联网的医疗设备究竟有多不安全?
联网的医疗设备究竟有多不安全?MedSec 公司在报告中宣称他们可以通过入侵驱使起搏器将运行频率提升至危险水平,甚至可以在入侵中耗光设备的电池。但付教授却未能重现这两种入侵手段,目前他的团队还在继续对这两项指控作出调查。
据波士顿医院的首席信息官约翰?哈拉姆卡(John Halamka)透露,医院每隔 7 秒就会迎来一次攻击,这些攻击的来源非常广泛,包括黑客活动、有组织的犯罪行为,甚至是麻省理工学院(MIT)的高材生。尽管一切似乎都散发着阴谋论的味道,但付教授还是以四两拨千斤的口吻说道:「我认为这份报告的作者绝对是一帮才华洋溢的安全专家,但我们依然对他们是否能正确诠释临床效果心存疑虑,毕竟产品的固有缺陷不一定会对病人造成不可挽回的伤害。」
付教授的关注点是报告中的一张截图,MedSec 公司在报告中以这张截图表明设备正处于失灵状态之中。付教授决定通过实验一探究竟。
在实验中,付教授的团队将 St. Jude Medical 公司的程序系统和设备连接到了一块。设置完成后,团队成员可以在程序中制造各种各样的情况,以测试设备在各种情况下的反应。付教授的团队甚至在实验中重现了和报告截图一模一样的效果,但起搏器却依然能够以正常的频率运行。
「起搏器的运行频率并没有发生改变,屏幕上所显示的信息仅仅是轻微的错误警告。」付教授表示,「这个错误警告表明设备和心脏组织之间的连接出现了问题,当设备和病人的连接出现中断时,你就会看到这样的画面。」
但很遗憾,付教授的实验并没有证明任何决定性的事件,因为 MedSec 公司所提供的截图可能确实来自足以致使设备发生崩溃的攻击。Muddy Waters 公司甚至还发布了一份声明:
密歇根大学对于我们的研究并没有一个明确的认识,但我们对此并不意外。为了避免为潜在的黑客提供攻击设备的操作指引,我们特意隐匿了和设备的缺陷和攻击相关的细节信息。这项举措恰好体现了我们对消息的发布负责的态度。
付教授表示他尚不能对报告的精确性作出评价,也不确定 St. Jude Medical 公司是否存在大规模召回产品的可能性。不过他指出,一旦涉事公司决定大规模召回设备,这将会成为医疗设备生产商首次因安全问题引发的召回事件。
此外,即便 St. Jude Medical 公司的技术确实存在安全隐患,监管部门还需仔细评估这些隐患可能给病人带来的风险。「非常遗憾,这份报告所涉及的医疗数据实在是太少了。但从我们所找到的一处医疗数据看来,确实存在被曲解的情况。」他说道。
2898站长资源平台商业经济排行榜:http://www.2898.com/webmain/syjj.htm