為什么網(wǎng)絡(luò)安全對醫(yī)療設(shè)備很重要

醫(yī)療設(shè)備與可穿戴設(shè)備和醫(yī)療應(yīng)用或軟件的連接日益增加，使設(shè)備面臨網(wǎng)絡(luò)安全威脅和攻擊。醫(yī)療設(shè)備中的任何漏洞都允許未經(jīng)授權(quán)的用戶訪問和控制設(shè)備，這可能會給患者帶來嚴(yán)重風(fēng)險，特別是在 B 類和 C 類醫(yī)療設(shè)備中。因此，醫(yī)療機構(gòu)、監(jiān)管機構(gòu)和醫(yī)療設(shè)備制造商擔(dān)心這對臨床護理和患者安全的潛在影響。

為什么醫(yī)療設(shè)備的網(wǎng)絡(luò)安全是當(dāng)務(wù)之急？

關(guān)鍵功能：醫(yī)療設(shè)備控制患者的生命。它具有關(guān)鍵功能和敏感數(shù)據(jù)

復(fù)制：中級設(shè)備在數(shù)千或數(shù)百萬個相同的設(shè)備中批量生產(chǎn)。一次成功的攻擊可能會復(fù)制到多個設(shè)備

生命周期長：醫(yī)療器械的生命周期從15年到20年不等。因此，開發(fā)滿足未來二十年安全需求的設(shè)備是一個巨大的挑戰(zhàn)。

孤立：最終用戶無法監(jiān)控設(shè)備的安全性或輕松進行更改

由于網(wǎng)絡(luò)安全威脅和數(shù)據(jù)泄露的增加，醫(yī)療設(shè)備制造商應(yīng)了解與醫(yī)療設(shè)備安全相關(guān)的風(fēng)險，并考慮在設(shè)計和開發(fā)醫(yī)療設(shè)備時實施有效的網(wǎng)絡(luò)安全實踐。

讓我們了解網(wǎng)絡(luò)安全攻擊和可能的解決方案：

1）軟件攻擊：通過在系統(tǒng)上執(zhí)行稱為惡意軟件的自定義代碼段來對系統(tǒng)進行軟件攻擊，這會導(dǎo)致設(shè)備的自定義（意外）行為。

固件克隆

概述/用例：攻擊者可以使用逆向工程克隆醫(yī)療設(shè)備硬件，也可以直接從閃存介質(zhì)克隆固件

風(fēng)險：

設(shè)備復(fù)制

固件的逆向工程

決議：

設(shè)計足夠強大的固件許可機制，使其難以繞過

使用數(shù)據(jù)保護機制和加密固件

暴力破解

概述/用例：安全醫(yī)療設(shè)備在訪問云服務(wù)和/或人機界面 （HMI） 的設(shè)備功能之前要求進行身份驗證。攻擊者系統(tǒng)地檢查所有可能的密碼和密碼短語，直到找到正確的密碼和密碼短語

風(fēng)險：

訪問設(shè)備服務(wù)和用戶數(shù)據(jù)

決議：

限制登錄試用次數(shù)

增加身份驗證試用之間的延遲

固件更新

概述/用例：醫(yī)療設(shè)備售后市場發(fā)布會通過離線媒體（如USB，OTG電纜）或通過互聯(lián)網(wǎng)定期更新。這允許攻擊者更新設(shè)備上的自定義或損壞的固件（惡意軟件）

風(fēng)險：

對設(shè)備的完全/部分訪問

設(shè)備固件損壞

決議：

使用加密和簽名設(shè)計/實施安全固件更新機制

通信堆棧（基于物聯(lián)網(wǎng)的設(shè)備）

概述/用例：醫(yī)療設(shè)備使用 BLE、Wi-Fi 或任何射頻技術(shù)通過移動應(yīng)用程序或基于物聯(lián)網(wǎng)的軟件進行通信。攻擊者可以利用技術(shù)漏洞并修改通信數(shù)據(jù)

風(fēng)險：

基于數(shù)據(jù)修改的意外系統(tǒng)行為

未經(jīng)授權(quán)出售和/或勒索個人數(shù)據(jù)

決議：

使用防火墻進行互聯(lián)網(wǎng)訪問

使用最新和安全的技術(shù);例如，在藍牙的情況下，請使用 v4.1 及更高版本

使用強大的配對和身份驗證機制開始通信，然后使用加密數(shù)據(jù)進行通信

敏感固件和數(shù)據(jù)

