星标“医工学人”,第一时间获取医工交叉领域新闻动态~
可穿戴医疗设备和医疗物联网(IoMT)已深度融入现代人的日常生活,为健康管理带来了前所未有的便利和效率。从智能手表持续监测心率,到远程患者监测系统实时追踪生命体征,这些设备正在改变医疗服务的提供方式,使医疗保健从传统的设施中心模式转向以患者为中心的居家护理模式。随着对这些设备的依赖日益加深,它们所生成的海量健康数据以及由此制定的治疗计划也变得越来越普遍,成为现代医疗体系不可或缺的一部分。
然而,这种前所未有的便利背后,却隐藏着不容忽视的“数字阴影”。近年来,其他设备供应链中发生的网络安全事件,以及医疗设备本身暴露出的真实漏洞,揭示了这些看似无害的设备可能带来灾难性的安全后果。这种风险不仅关乎个人敏感健康数据的隐私泄露,更可能上升到国家安全层面,对社会稳定和公共健康构成威胁。
本文将深入探讨医疗科技网络安全威胁的演变历程,从早期相对简单的软件漏洞,到如今更隐蔽、更具破坏性的硬件“后门”问题。通过分析真实案例,本文将揭示全球供应链的复杂性和不透明性如何滋生“隐形攻击面”,以及这些漏洞所带来的地缘政治影响。
最后,本文提出一套综合性的防御策略,强调监管与技术相结合的重要性,旨在共同构建一个更加安全、可信赖的医疗科技未来。
威胁演变:从软件漏洞到硬件“后门”
医疗设备网络安全威胁的性质在过去十年中发生了显著变化,从最初对软件漏洞的担忧,逐渐演变为对硬件层面“后门”的警惕。
早期担忧:从科幻到现实的ICD安全事件
公众对医疗设备网络安全的意识,在很大程度上曾受到虚构作品的启发。例如,2012年美国热门电视节目《国土安全》中,副总统通过远程访问其植入式心律转复除颤器(ICD)而被谋杀的情节,虽然是虚构的,却生动地展示了医疗设备被恶意利用的潜在风险 。这一情节激发了现实世界中一位道德黑客重现此类攻击,证明了其可行性 。
实际上,早在2008年,第一份关于ICD网络安全漏洞的同行评审报告就已经发布,尽管当时主要关注的是数据隐私和完整性问题,而非致命性电击传递。然而,直到2016年,一家网络安全研究公司和一家投资公司发布报告,指出某主要制造商(后来的Abbott Laboratories,前身为St. Jude Medical Inc.)的心脏植入式电子设备容易受到“电池耗尽”和“崩溃”攻击,甚至可能通过通用代码允许黑客控制植入物时,才真正引发了行业震动 。尽管独立研究公司未能重现具有临床意义的攻击,该报告仍导致制造商股价大幅下跌,促使美国国会委员会介入,FDA承认某些设备可能遭到黑客攻击,并导致了有史以来第一次与网络安全相关的召回,影响了50万台设备,并宣布了固件升级(这本身也并非没有风险) 。胰岛素泵以及许多其他安全关键设备也显示出类似的脆弱性 。
从2008年学术报告的首次披露,到2012年科幻剧引发公众关注,再到2016年卖空报告导致股价大跌并最终促使FDA和国会采取大规模召回行动,可以观察到医疗科技安全领域的一个模式:纯粹的学术警告往往不足以推动行业变革。只有当这些风险通过大众媒体变得具象化,并结合直接的经济压力(如股价下跌),才能真正触发监管机构和制造商的紧急响应。这反映出在面对新兴威胁时,行业在初期往往采取被动而非主动的姿态,解决医疗设备网络安全问题,不仅依赖于技术发现,更需要跨领域的社会压力(包括媒体和金融市场)来加速其从“已知风险”向“已解决问题”的转化。
IoMT设备的“变身”:从昂贵植入物到廉价蓝牙设备
在过去十年中,医疗物联网(IoMT)设备的性质也发生了巨大变化,这进一步重塑了网络安全挑战。
|
特征维度 |
2025年IoMT设备 |
2025年IoMT设备(预测) |
|
设备类型 |
昂贵的植入式设备为主,如心脏起搏器、除颤器 |
相对便宜的一次性或短寿命蓝牙设备为主,如智能手环、互联脉搏血氧仪 |
|
成本 |
高昂 |
相对低廉 |
|
主要制造商地域 |
美国和欧洲的领先公司 |
中国制造为主 |
|
平台架构 |
专门设计和自主开发的专有平台架构 |
与消费电子产品重叠的平台架构 |
|
生命周期 |
长期使用 |
短期或一次性使用 |
|
数据传输 |
专有床边发射器通过电话线或网络发送数据 |
蓝牙连接,支持远程患者监测(RPM)生态系统 |
