醫療設備與可穿戴設備和醫療應用或軟件的連接日益增加，使設備面臨網絡安全威脅和攻擊。醫療設備中的任何漏洞都允許未經授權的用戶訪問和控制設備，這可能會給患者帶來嚴重風險，特別是在 B 類和 C 類醫療設備中。因此，醫療機構、監管機構和醫療設備制造商擔心這對臨床護理和患者安全的潛在影響。

為什么醫療設備的網絡安全是當務之急？

關鍵功能：醫療設備控制患者的生命。它具有關鍵功能和敏感數據

復制：中級設備在數千或數百萬個相同的設備中批量生產。一次成功的攻擊可能會復制到多個設備

生命周期長：醫療器械的生命周期從15年到20年不等。因此，開發滿足未來二十年安全需求的設備是一個巨大的挑戰。

孤立：最終用戶無法監控設備的安全性或輕松進行更改

由于網絡安全威脅和數據泄露的增加，醫療設備制造商應了解與醫療設備安全相關的風險，并考慮在設計和開發醫療設備時實施有效的網絡安全實踐。

讓我們了解網絡安全攻擊和可能的解決方案：

1）軟件攻擊：通過在系統上執行稱為惡意軟件的自定義代碼段來對系統進行軟件攻擊，這會導致設備的自定義（意外）行為。

固件克隆

概述/用例：攻擊者可以使用逆向工程克隆醫療設備硬件，也可以直接從閃存介質克隆固件

風險：

設備復制

固件的逆向工程

決議：

設計足夠強大的固件許可機制，使其難以繞過

使用數據保護機制和加密固件

暴力破解

概述/用例：安全醫療設備在訪問云服務和/或人機界面 （HMI） 的設備功能之前要求進行身份驗證。攻擊者系統地檢查所有可能的密碼和密碼短語，直到找到正確的密碼和密碼短語

風險：

訪問設備服務和用戶數據

決議：

限制登錄試用次數

增加身份驗證試用之間的延遲

固件更新

概述/用例：醫療設備售后市場發布會通過離線媒體（如USB，OTG電纜）或通過互聯網定期更新。這允許攻擊者更新設備上的自定義或損壞的固件（惡意軟件）

風險：

對設備的完全/部分訪問

設備固件損壞

決議：

使用加密和簽名設計/實施安全固件更新機制

通信堆棧（基于物聯網的設備）

概述/用例：醫療設備使用 BLE、Wi-Fi 或任何射頻技術通過移動應用程序或基于物聯網的軟件進行通信。攻擊者可以利用技術漏洞并修改通信數據

風險：

基于數據修改的意外系統行為

未經授權出售和/或勒索個人數據

決議：

使用防火墻進行互聯網訪問

使用最新和安全的技術;例如，在藍牙的情況下，請使用 v4.1 及更高版本

使用強大的配對和身份驗證機制開始通信，然后使用加密數據進行通信

敏感固件和數據

概述/用例：固件的某些部分需要特殊保護：例如加密算法或第三方庫。此外，如果所選數據被視為有價值的資產（加密密鑰），則可能需要增強保護。必須保護內部存儲器內容免受外部訪問（如通信接口）和內部訪問（其他軟件進程）。內存屬性（如不同內存段的讀寫訪問）以及防火墻是進程和數據隔離的主要保護措施

風險：

敏感固件復制或數據盜竊

決議：

使用僅執行訪問權限 （XO）

使用內存保護單元

使用安全區域

使用外部存儲器加密

2）硬件非侵入性攻擊：這類攻擊主要集中在設備接口和環境信息上。它不會在硅級別損壞/分散設備硬件層。

調試端口（JTAG 或 SWD 接口）

概述/用例：調試端口提供對引導加載程序、寄存器、DRAM 等的訪問。攻擊者可能使用調試端口完全訪問和控制設備

風險：

完全訪問設備

決議：

在原型/開發人員發布后禁用硬件的設備調試功能

引導加載程序

概述/用例：大多數醫療設備使用基于引導模式、引導地址和/或引導引腳配置的引導加載程序進行引導。該攻擊旨在修改引導模式或地址，以在RAM和訪問設備中加載自定義應用程序

風險：

對設備的完全訪問權限

決議：

唯一的啟動項

實現安全引導加載程序并禁用調試選項

通信接口訪問，如 UART/I2C/SPI/USB

概述/用例：應用程序或引導加載程序使用 UART、I2C、SPI、US 等通信接口與設備進行通信。攔截此通信允許攻擊者訪問設備內容和/或修改通信。惡意軟件也可以使用USB等某些媒體注入

風險：

訪問設備內容

決議：

使用加密進行通信。例如，使用 TLS 進行數據通信。TLS 提供保護數據機密性和完整性的功能

禁用不需要的輸入端口/通信

使實體巴士難以到達

時鐘和電源干擾/毛刺

概述/用例：故障可以在數據表中定義的參數之外使用器件進行注入。威脅涉及更改時鐘和/或電源參數。成功的攻擊可能會改變程序行為

風險：

意外的設備行為

決議：

使用時鐘安全系統 （CSS）

使用內部時鐘（如果可用）

使用內部穩壓器

側信道攻擊 （SCA）

概述/用例：當設備運行時，攻擊者可能會觀察功耗、電磁輻射、溫度等，以檢索數據值和/或算法實現等機密資產。SPA（簡單功率分析）和DPA（差分功率分析）就是一個典型的例子。

風險：

訪問設備數據

決議：

使用會話隨機數鍵

使用受保護的加密庫

3）硬件侵入性攻擊：這種類型的攻擊包括直接訪問硅的破壞性攻擊。

逆向工程

概述/用例：攻擊者可能了解設備的內部結構及其功能。它可以使用光學顯微鏡創建設備/微控制器的地圖，以產生設備表面的高分辨率圖像。進一步的步驟可能包括分析硬件設備的更深層

風險：

設備克隆

決議：

使用難以分析/調試的多層PCB

醫療設備公司應確保其設備安全并配備正確的網絡安全，并實現這一目標，他們需要精通醫療設備設計和開發的合適技術合作伙伴。

審核編輯：郭婷