7 月 31 日美国食品和药物管理局建议医院不要使用 Hospira 公司的 Symbiq 输液系统,称该系统存在一个安全漏洞,可能被利用发动网络攻击进而实现该系统的远程控制。在该机构发布建议约 10 天前,美国国土安全部警告称,直接传递药物进入患者血液的泵存在漏洞。
FDA 和美国国土安全部援引独立漏洞发现者,网络安全专家 Rios 的话称,如果侵入医院网络,就可以对患者的输液过程进行远程操控。两家政府机构表示,他们还没有发现有任何类似的这种攻击已经启动,但 FDA 在公告中称,它强烈建议医疗机构停止使用 Symbiq 输液泵系统,并转换成其他设备。
「这个漏洞可能允许未经授权的用户来控制设备并更改泵输送的剂量,这可能会导致输液过量或过少,严重影响患者的治疗,」美国 FDA 警告称。
这是 FDA 首次因为一个网络安全漏洞而建议医疗服务提供者停止使用医疗器械。
美国食品和药物管理局表示 Hospira 公司此前曾因另一个网络漏洞而停止制造和销售 Symbiq 系统,但是,他们仍然向第三方出售和使用。
Hospira 公司在其网站上公告称,它正在与 Symbiq 的客户一起部署关闭泵接入端口和其他包括网络安全防护在内的软件更新。其网站声明中指出,「这个可选方案在为 Symbiq 客户提供了另一层安全设备,这些器械还要在市场上保留几个月。」另外,该公司表示,它也正在与客户讨论另外两套系统的网络安全漏洞更新工作,包括 LIfeCare PCA 和 Plum A +输液设备。
FDA 女发言人 Stark 表示,该机构已经调查了 Hospira 公司其他输液泵的问题,并于 5 月给另外两个型号的器械发出了安全警告。
波士顿迪肯尼斯医疗中心的首席信息官 Halamka 表示,医疗服务提供者使用的医疗设备需要安装网络防火墙,并以专用的内部网络进行管理,非授权者不可访问。他指出,医疗设备的最终安全责任在于制造商,「他们需要站在安全的角度重新设计其医疗设备。」
美国食品和药物管理局发出此次警告之际,恰逢业界和政府监管部门将前所未有的关注放在产品网络安全漏洞上,这些产品使用嵌入式计算机,可能带来公共安全隐患。例如,菲亚特克莱斯勒上周宣布召回 140 万车辆,将安装软件以防止网络入侵者对发动机,转向系统和其他系统进行远程控制。这也是汽车行业首次因网络漏洞进行的召回。
批评人士警告称,在最近几年政府没能及时得解决关键的基础设施安全问题,包括医疗保健和运输的漏洞。
国土安全部官员的高级部人士在十月份透露,该机构正在审查约二十几例医疗器械可能有的网络漏洞。他没有指明受到审查的具体设备名称,但消息人士称,这其中也包括 Hospira 公司的输液泵。7 月 30 日美国国土安全部发言人拒绝就其他医疗器械调查的进展发表评论。
非营利性组织「我就是骑兵」的创始人之一 Corman 称,对 Hospira 公司和菲亚特克莱斯勒的安全漏洞前所未有的反应表明,政府和行业能找到办法来保护公众免受网络漏洞侵害。Corman 的团队正在宣传提高汽车和医疗设备安全性的理念,他称「这是非常令人鼓舞的,这是整个过程的其中一步,是我所中意的,而新的法律和监管标准也正在制定中。」
