從醫療器材物聯網事故,探討醫療器材物聯網標準化的重要性


隨著傳統醫療器材朝向數位化、智慧化的物聯網發展,包含遠端照護、穿戴裝置、遠端手術、看護機器人,使醫生比以往更能掌握病情、擬定更精確的治療和照護策略;同時,醫療器材也開始面臨危機四伏的外部資安風險,並造成牽一髮而動全身的影響,造成病患生命和醫院資產的重大損失。

有鑑於此,為保障醫療物聯網器材的安全性、把關醫療系統健全和病患健康,醫療器材業和相關標準組織,藉由制定安全規格、傳輸介面等標準化框架和指引,來提升醫療器材的安全性,減少醫療系統和病患暴露的致命資安風險。 

德國發生兩起醫療器材物聯網事故,並發生一起死亡案例

根據美聯社9月報導,德國杜賽道夫大學附設醫院(University Hospital of Düsseldorf)的急診室發生醫療設備遭勒索軟體攻擊的事件,院方被迫緊急關閉急診室,病患被迫送到32公里外的醫院,但在轉院過程中宣告不治;駭客將勒索軟體植入醫療設備予以加密,造成醫療設備癱瘓,因而讓分秒必爭的重症病患陷入絕境,最終釀成慘劇。

 

 資料來源:美聯社

圖 1:杜塞道夫大學附設醫院&救護車(示意圖) 

 

另外,德國研究團隊ERNW指出,該團隊所測試的韓國製胰島素注射系統Dana Diabecare RS,可藉由藍牙連線來控制胰島素注射量;但研究團隊發現胰島素注射系統僅具備容易被猜透的預設PIN碼、藍牙連線加密金鑰強度不足、使用者驗證機制薄弱,因此ERNW將前述問題,於2019年8月提報給德國資安辦公室(BSI);原廠方面也依照德國當局的要求,於2019年10月提交胰島素注射系統的修補檔案,但最終由主管機關認證的穩定更新檔,得等到今年4月才對外釋出。

  

資料來源:ERNW

圖 2:韓國Dana Diabecare RS胰島素注射器 

醫療器材物聯網標準化探究與重要性分析

為解決物聯網醫療器材的各項資安議題,在生產和使用時把關安全性,歐盟旗下ENISA(歐洲網路資訊安全局)「醫院資安採購標準」,針對智慧聯網醫療器材的各項功能、屬性和使用場域,歸納如下「十大應用領域」:

  1. 遠端照護系統
  2. 醫療客戶端
  3. 識別系統:包含穿戴裝置、生物識別、影像監控系統等
  4. 建物管理系統:包含電力管理、門禁系統等
  5. 連網設備
  6. 醫療裝置:包含行動裝置、穿戴裝置、植入式裝置
  7. 門診資訊系統:包含醫院資訊系統、實驗室資訊系統等
  8. 工控系統:包含溫度控制、權限管控
  9. 專業服務
  10. 雲端服務

接著,ENISA針對上述十大領域,與現有的ISO、NIST、IEC等醫療相關物聯網安全標準進行連結,節錄如下:

  • ISO 13485(醫療系統品管標準):醫療裝置、網路設備、遠端照護、行動裝置、建物管理、專業服務
  • ISO 14971(醫療器材風險管理):醫療裝置、網路設備、遠端照護、行動裝置、建物管理、專業服務
  • IEC 62304(醫療器材軟體標準):門診資訊系統、網路設備、遠端照護、行動裝置、建物管理、專業服務
  • IEC 62443:網路設備、遠端照護、行動裝置、建物管理、工控系統、專業服務
  • NIST CSF(資安框架):門診資訊系統、網路設備、遠端照護、行動裝置、建物管理、專業服務

ENISA藉由援引其他的醫療物聯網國際相關標準,再針對醫療物聯網實際應用情境分為十大場域,可提供在不同情境、不同功能的醫療物聯網裝置,一套足以依循的指引,強化醫療院所整體物聯網系統的防護,降低駭客從弱點下手的成功率。

小結

醫療物聯網產品所面臨的駭客威脅,除了讓系統停擺之外,也讓病患面臨隱私受損和生命危險;有鑑於此,醫療用的物聯網裝置除了要配合國際安全標準以外,更要積極做好安全防護工作。

病患的生命不只跟死神賽跑,也同時跟駭客賽跑,駭客威脅使病患命懸一線間,缺乏防護的醫療物聯網系統,將釀成一失足成千古恨的慘劇。

 

參考來源:

  1. Associated Press. (2020, September 18). German hospital hacked, patient taken to another city dies. Berlin, Germany. Retrieved November 20, 2020, from Associated Press: https://apnews.com/article/technology-hacking-europe-cf8f8eee1adcec69bcc864f2c4308c94
  2. Drougkas, A., Liveri, D., Zisi, A., & Kyranoudi, P. (2020, February). Procurement Guidelines for Cyberserucity in Hospitals. Retrieved November 20, 2020, from ENISA: https://ec.europa.eu/futurium/en/system/files/ged/procurement_guidelines_for_cybersecurity_in_hospitals.pdf
  3. Suleder, J. (2020, September 10). ERNW White Paper 69: Safety Impact of Vulnerability in Insulin Pumps. Retrieved November 20, 2020, from ERNW: https://static.ernw.de/whitepaper/ERNW-White-Paper-69_Safety-Impact-of-Vulnerabilities-in-Insulin-Pumps_signed.pdf

 

延伸閱讀