美國國土安全部（DHS）上周警告說，美敦力生產的許多醫療設備是易受網絡攻擊的。這些漏洞影響該公司的17種型號的植入式心臟裝置和被用來與之通信的外部設備。

美敦力公司的一位發言人告訴IEEE Spectrum，該公司自愿向美國國土安全部披露了這些漏洞，而且“沒有發現網絡攻擊、隱私泄露或與這些問題相關的患者傷害。”

心臟調節裝置植入式心臟再同步化自動復律除顫器（CRT-D）和植入式心律轉復除顫器（ICD）的某些型號存在風險。CRT-D將電脈沖發送到心臟的心室，幫助它們以更同步的模式一起跳動。ICD提供電脈沖來糾正過快的心律。外部計算機對裝置進行編程并進行信息檢索。

這些裝置發射的射頻信號可以在佩戴者方圓幾米的范圍內被檢測到。根據聯邦調查局的警告，懷有惡意的人可以在附近侵入這種信號對其進行干擾、改變或窺探。

美國普渡大學電氣和計算機工程師Shreyas Sen說，就像美敦力公司的設備所面臨的情況一樣，未經加密的信號很容易被故意攔截。“這就像坐在一個房間里聽一個人用明語講話。”

十多年來，很多研究人員一再警告說，醫療設備可能會變成殺人武器。科學家們用書面報告和在會議上做口頭報告的方式展示了如何侵入胰島素泵、起搏器，甚至整個醫院網絡。

美敦力公司是過去幾年來公開披露其醫療設備在網絡安全方面的漏洞的幾家公司之一。2017年，史密斯醫療（Smiths Medical）通過國土安全部披露，其無線藥泵（通常用于醫院）可能被遠程入侵。同年，美國食品藥品監督管理局（FDA）向公眾通報了圣猶達醫療公司（St. Jude Medical）植入式心臟裝置的漏洞，這些裝置包括起搏器、除顫器和再同步裝置。2017年，美國國土安全部警告說，黑客可能會入侵和控制BMC Medical公司和3B Medical公司制造的呼吸治療機。

國土安全部網絡安全和基礎設施安全局（CISA）從2013年開始跟蹤醫療設備的漏洞。CISA的一位發言人告訴IEEE Spectrum，在最開始的五年里，該機構只發布了7個警告。該發言人表示，這一數字在2017財年躍升為16，在2018財年又躍升為29（是2017財年的近兩倍）。FDA和DHS去年10月宣布了一個框架，以協調他們對醫療設備網絡安全威脅的反應。

生命支持醫療設備的制造商經常指出，目前還沒有實際發生過針對生命支持醫療設備的攻擊。對這些設備的信號進行加密應該就能提供不錯的保護。但是普渡大學的Sen說，僅僅加密是不夠的。“物理信號是可獲得到的，而且我們不擅長使用密碼。”他說。

為了挫敗潛在的攻擊者，Sen和他的同事們設計了一種對抗手段：一種戴在手腕上的裝置，它采用低頻率無載波（寬帶）傳輸的方法將來自醫療設備的所有通信信號限制在人體內。

這些信號利用人體的導電特性產生了所謂的電準靜態場。起搏器發出的信號可以從頭到腳傳播，但它們不會離開皮膚。“除非有人碰觸你的身體，否則他們不會得到信號。”Sen說。

Sen和他的同事們稱之為“電準靜態場人體通信”（EQS-HB），并在本月早些時候的 Scientific Reports期刊上對此進行了介紹（論文標題為“Enabling Covert Body Area Network using Electro-Quasistatic Human Body Communication”）。在這項研究中，Sen的原型成功地將來自可穿戴設備的信號限制在了人體內。研究人員還沒有在佩戴著植入式醫療設備的人身上測試他們的原型。

額外好處：電準靜態場范圍內的信號使用的能量只是傳統藍牙通信的一小部分。

美敦力公司的一位發言人表示，公司正在開發一系列軟件更新，以更好地保護受警告中所述問題影響的無線通信的安全。第一次更新計劃于2019年晚些時候進行，更新前須先經監管部門批準。美敦力和FDA建議患者和醫生繼續使用這些設備。