需更改协议即可与“盾牌”交互。24

2011 年：杰罗姆·雷德克里夫和巴纳比·杰克。 2011 年 8 月 4 日，糖尿病患者杰罗姆·拉德克利夫 (Jerome Radcliffe) 在内华达州拉斯维加斯举行的 Black Hat 2011 大会上发表演讲，宣布他已对自己的胰岛素泵的通信协议进行了部分逆向工程。他的演讲暴露了一些胰岛素泵的漏洞，允许通过无线通道进行未经授权的访问和控制。3该演讲引起了许多主流媒体的关注，并使公众认识到因未经授权访问和控制先前由研究人员识别并在实验室利用的医疗设备而产生的健康和安全风险。

2011 年 10 月，在佛罗里达州迈阿密，在 McAfee（现为英特尔的一个部门）的支持下，著名的已故黑客 Barnaby Jack 在 Hacker Halted 会议上发表演讲，揭露了允许通过射频远程控制胰岛素泵的安全漏洞。

第 四阶段：医疗设备的网络安全（2012 年至今）

最近，人们的注意力转向了医疗设备的网络安全。利用无处不在的网络的功能，医疗设备制造商越来越多地通过互联网或网络（也承载互联网）（例如 LAN）实现设备连接。连接设备有很多优点，包括实时监控和软件管理，例如远程安装软件更新。然而，医疗设备也无法免受网络时代普遍存在的网络安全威胁的影响。事实上，就潜在后果而言，医疗器械的保护往往比其他器械类型更为重要。

2012 年：ISPAB 董事会会议。 2012 年 2 月，信息安全和隐私咨询委员会 (ISPAB) 在华盛顿特区举行了年度董事会会议，会议对与网络安全相关的新问题以及医疗设备相关的经济激励措施表示了极大的关注，以提高医疗设备网络安全，并协调医疗器械网络安全监管机构。

具体来说，软件控制的医疗设备越来越多地通过互联网获得，并面临网络安全风险。使情况变得更加复杂的是，医疗设备网络安全的经济学涉及多个利益相关者（包括制造商、提供商和患者）之间的复杂支付系统。与此同时，国会没有任何一个机构对确保跨这一领域部署的医疗设备的网络安全负有主要责任。

2012 年：巴纳比·杰克起搏器被黑客攻击。 2012 年 10 月 17 日，在澳大利亚墨尔本举行的 Ruxcon Breakpoint 安全会议上，Barnaby Jack 展示了一段视频演示，其中他展示了通过无线传输通过起搏器提供无根据的电击的能力。杰克发现某些设备可以使用序列号和型号进行访问。杰克揭露了一个重要的漏洞，他透露，当通过特定命令无线连接时，设备会放弃这些凭据（即序列号和型号），从而使未经授权的一方有权控制设备。

2013-2014 年：FDA 关于医疗设备网络安全的指南。 2013 年 6 月，FDA 发布了医疗器械网络安全管理指南草案，最终指南于 2014 年 10 月发布，借鉴本文介绍的大量经验和相关研究，FDA 指南强调需要在医疗设备的设计和开发阶段考虑设备安全性。该指南具体建议如下：

• 识别资产、威胁和漏洞；
• 评估威胁和漏洞对设备功能和最终用户/患者的影响；
• 评估威胁和漏洞被利用的可能性；
• 确定风险级别和适当的缓解策略；
• 评估残余风险和风险接受标准。

该指南还确定了美国国家标准与技术研究院 (NIST) 网络安全框架中网络安全活动的“核心功能”。

2013-2016：医疗器械安全状况。最近，安全专家开始提倡采用更全面的方法来保护日益复杂和互联的医疗设备。值得注意的信任挑战包括：硬件故障/软件错误、无线电攻击、恶意软件和漏洞利用以及旁道攻击。

2014 年的一项医疗设备安全研究调查发现，安全和隐私方面的大部分工作都集中在对遥测接口的威胁上。也就是说，许多先前的研究已经研究了医疗设备基于无线电的通信通道的威胁和防御。该调查重点介绍了无线遥测技术的五个重要研究领域：生物识别身份验证、距离限制身份验证、带外身份验证、外部设备和异常检测。

检查软件对医疗设备安全的威胁存在固有的挑战。这些挑战中最重要的是医疗设备在“闭源”范例中运行的现实，这给执行静态分析或获取设备固件带来了挑战。尽管存在这些挑战，持续安全评估的重要性是显而易见的，FDA 2016 年医疗器械网络安全上市后管理指南草案旨在提供建议，以确保已流通设备的网络安全。

医疗设备安全的未来

我们今天采取的步骤将在很大程度上定义医疗设备安全的未来。安全是一场权衡游戏，其中的风险比医疗保健更高。但我们必须抵制炒作卫生领域网络安全问题的诱惑，以清醒、理性、系统的态度认识和化解安全风险。幸运的是，这种方法正在整个行业中流行，FDA 推荐 NIST 的网络安全框架，规定企业：

• 确认。识别需要保护的流程和资产；
• 保护。定义可用的保障措施；
• 探测。设计事件检测技术；
• 回应。制定应对计划；
• 恢复。正式制定恢复计划。

最后，网络安全面临的威胁已经出现，必须在医疗设备的整个使用寿命内解决不可避免的所谓“零日漏洞”问题。这一现实是创新的必然结果，应该被医疗保健提供商、设备制造商、软件/应用程序开发人员、安全工程师甚至患者所接受。

医疗领域早已认识到医生对患者福祉负有信托责任，可以肯定地说，患者出于安全考虑而不愿接受医疗指示设备对他们的健康构成的威胁比任何其他设备都要大。来自医疗设备安全的威胁。也就是说，在这个高风险医疗技术的世界中，我们的领域有责任继续优先考虑医疗设备的安全性，作为我们信托责任的一部分，为那些依赖这些救生设备的人的利益采取行动。

原文地址：A Brief Chronology of Medical Device Security – Communications of the ACM