新聞動態
解決無線醫療裝置的七大安全問題
2021-09-16

來源:EET TAIWAN 作者/Emmanuel Sambuis,Silicon Labs資深行銷總監

支援藍牙(Bluetooth)血糖儀和胰島素泵等無線攜帶式醫療裝置已經成為用戶值得信賴的家居用品和日常生活伴侶,並在全球醫療保健系統中發揮了無可替代的功能。藍牙醫療裝置持續精準地追蹤用戶的生理狀況,為他們的智慧型手機應用程式提供健康數據。醫生和臨床醫生可以透過遠距門診護理應用程式取得數據,無線應用能夠以方便和非侵入性的方式在急性期之後和康復期中的患者進行連續監測,患者可以在家中享受日常生活,而醫生能夠高效安全地以遠距進行醫療診斷、觀察和會診,有效防止疾病的病毒傳播。

全球無線攜帶式醫療裝置市場將持續大幅增長,預期到2025年將增加170億美元的收入,因為世界各國政府都在尋求經由數位化和遠距門診護理來提高效率。

然而,正在蓬勃發展的裝置市場和醫療數位化狂潮中的安全問題卻隱約可見,產品開發人員必須考慮關鍵的安全問題,才能在無線醫療裝置市場取得成功以確保數位醫療的轉型。

醫療器具的安全性挑戰

綜覽歷史發展,醫療裝置由於缺乏無線連接而不會受到安全威脅的影響,用戶和醫生可以信任這些未連接的裝置。直到最近,安全性才成為裝置製造商的問題。

然而,隨著無線醫療裝置的日益普及,醫療領域的漏洞已經浮出水面。2020年,美國食品藥物管理局(FDA)就SweynTooth漏洞發出警告;潛在的漏洞可能會為支援無線低功耗藍牙(BLE)的醫療裝置帶來風險——造成它們功能的喪失而停止運作,並使未經授權的指令打開訪問權限,以及暴露私人訊息。幸運的是,由於產業的反應迅速,並在各種傷害之前防治了SweynToot的漏洞。

有鑑於暴露的漏洞數量不斷增加,醫療保健產業和裝置製造商必須將無線安全做為開發的第一要務。以下是裝置製造商、生產廠商和醫療保健技術專業人員在開發或評估無線醫療裝置時應關注的七大安全簡要考慮因素。

1.惡意軟體

惡意程式的入侵無疑是無線醫療裝置中最常見的安全威脅。駭客插入惡意程式使裝置脫軌而執行錯誤的軟體,而非原產品所開發的真實可靠程式。在裝置執行之前進行軟體身份驗證可消除惡意程式的入侵;當檢測到惡意程式時,應該對裝置進行編碼以觸發啟動對策,例如停用受感染的產品。

2.複製晶片組

藍牙醫療裝置通常由非精通技術的用戶在不受保護的環境中遠距使用。這使得駭客很容易利用複製的晶片組和偽造的智慧型手機應用程式來干擾身份驗證過程,進而訪問裝置和私人數據。複製的解決方案在於使用唯一ID的硬編碼(hardcoded)晶片組,讓裝置每次進入網路時會識別該ID,並解除舊產品權限以避免受到複製。

3.打開後門

熟悉編程的每個人都知道,電腦內部架構容易因USB埠未受保護的而被入侵,此狀況同樣適用於無線醫療裝置。然而,產品開發人員可以利用密鑰對除錯埠上鎖和解鎖輕鬆關閉打開的後門,既可以防止未經授權的訪問,也可允許簡單而安全的現場診斷和更新。

4.未經認證的晶片組

產品開發人員如何知道用於醫療的無線晶片組或微控制器的安全性是否足夠?安全性的選擇是使用安全認證晶片。GlobalPlatform.org發佈的DTSec保護配置文件和安全評估(SESIP)定義了物聯網平台安全性信評標準。

5.差分功率分析攻擊

差分功率分析(DPA)乃是基於高度先進的功率監控和數學訊號分析,旨在重新生成裝置的安全密鑰。DPA攻擊需要對裝置進行物理訪問,但如果成功,它就會利用整個產品線或裝置群,產品開發人員可以利用配備特定DPA對策技術的晶片組來消除設計中的DPA威脅。

6.草率的密鑰保護

草率的密鑰保護是許多醫療裝置製造商的致命弱點。密鑰保護通常是駭客攻擊的首要方法,因為成功的攻擊向量可以重複套用在整個安裝群。物理上無法複製的功能(PUF)可根據個別裝置的缺陷創建隨機且唯一的密鑰,PUF密鑰總會在啟動時生成,同時對安全密鑰儲存庫中的所有密鑰進行加密,應用程式可以在保有機密的情況下處理這些密鑰。

7.未受保護下執行軟體維護

許多藍牙醫療裝置在汰除之前可能還有幾個月甚至幾年的使用壽命,在它們的生命週期中可能需要多次軟體更新,每次作業都為駭客提供了潛在的機會。醫療產品的安全設計不僅僅是硬體和軟體的強化,產品開發人員必須考慮整個生命週期維護過程——包括安裝的裝置如何透過OTA執行安全管理、驗證更新文件、加密整個過程,以及透過安全啟動以確保韌體映像未受改變。

結論

現代醫療保健系統將會需要大量的無線智慧裝置,同時透過安全的遠距門診護理管道以有效治療老齡化人口。

藍牙醫療裝置市場對生產製造商、裝置製造商和新創公司來說是一項巨大的收入機會,且需具備強大、堅持不妥協的安全性才能持續成長。

本文刊登於《電子工程專輯》雜誌2021年9月號

本網站中所有資料(包括圖檔及文字檔),著作權皆屬本會所有(除另有註明者,或本會網站連結至外部之網站除外),如有引用,請確實註明出處來源。<完整資訊>
©Institute for Biotechnology and Medicine Industry (IBMI) All rights reserved.
地址:115 台北市南港區園區街3號16樓之1 電話:(02)2655-8168 傳真:(02)2655-7978