advantech

連網醫療裝置驚爆資安危機 製造商和醫院皆難逃責任

  • 謝明珊
醫療裝置紛紛連網,資訊安全拉警報。法新社

連網醫療裝置日益普及,可提供病患更完善的照護,卻也為網路犯罪大開方便之門。據Healthcare Dive報導,投資公司Muddy Waters和資安公司MedSec驚爆St. Jude心臟植入物隱含資安疑慮,美國食品藥物管理局(FDA)對此展開調查,2017年初發出安全警告,認為該心臟植入物可能遭駭。

St. Jude為了息事寧人,宣稱遭駭風險「極低」,但同時也成立醫療諮詢委員會主打連網裝置的資安問題,FDA也把資安列為2017年十大藥廠法規重要事項。

加州資安公司 Arxan行銷長Mandeep Khera表示,最大的資安威脅是遭到有心人士駭入,恐威脅病患的生命,雖然目前沒有實際案例,但隨著連網醫療裝置普及,這遲早會發生,駭客通常會侵入系統等待最佳時機發動攻擊。

溫哥華Absolute Software全球安全策略專家指出,有些醫療裝置會連接舊系統,把測試結果回傳中央伺服器,一旦系統遭到勒索軟體攻擊,那些資料都會遭到凍結,以致醫生無法作出臨床診斷,若醫院捨不得舊系統,就會支付贖金。

為了降低這些風險,IT部門必須隨時注意連網裝置所收集的資料。連網醫療裝置使用第三方開源函式庫或其他開源軟體時,也可能遭到駭客的阻斷服務攻擊(DDoS),Mirai等殭屍網路(Botnets)就曾經阻斷數百萬使用者的網路服務。

醫療組織必須做好把關工作,確認連網裝置製造商有沒有修補程式的能力,一旦有資安危機或遭到駭客入侵,製造商能夠多快做出回應,此外連網裝置也要有認證功能,以便進行追蹤和補救。

加州羚羊谷醫院(Antelope Valley Hospital)表示,醫療機構要確保製造商提供軟體保證(SA),軟體保證亦即從軟體開發、除錯、瑕疵偵測到安全測試,都有針對軟體功能進行分析和追蹤。

FDA特別針對醫療裝置上市前設計考量和上市後資安管理,以及內含現成軟體連網裝置的資安發布準則草案。Khera表示,FDA很重視醫療裝置遭駭的問題,只要醫療裝置不符合這些準則,就難以取得FDA核准,迫使製造商重視資安問題。

製造商必須有完整的資安計畫,確保軟體應用程式和所有通訊活動受到保護,製造商也要有備案計畫,若不幸遭受攻擊該如何因應,從製造商內部人員到醫療機構,也必須有資安意識訓練,但這一塊仍備受忽略。

至於醫療機構必須提供病患最先進而有效的工具,同時確保這些裝置和資料的安全和隱私。最後報導建議,醫院應檢視目前既有的資安控制措施,能否直接套用到醫療裝置上。

更多關鍵字報導: 智慧醫療 數位醫療服務