植入式医疗设备是一个被忽视的安全挑战，它只会随着时间的推移而增加。

随着时间的推移，随着无线连接技术的引入，IMD 变得更加精致和智能——通过蓝牙连接到在线平台、云和移动应用程序，以进行维护、更新和监控，所有这些都是为了让病人得到更好的护理体验。 

但是，一旦您将此类连接引入设备（无论是外部还是内部），这也会创建潜在的漏洞利用途径。 

具体内容

新兴的 IMD 漏洞和攻击途径问题首先在 2017 年 St. Jude 案中突显出来，其中美国食品和药物管理局 (FDA)自愿召回了 465,000 个心脏起搏器，原因是：可以远程利用来篡改救生设备的漏洞。

 

自然，这些设备不能只是拉出、送入并更换为新型号。相反，使用起搏器的患者可以根据自己的意愿去看医生进行固件更新。

最近，CyberMDX 研究人员估计，目前医院使用的所有设备中有 22%容易受到 BlueKeep 的影响，BlueKeep 是 Microsoft 远程桌面协议 (RDP) 服务中的一个 Windows 漏洞。在联网医疗设备方面，这个数字上升到 45%。 

根据 Ramsay Health Care 的 CISO Christopher Neal 的说法，我们今天使用的许多设备都不是完全安全的，这个问题可能会在未来几十年中影响医疗设备。 

周三在美国黑帽子会议上，弗吉尼亚理工学院和州立大学休姆国家安全与技术中心电子系统实验室主任Micheals博士也表达了同样的观点。

Micheals与Zoe Chen、Paul O'Donnell、Eric Ottman 和 Steven Trieu 共同撰写的一份白皮书，该白皮书调查了 IMD 如何危及安全空间的安全——例如军方使用的空间、安全和政府机构。 

在美国，许多机构以国家安全为由禁止将外部移动设备和互联网连接产品（包括智能手机和健身追踪器）置于隔离的安全空间中。 

如果健身追踪器或智能手机被认为有风险，只需将它们交出，锁在安全的储物柜中，并在一天结束时进行收集。然而，IMD——当它们被植入时——经常被忽视或完全不受这些规则的约束。 

这位教授估计已经安装了超过 500 万个 IMD——其中大约 100,000 个属于拥有美国政府安全许可的个人——并且它们对用户的价值不容忽视。然而，这并不意味着他们可能不会对安全构成风险，如果他们的设备受到威胁，用户可能会在不知不觉中成为内部威胁。

“鉴于这些智能设备越来越多地通过双向通信协议进行连接，具有嵌入式内存，拥有许多混合模式传感器，并且经过训练以适应其环境并使用人工智能 (AI) 算法进行宿主的训练，它们代表着重要的意义。对受保护数据的安全性的担忧，同时也为他们的用户带来越来越多的、通常是医疗上必要的好处，”Micheals说。 

起搏器、胰岛素泵、听力植入物和其他容易被利用的 IMD 可能被武器化以泄漏 GPS 和位置数据，以及其他潜在的机密数据集或与安全空间相关的环境信息，这些数据是从内置传感器、麦克风和将来自环境的信息转换为信号和数据的传感器。 

例如，市场上有一些智能助听器与云架构相关联，并使用机器学习 (ML) 来记录和分析声音以获得反馈并提高其性能——但如果受到损害，该功能可能会被劫持。

 

基于 GPS 的被动数据收集设备被认为是低风险的，而使用开源代码、具有云功能、AI/ML 或语音激活的小工具被认为是中高风险。 

当它们是外部设备和便携式设备时，中高风险设备通常被禁止进入安全空间，但许多 IMD 现在也属于这些类别，并且已经通过立法弥补漏洞。  

问题是 IMD 在安全设施中很难或不可能移除或禁用。也不可能简单地拒绝 IMD 用户访问安全空间，因为这会违反歧视法。

此外，还提出了外部缓解措施，包括：

 

01

白名单：预先批准一组被认为足够安全的 IMD。然而，这需要不同机构之间的检查和一致性。

02

随机检查：先前批准的设备需要检查其设置——但实际上，对此进行监管会很困难，特别是因为它可能需要访问专有供应商数据。 

03

铁磁检测：在个人进入设施之前使用检测器识别植入物或其他外来设备/IMD，以确保它们在批准的列表中。

04

归零：在设备离开安全空间之前检查和清除设备中的数据可以提高信息安全性，但这需要安全的方法来擦除救生设备中的信息——这是一个令人生畏和潜在危险的前景。 

05

管理软件：可以开发代码以将 IMD 置于“飞机”模式的形式——但这需要开发人员的投资、时间和测试。 

06

个人干扰：佩戴者可以使干扰器产生足够的噪音来阻止信息传输。但是，这可能会影响电池寿命。

该团队表示，IMD 领域取得的进步“远远超过”了当前的安全指令，需要新的政策考虑，并呼吁修订情报界政策备忘录 (ICPM) 2005-700-1， 附件 D，第 I 部分 (.PDF) 包括智能 IMD，以保持符合情报社区政策指南 (ICPG)  110.1  (.PDF)。

 

Michaels 在接受 记者采访时表示，防止 IMD 成为安全设施威胁的最简单方法是对设备进行物理屏蔽——与修改固件相比，这可能要安全得多，因为“这可能会造成未经测试的操作声明（尽管可能性很小）可能会影响其预期操作或用户的健康。”

TechRepublic： 安全分析师：行业尚未解决人才缺口或提供明确的职业道路。

教授补充说，围绕 IMD 的安全问题可能会随着时间的推移而增加，随着它们变得越来越强大，安全将成为立法、供应商认为是“隐私”和电池消耗之间的平衡行为——这是少数几个限制 IMD 在智能技术方面可以走多远的因素。

 “此外，我认为随着植入设备数量的增加，它们成为恶意行为者更可行的目标——鉴于许多设备的预期寿命为 10 年以上，问题几乎变成了“破解一个 10岁的物联网设备，”Michaels评论道。“也许不是一种直接的威胁，但随着时间的推移，威胁会越来越大，而且很难进行召回/固件更新。”