2015年左右,IoMT市场主要由昂贵的植入式设备主导,这些设备主要由美国和欧洲的领先公司制造,并采用专门设计和自主开发的专有平台架构。例如,早期的连接植入物通常会通过专有的床边发射器,再通过电话线或网络发送数据。
然而,预计到2025年,IoMT设备将由相对便宜、中国制造的一次性或短寿命蓝牙设备主导,其平台架构与消费电子产品高度重叠。这种转变使得医疗保健模式从传统的基于设施的模式转向以患者为中心、居家护理的方法,远程患者监测(RPM)生态系统日益成熟 。
这种IoMT设备性质的转变,不仅仅是成本和制造地的变化。昂贵、专有、欧美制造的植入式设备通常意味着更受控的供应链和更严格的内部安全审查。而廉价、通用、与消费电子重叠的蓝牙设备,则意味着更复杂的全球供应链、更低的单品安全投入、以及继承自消费电子领域的潜在漏洞。这种医疗科技的“消费品化”趋势虽然降低了成本、提高了普及率,但同时也稀释了安全投入,并引入了更难以追踪和控制的供应链风险。攻击面也因此从少数高价值、高难度的目标,扩展到数百万个易于获取、安全防护相对薄弱的日常设备,极大地增加了网络攻击的广度和频率,使得安全挑战从“深度”转向“广度”。
供应链深处的“幽灵”:隐形攻击面与地缘政治风险
随着IoMT设备的普及和性质的转变,医疗设备供应链的复杂性和不透明性已成为滋生安全漏洞的温床,并带来了日益严峻的地缘政治风险。
- 复杂且不透明的供应链:漏洞滋生的温床
远程患者监测和居家医院模式的成功,依赖于日益复杂的互联医疗设备生态系统。无论是作为集成套件提供,还是通过“自带设备”(BYOD)模式合并,这些平台都依赖于跨越多个制造商、组件供应商和软件供应商的全球供应链。单个医疗设备可能包含数百个组件,这些组件来自不同国家/地区的数十家供应商,这种全球化和碎片化的特性使得追溯每个部件的来源和完整性变得极其困难 。
原始设备制造商(OEM)经常依赖第三方供应商生产微芯片、内存模块和无线通信组件等关键部件 。一个主要问题是,许多这些第三方组件在集成到成品医疗设备之前,很少或根本没有经过充分的安全验证。这种复杂且缺乏审查的环境,使得通过设计缺陷或故意的安全漏洞,后门可以在供应链的任何阶段被引入,而设备制造商自己通常并不知情 。其结果是形成了一个“看不见的攻击面”,即安全漏洞在被检测到之前很久,就已经深埋在关键的医疗保健基础设施中 。
- 康泰克CMS8000患者监护仪“后门”事件:一个警示
医疗设备中的硬件供应链泄露并非假设,它们已经真实发生。一个令人警醒的例子是2025年初,美国网络安全和基础设施安全局(CISA)发布的代号为CVE-2024-12248的漏洞通知,涉及康泰克CMS8000患者监护仪 。康泰克医疗系统是一家总部位于中国的全球性医疗器械和医疗保健解决方案公司,其医疗设备广泛用于欧盟和美国的医院、诊所和家庭医疗保健环境,用于监测患者生命参数。
该设备中的漏洞被归类为“后门”,允许远程代码执行。这意味着,即使没有恶意意图,远程参与者也能够完全控制该设备,并可能进一步控制或影响网络中的其他设备。考虑到患者监护仪在紧急情况下的关键作用,成功利用这个后门可能导致灾难性后果,例如在紧急情况下抑制警报,或主动操纵数据以阻止紧急情况的检测,从而对患者生命造成直接威胁。
传统的网络安全关注点多在软件漏洞,因为软件可以通过补丁更新来修复。然而,康泰克CMS8000事件揭示的硬件“后门”问题,其影响远超软件漏洞。硬件层面的漏洞意味着恶意代码或功能可能在设备制造之初就被植入,难以通过简单的软件更新来清除。这不仅使得检测和缓解变得极其困难和昂贵(可能需要物理召回或更换设备),更重要的是,它在医疗基础设施中创建了一个长期存在的、难以察觉的威胁,其潜在的病人伤害后果也更为直接和致命。这表明,医疗设备网络安全已从“软件修补战”升级为“硬件攻防战”,这要求更深层次的供应链透明度和更严格的制造环节安全控制。
超越个人:医疗设备安全上升到国家层面
最近发生的事件凸显了全球供应链中的现实漏洞,包括设备在制造过程中受损以造成故意伤害的例子 。这使得供应链安全漏洞及其成功渗透的巨大影响上升到地缘政治问题。此前,网络安全问题一直以软件漏洞为主,硬件问题主要集中在对关键核心互联网架构供应链的担忧,以及恶意外国势力插入后门的可能性 。
