ペースメーカーがハッキングに脆弱である3つの理由

米国食品医薬品局(FDA)は最近、Abbott’s社(旧St.Jude Medical)が製造した約465,000台のペースメーカーをリコールしたが、状況は進行中のセキュリティ上の問題を指摘している。

リコールの理由は? 装置は活動を高めるか、または電池の寿命を減らすために遠隔に”ハッキング”することができ、潜在的に患者を危険にさらす。 報告によると、ペースメーカーのかなりの部分は、オーストラリアの患者にインストールされる可能性があります。

しかし、リモートでアクセスできる人間のインプラントを望ましいものにする品質、すなわち、低コスト、低メンテナンス電池、小型、リモートアクセス-も、そのような装置を確保することは深刻な課題となっている。

三つの重要な問題は、サイバーセーフティを保持します:

  1. ほとんどの組み込みデバイスには、適切な暗号化セキュリティ、暗号化、またはアクセス制御をサポートするメモリや電力がありません。
  2. 医師と患者は、セキュリティ管理よりも利便性とアクセスの容易さを好みます。
  3. 組み込み機器の非常に貴重な機能である遠隔監視も脆弱になります。

アボットの状況

FDAによると、アボットのペースメーカーのリコールには手術は含まれない。 代わりに、デバイスのファームウェアは、医師と更新することができます。

ペースメーカーの脆弱性は、”市販の機器”を持っている人がペースメーカーにコマンドを送信し、設定やソフトウェアを変更する可能性があるようです。 “パッチを適用された”版はこれを防ぐ–許可されたハードウェアおよびソフトウェア用具が装置に命令を送ることをだけ可能にする。

アボットはリスクを軽視しており、465,000台のデバイスのいずれも侵害されたと報告されていないと主張している。

しかし、個々の医療機器に対するサイバーセキュリティ攻撃に対する懸念は新しいものではありません。

医療機器は現在、”モノのインターネット”(IoT)の一部であり、小型のバッテリ駆動センサーと組み込みおよびカスタマイズされたコンピュータと無線通信(Wi-Fi、Bluetooth、NFCなどの技術)が、これまでサイバーセキュリティが検討されていなかった分野での用途を見出している。

この世界の衝突は、特定の課題をもたらします。

電源対セキュリティ

ほとんどの組み込み医療機器は、現在、適切な暗号化セキュリティ、暗号化、アクセス制御をサポートするためのメモリ、処理能力、

例えば、カーネギーメロン大学の研究者によると、HTTPではなくHTTPS(ウェブトラフィックを暗号化して盗聴を防ぐ方法)を使用すると、プロキシが失われたた

従来の暗号スイート(身元を証明し、送信を秘密にするために使用されるアルゴリズムとキー)は、コンピュータ用に設計されており、小型で安価なIoTデバイスの力を超えた複雑な数学的演算を伴う。

新たな解決策は、暗号化を専用のハードウェアチップに移行することですが、これはコストを上昇させます。

米国国立標準技術研究所(NIST)は、低電力のIoTデバイス用に設計された「軽量」暗号スイートも開発しています。

利便性とセキュリティ

医師と患者は、これらの医療機器に常にログインする必要はないと期待しています。 ユーザー名、パスワード、暗号化キーを便利で安全に保つ必要があるという見通しは、ユーザーがそれらを使用する方法に反しています。

誰も自分のトースターや冷蔵庫にログインする必要はないと予想しています。 幸いなことに、スマートフォンの普及と、”スマート”IoTデバイスへのインターフェイスとしての使用は、この面でユーザーの行動を変えています。

ただし、ペースメーカーが故障して救急車が到着したとき、救急隊員に与えるデバイスのシリアル番号と認証の詳細を見つける時間(または能力)は本当にあ

遠隔監視とセキュリティ

外科用インプラントは、除去または交換が必要な場合に明確な医療リスクを提示します。 従って、リモート-モニタリングは確実にこれらの装置を持つ患者のための人命救助の技術である。

患者は、もはや低バッテリ”バズ”警告に依存していない、とデバイスが誤動作した場合、そのソフトウェアは、医師がスムーズに更新することができます。

残念ながら、このリモートコントロール機能は全く新しいタイプの脆弱性を作成します。 あなたの医者がリモートでソフトウェアを更新できる場合は、他の人も同様です。

将来のデバイスの保護

接続された組み込み医療機器のセキュリティは”邪悪な”問題ですが、解決策は地平線上にあります。

将来的には、低コストの暗号ハードウェアチップと、低消費電力、低メモリ、低機能デバイス用に設計された標準化された暗号スイートが期待できます。

おそらく我々はまた、彼らが触れるすべてにログインすることに慣れている世代を期待することができ、簡単かつ安全に自分のデバイスに自分自身を認証する方法を持っていますが、私たちはまだそこにいません。

暫定的には、リスクを評価し、自分自身を守る方法について測定された決定を下すことしかできません。

コメントを残す

メールアドレスが公開されることはありません。