【IoT應用】解決無線醫療設備的七大安全問題

　　藍牙血糖儀和胰島素泵等無線便攜式醫療設備已經成為用戶值得信賴的家居用品和日常生活伴侶，并在全球醫療保健系統中發揮著不可替代的作用。藍牙醫療設備可以持續、精準地追蹤用戶的生理狀況，為他們的智能手機應用程序提供健康數據。醫生和臨床醫師可以通過遠程門診護理應用程序取得數據。無線應用能夠以方便且非侵入的方式對急性期之后和康復期中的患者進行連續監測?；颊呖梢栽诩抑邢硎苋粘Ｉ?，而醫生能夠高效、安全地以遠程方式進行醫療診斷、觀察和會診，有效防止疾病的病毒傳播。

　　全球無線便攜式醫療設備市場將持續大幅增長，預計到 2025 年將增加至170億美元的收入，因為世界各國政府都在尋求通過數字化和遠程門診護理來提高效率。然而，在蓬勃發展的設備市場和醫療數字化熱潮中，安全問題卻隱約可見。產品開發人員必須考慮關鍵的安全問題，才能在無線醫療設備市場上取得成功，并確保實現數字化醫療轉型。

　　醫療設備的安全性挑戰

　　從歷史上看，醫療設備由于沒有無線連接而不會受到安全威脅的影響，用戶和醫生可以信任這些未連網的設備。直到最近，安全性才成為設備制造商需要擔憂的問題。

　　隨著無線醫療設備的日益普及，醫療領域的漏洞已經浮出水面。2020年，美國食品藥品監督管理局(FDA)就SweynTooth漏洞發出警告，潛在的漏洞可能會給無線低功耗藍牙(Bluetooth LE)醫療設備帶來風險——導致它們喪失功能而停止運行，并使未經授權的指令打開訪問權限，以及造成私人信息的暴露。幸運的是，由于產業反應迅速，在各種傷害發生之前就消除了 SweynTooth漏洞。

　　鑒于暴露的漏洞數量不斷增加，醫療保健行業和設備制造商必須將無線安全作為開發的第一要務。以下是設備制造商、生產廠商和醫療保健技術專業人員在開發或評估無線醫療設備時應關注的七大安全問題。

　　1.惡意軟件

　　惡意代碼入侵無疑是無線醫療設備中最常見的安全威脅。黑客會插入惡意代碼使設備脫離正常運行，去執行錯誤的軟件，而非為原產品所開發的真實可靠的代碼。在設備執行代碼之前進行軟件身份驗證可以避免惡意代碼入侵。當檢測到惡意代碼時，應該對設備進行編碼以觸發應對措施，例如停用受感染的產品。

　　2.復制芯片組

　　藍牙醫療設備通常由不精通技術的用戶在不受保護的環境中遠程使用。這使得黑客很容易利用復制的芯片組和偽造的智能手機應用程序來干擾身份驗證過程，進而訪問設備和私人數據。針對復制芯片組的解決方案是使用帶有唯一ID的硬編碼(hardcoded)芯片組，在設備每次進入網絡時會識別該ID，同時解除舊產品的權限以避免受到復制。

　　3.打開后門

　　熟悉編程的人都知道，計算機內部架構容易因USB端口未受保護而被入侵。對無線醫療設備而言，同樣如此。產品開發人員可以通過一個調試端口輕松地關閉后門，該調試端口可以用加密密鑰鎖定和解鎖。這樣既可以防止未經授權的訪問，也可支持簡單且安全的現場診斷和更新。

　　4.未經認證的芯片組

　　產品開發人員如何知道用于醫療的無線芯片組或微控制器是否足夠安全?一種保險的選擇是使用經過安全認證的芯片。DTSec 保護配置文件(DTSec Protection Profile)和GlobalPlatform.org發布的物聯網平臺安全評估標準(Security Evaluation Standard for IoT Platforms, SESIP)定義了物聯網平臺安全性的可信評估標準。

　　5.差分功耗分析攻擊

　　差分功耗分析(DPA)基于高度先進的功耗監測和數學信號分析，可以重新生成設備的安全密鑰。DPA 攻擊需要對設備進行物理訪問，不過一旦成功，它就可以利用整個產品線或設備群的漏洞。產品開發人員可以利用配備特定差分功耗分析應對技術的芯片組來消除設計中的 DPA 威脅。

　　6.薄弱的密鑰保護

　　薄弱的密鑰保護是許多醫療設備制造商的致命弱點。密鑰保護通常是黑客攻擊的首選目標，因為一個成功的攻擊向量可以被重復利用去攻擊整個用戶群的漏洞。物理不可克隆功能(PUF)可根據單個設備的缺陷創建隨機且唯一的密鑰。PUF 密鑰總是在啟動時生成，同時對安全密鑰存儲庫中的所有密鑰進行加密，應用程序可以在密鑰保持機密的情況下處理這些密鑰。

　　7.不受保護的軟件維護

　　許多藍牙醫療設備在棄置之前可能還有幾個月甚至幾年的使用壽命。在它們的生命周期中可能需要多次軟件更新，每次更新都會為黑客提供潛在的機會。醫療產品的安全設計不僅僅是硬件和軟件的強化，產品開發人員必須考慮整個生命周期的維護過程——包括如何通過無線方式(OTA)對安裝的設備進行安全的管理，驗證更新文件，對整個過程進行加密，以及通過安全啟動來確保固件映像不受改變 。

　　結論

　　現代醫療保健系統將會需要大量的無線智能設備，以通過安全的遠程門診護理渠道來高效地治療老齡化人群。藍牙醫療設備市場對生產廠商、設備制造商和新創公司來說是一個巨大的收入機會，當然，這需具備強大、決不妥協的安全性才能實現持續增長。

（轉載）