然而,针对性的人身攻击性质引起了人们对日常设备供应链网络安全漏洞的关注。英国议会最近表达了担忧,警告称智能设备中的中国制造组件可能成为破坏和网络攻击的未被发现的入口点 。作为对地缘政治风险的回应,欧盟和美国正在投资于半导体独立性并收紧采购政策,以减少对高风险供应商的依赖 。
当医疗设备的硬件供应链漏洞被上升到国家安全层面,并与“恶意外国势力”挂钩时,这将导致国际间的“信任赤字”。这种信任赤字不仅会影响医疗设备的采购决策(倾向于“可信”来源),更可能促使各国或地区重新评估并重构其关键技术供应链,推动半导体独立性和本土化生产。其深远影响是,全球化背景下的技术合作可能面临壁垒,导致供应链的碎片化,并可能增加最终产品的成本和减缓创新速度。医疗设备安全已不再仅仅是技术问题或医疗问题,它已成为地缘政治博弈的焦点,可能引发全球科技供应链的结构性调整。
超筑牢数字防线:监管与技术双管齐下
面对日益复杂的医疗设备网络安全威胁,筑牢数字防线需要监管和技术双管齐下的全面策略。
- 监管之盾:全球法规的努力与挑战
全球各国和地区都在努力通过法规来加强医疗设备的网络安全,但仍存在挑战。
|
地区 |
主要法规 |
适用范围 |
核心网络安全要求 |
明确性与强制性 |
|
欧盟 |
《网络弹性法案》(CRA) |
数字产品(不含医疗设备) |
整个设备生命周期安全、供应链控制、长期安全更新 |
明确且强制 |
|
欧盟 |
《医疗器械法规》(MDR) |
医疗器械 |
类似CRA,但要求不太明确 |
相对不明确 |
|
美国 |
《联邦食品、药品和化妆品法案》(FD&C Act) |
医疗器械 |
监控和解决上市后漏洞、提供软件物料清单(SBOM) |
高级 |
在欧盟,《网络弹性法案》(CRA)对数字产品提出了强制性的网络安全要求,涵盖了设备生命周期、供应链控制和长期安全更新 。然而,值得注意的是,该法案不适用于医疗设备。医疗设备的网络安全则由《医疗器械法规》(MDR)管理,尽管MDR也有类似的要求,但其明确性不如CRA 。
在美国,《联邦食品、药品和化妆品法案》(FD&C Act)定义了高级网络安全要求,例如要求制造商监控和解决上市后漏洞,并提供软件物料清单(SBOM) 。此外,FDA还发起了家庭医疗保健倡议,旨在确保居家医疗技术能够无缝集成到安全、患者友好的生态系统中 。
欧盟《网络弹性法案》对数字产品提出了明确且强制性的网络安全要求,但却将医疗设备排除在外,转而由要求“不太明确”的MDR管理。这种监管上的“碎片化”和“不一致”可能导致医疗设备领域出现“安全洼地”,即最关键、最敏感的数字产品未能获得最严格的监管保护。这不仅可能让恶意行为者有机可乘,也给制造商带来了合规的复杂性,最终可能损害患者安全。因此,监管机构急需弥合不同法规之间的鸿沟,确保医疗设备获得与甚至超越其他数字产品同等或更严格的网络安全标准,以避免因监管盲区而造成的系统性风险。
技术之矛:前瞻性安全措施
除了监管,技术保障措施也至关重要,它们能够从源头和全生命周期层面提升医疗设备的安全性。
|
技术措施 |
描述 |
风险缓解作用 |
|
信任根(Root of Trust) |
在制造第一阶段,将安全芯片(如eSIM或TPM)嵌入设备电路板。 |
通过加密检查防止未经授权的软件更改,确保硬件供应链安全;TPM可安全存储密钥并执行启动完整性检查,远程证明软件合法性。 |
|
安全设计(Security by Design) |
软件子系统根据“最小权限原则”隔离,限制权限。 |
减少漏洞影响范围,即使部分系统被攻破,也能将损害降至最低。 |
|
模块化芯片(Chiplet) |
在硬件层面实现不同供应商组件之间的隔离。 |
类似于软件隔离,当一个组件出现问题时,可将影响范围限制在局部,防止漏洞蔓延。 |
| 零信任模型(Zero Trust Security Model) | 设备部署后,持续对设备和用户进行身份验证,并对网络访问进行分段。 | 假定任何内部或外部实体都不可信,所有访问请求都需验证,有效防范内部和外部威胁。 |
信任根(Root of Trust)是一种在制造第一阶段实施的安全基础。它通过嵌入焊接到设备电路板上的安全芯片(例如eSIM或可信平台模块TPM)来确保硬件供应链安全 。这种方法通过加密检查防止未经授权的软件更改,从而保护设备。eSIM主要用于在蜂窝网络或网络环境中对设备进行身份验证,并提供加密凭证的安全存储 。相比之下,TPM专门为增强设备完整性而设计,它能安全存储加密密钥,并通过记录启动过程中加载的每个组件的加密哈希(度量)来执行完整性检查。TPM允许系统在启动后安全地报告这些测量结果,从而远程证明它们仅运行经过授权且正确签名的软件 。