概述/用例：固件的某些部分需要特殊保護：例如加密算法或第三方庫。此外，如果所選數(shù)據(jù)被視為有價值的資產(chǎn)（加密密鑰），則可能需要增強保護。必須保護內(nèi)部存儲器內(nèi)容免受外部訪問（如通信接口）和內(nèi)部訪問（其他軟件進程）。內(nèi)存屬性（如不同內(nèi)存段的讀寫訪問）以及防火墻是進程和數(shù)據(jù)隔離的主要保護措施

風(fēng)險：

敏感固件復(fù)制或數(shù)據(jù)盜竊

決議：

使用僅執(zhí)行訪問權(quán)限 （XO）

使用內(nèi)存保護單元

使用安全區(qū)域

使用外部存儲器加密

2）硬件非侵入性攻擊：這類攻擊主要集中在設(shè)備接口和環(huán)境信息上。它不會在硅級別損壞/分散設(shè)備硬件層。

調(diào)試端口（JTAG 或 SWD 接口）

概述/用例：調(diào)試端口提供對引導(dǎo)加載程序、寄存器、DRAM 等的訪問。攻擊者可能使用調(diào)試端口完全訪問和控制設(shè)備

風(fēng)險：

完全訪問設(shè)備

決議：

在原型/開發(fā)人員發(fā)布后禁用硬件的設(shè)備調(diào)試功能

引導(dǎo)加載程序

概述/用例：大多數(shù)醫(yī)療設(shè)備使用基于引導(dǎo)模式、引導(dǎo)地址和/或引導(dǎo)引腳配置的引導(dǎo)加載程序進行引導(dǎo)。該攻擊旨在修改引導(dǎo)模式或地址，以在RAM和訪問設(shè)備中加載自定義應(yīng)用程序

風(fēng)險：

對設(shè)備的完全訪問權(quán)限

決議：

唯一的啟動項

實現(xiàn)安全引導(dǎo)加載程序并禁用調(diào)試選項

通信接口訪問，如 UART/I2C/SPI/USB

概述/用例：應(yīng)用程序或引導(dǎo)加載程序使用 UART、I2C、SPI、US 等通信接口與設(shè)備進行通信。攔截此通信允許攻擊者訪問設(shè)備內(nèi)容和/或修改通信。惡意軟件也可以使用USB等某些媒體注入

風(fēng)險：

訪問設(shè)備內(nèi)容

決議：

使用加密進行通信。例如，使用 TLS 進行數(shù)據(jù)通信。TLS 提供保護數(shù)據(jù)機密性和完整性的功能

禁用不需要的輸入端口/通信

使實體巴士難以到達

時鐘和電源干擾/毛刺

概述/用例：故障可以在數(shù)據(jù)表中定義的參數(shù)之外使用器件進行注入。威脅涉及更改時鐘和/或電源參數(shù)。成功的攻擊可能會改變程序行為

風(fēng)險：

意外的設(shè)備行為

決議：

使用時鐘安全系統(tǒng) （CSS）

使用內(nèi)部時鐘（如果可用）

使用內(nèi)部穩(wěn)壓器

側(cè)信道攻擊 （SCA）

概述/用例：當(dāng)設(shè)備運行時，攻擊者可能會觀察功耗、電磁輻射、溫度等，以檢索數(shù)據(jù)值和/或算法實現(xiàn)等機密資產(chǎn)。SPA（簡單功率分析）和DPA（差分功率分析）就是一個典型的例子。

風(fēng)險：

訪問設(shè)備數(shù)據(jù)

決議：

使用會話隨機數(shù)鍵

使用受保護的加密庫

3）硬件侵入性攻擊：這種類型的攻擊包括直接訪問硅的破壞性攻擊。

逆向工程

概述/用例：攻擊者可能了解設(shè)備的內(nèi)部結(jié)構(gòu)及其功能。它可以使用光學(xué)顯微鏡創(chuàng)建設(shè)備/微控制器的地圖，以產(chǎn)生設(shè)備表面的高分辨率圖像。進一步的步驟可能包括分析硬件設(shè)備的更深層

風(fēng)險：

設(shè)備克隆

決議：

使用難以分析/調(diào)試的多層PCB

醫(yī)療設(shè)備公司應(yīng)確保其設(shè)備安全并配備正確的網(wǎng)絡(luò)安全，并實現(xiàn)這一目標(biāo)，他們需要精通醫(yī)療設(shè)備設(shè)計和開發(fā)的合適技術(shù)合作伙伴。

審核編輯：郭婷