免受入侵：确保无线医疗设备的安全

[导读]在当今的医疗保健系统中，技术扮演着重要的角色。众所周知，昂贵的，房间大小的医疗系统，例如MRI扫描仪，是不可或缺的。然而，小型、低成本的便携式设备也扮演着至关重要的角色。

Silicon Labs资深营销总监兼便携式医疗设备负责人Emmanuel Sambuis研究调查日益严重的医疗威胁，并提出应对的防范方案。

在当今的医疗保健系统中，技术扮演着重要的角色。众所周知，昂贵的，房间大小的医疗系统，例如MRI扫描仪，是不可或缺的。然而，小型、低成本的便携式设备也扮演着至关重要的角色。

支持便携式医疗设备的技术之一是无线连接，例如蓝牙—使设备可以直接连接到计算机或智能手机以传输数据。举例而言，这意味着患者可以在家中进行康复治疗；或者，患有慢性疾病者能以更方便的方式监测血糖或血压。

这不仅仅是监测而已—胰岛素泵等设备可以在分配药物或其他任务中发挥积极作用。总体而言，全球无线便携式医疗设备市场将持续大幅增长，预期到2025年将再增加170亿美元的营收。

除了提高患者的生活质量外，这些便携式设备还可以藉由腾出医院和诊所的床位来节省大量资金。医生不但能进行远程医疗诊断、观察和咨询，还可以大幅降低新冠肺炎疫情传播的风险。

日益增长的威胁

在过去，由于医疗设备并未连接到其他设备或系统，因此能有效防范安全威胁。用户和医生可以信任这些设备，安全性对设备制造商来说也不是问题。

然而，随着无线医疗设备越来越受欢迎，安全问题也迫在眉睫。产品开发人员必须考虑关键的安全问题，才能在无线医疗设备市场取得成功，以及确保数字医疗的成功转型。

这不仅仅是理论上的风险而已，并且已开始出现真实的危险漏洞。在2020年，美国食品药品监督管理局（FDA）发布了关于SweynTooth的漏洞警告；潜在的漏洞可能会对已启用的无线蓝牙低功耗（BLE）医疗设备带来风险。风险可能包括设备的故障和无法运作，使得未经授权的用户能够访问设备功能并造成私人信息的泄露。值得庆幸的是，该产业已迅速做出反应，并在造成任何伤害之前阻止了SweynTooth漏洞。

有鉴于暴露的漏洞越来越多，医疗保健行业和设备制造商必须将无线安全作为首要发展重点。在此让我们看看设备制造商、生产厂商和医疗保健技术专业人员在开发或评估无线医疗设备时应考虑的一些最关键的安全注意事项。

软件漏洞

无线医疗设备中最常见的安全威胁是恶意代码的入侵。黑客植入程序代码以使设备执行错误的软件，而非真实、可靠的程序代码。防范恶意代码的植入可以在设备执行代码前藉由验证软件来解决。当检测到恶意代码时，设备应进行编程以触发反制措施，例如停用受感染的产品。

除恶意代码外，另一种漏洞是软件更新。在医疗设备的生命周期中可能需要多次执行这些操作，每次更新都会产生黑客攻击的风险。为了确保更新软件的安全，产品开发人员必须考虑到整个生命周期的维护过程。这包括如何通过空中升级（over-the-air，OTA）来安全管理已安装的设备库、验证更新文件、加密整个过程以及通过安全启动来确保固件映像不受改变。

面临风险的芯片组

产品开发人员如何知道无线芯片组或微控制器在医疗用途上是否具备足够的安全性？最安全的选择是使用经过安全认证的芯片。DTSec保护配置文件（DTSec Protection Profile）和GlobalPlatform.org发布的物联网平台安全评估标准（Security Evaluation Standardfor IoT Platforms，SESIP），为物联网平台的安全性拟定了可信赖的评估标准。

蓝牙医疗设备通常在不受保护的环境中由不精通技术的用户进行远程使用。这使得黑客很容易使用克隆的芯片组和伪造的智能手机应用程序来干扰身份验证过程，进而访问设备和私人数据。解决克隆问题的方案在于使用具有唯一ID硬编码的芯片组，该ID可以在设备每次加入网络时对其进行识别，并停用旧产品来避免克隆过程。

密钥和后门

未被保护的USB端口可能导致计算机容易受到入侵、被植入恶意代码或复制机密信息—任何有安全意识的组织都会考虑将其台式机和笔记本电脑上所有的USB端口上锁。

当然不仅仅是USB端口，同样的原理也适用于无线医疗设备上的其他端口。但是，产品开发人员可以通过一个调试端口轻松关闭敞开的后门，该调试端口使用加密密钥进行锁定和解锁，此举可防止未经授权的访问，同时可以在现场进行简单而安全的诊断和更新。

然而，薄弱的密钥保护是许多医疗设备制造商的弱点。攻击受保护的密钥通常是黑客的第一要务，因为一个成功的攻击向量可以被重复利用去攻击整个用户群的漏洞。物理不可克隆功能（Physically Unclonable Function，PUF）可根据单个设备的缺陷创建一个随机且唯一的密钥。PUF密钥都是在启动时生成，并对安全密钥储存库中的所有密钥进行加密，应用程序可以在保护密钥机密的同时，进行相关的密钥处理。

差分功耗分析攻击

差分功耗分析（Differential Power Analysis，DPA）是基于高度先进的功耗监测和数学信号分析来重新生成设备的安全密钥。DPA可用来达成目的是因为设备的功耗将完全取决于其在任何既定时刻所做的事情，攻击者可以使用此信息推断出对其有用的信息。

DPA攻击需要对设备进行物理访问，如果成功，它就可以利用整个产品线或设备群的漏洞。产品开发人员可藉由配备特定差分功耗分析应对技术的芯片组来解除其在设计上所面临的DPA威胁。

做最坏的打算，争取最好的结果

便携式无线设备正在改变我们的医疗保健系统，带来提升效率的庞大机会，并为我们逐渐老化的人口提供更好的护理，同时也为设备制造商和其他企业提供了巨大的营收机会。

但是，漏洞和安全威胁可能会导致该市场出现重大问题—泄露个人数据、设备遭停用，有时甚至更糟。而这些都是确实存在的风险。

解决方案是认真应对这些安全问题，并确保使用适当的技术来保护各个级别的设备。完善的解决方案确实存在—必须确保设计师已将相关技术植入在他们的产品中。