安全设计(Security by Design)则是一种应用于软件架构的概念。在这种方法中,软件子系统根据“最小权限原则”进行隔离,以减少漏洞的影响 。例如,管理患者数据的软件不应具有不必要的权限,例如控制网络设置,以最大限度地减少泄露时的危害 。类似地,**模块化芯片(Chiplet)**可以在硬件级别实现来自不同供应商的组件之间的类似隔离,从而在某个组件出现问题时,将影响范围限制在局部 。在设计和实施中采用这些安全最佳实践,以及对安全关键组件的正式验证方法,这一点至关重要。
一旦设备部署在医院或居家医疗(HaH)环境中,就可以通过采用**零信任安全模型(Zero Trust Security Model)**来提高安全性 。在零信任模型中,设备和用户持续进行身份验证,并对网络访问进行分段。这意味着不信任任何内部或外部实体,所有访问请求都必须经过验证,从而有效防范内部和外部威胁 。简而言之,需要在IoMT产品的开发和生命周期中应用整体安全架构 。
传统的网络安全往往侧重于在漏洞被发现后进行修补。然而,信任根、安全设计、模块化芯片和零信任模型等技术措施,共同构成了“安全左移”的策略,即在产品设计、开发和制造的最早期阶段就嵌入安全,并在整个生命周期中持续验证。这种范式转变是应对硬件后门和复杂供应链威胁的必然选择,它将安全从一个附加功能转变为产品固有的属性,从而从根本上提升了医疗设备的韧性。医疗科技的未来安全,取决于行业能否彻底摒弃被动修补的思维,全面采纳主动、前瞻、贯穿全生命周期的“安全即设计”理念。
结论与展望:共建安全的医疗科技未来
过去十年,IoMT医疗设备的安全威胁已从单纯的设计漏洞演变为利润驱动或恶意攻击的现实危险 。尽管针对个人的恶意或以利润为动机的攻击并不常见,但现代IoMT供应链中存在的弱点,确实为可能导致此类攻击的事件创造了条件 。
因此,确保医疗科技的安全性,需要制造商和监管机构的共同努力和立即行动。制造商必须在医疗器械制造的最早阶段就主动嵌入强大的安全措施,例如信任根和零信任架构,以防范隐藏在复杂全球供应链深处的无形威胁。同时,监管机构必须紧急扩展和阐明医疗器械法规中的网络安全要求,以实施透明、全面的安全标准。欧盟的《医疗器械法规》(MDR)和《网络弹性法案》以及美国的《联邦食品、药品和化妆品法案》(FD&C Act)提供了基础,但仍需制造商和医疗保健提供商立即采取行动,在漏洞成为主动威胁之前保护硬件、固件和网络完整性 。
- 展望:持续的警惕与创新
随着IoMT应用的加速,确保安全性需要监管执行和主动的行业保护措施 。这场网络安全战役是技术开发人员、管理员与网络攻击者之间永无止境的消耗战 。这表明,医疗科技的安全不再是单一环节的问题,而是整个生态系统(从组件供应商、设备制造商到医疗机构、监管部门乃至最终用户)的共同责任。医疗科技的未来发展,核心在于能否在技术创新与安全保障之间找到平衡点,并通过构建一个多方参与、协同防御的信任生态系统,来应对日益复杂和隐蔽的威胁。
参考资料:
Ostermann, M., Freyer, O., Weinhold, C. et al. How secure are your health devices—stopping wearables becoming a personal and national security risk?. npj Digit. Med. 8, 317 (2025). https://doi.org/10.1038/s41746-025-01710-2
END
编译 | 刘瑄伦
编辑 | 周宇茜
审核 | 医工学人理事会
扫码添加医工学人负责人,进入综合及细分领域群聊(国内外医工交叉领域顶尖高校、科研院所、医院、企业等专家学者、硕博士、工程师、企业家等),参与线上线下交流活动
推荐阅读
医工简报 | 用于帕金森病诊断的神经网络辅助个性化笔迹分析;光声显微技术无创解析脓毒症脑血管病变与神经功能障碍关联;
点击关注医工学人
本篇文章来源于微信公众号: 医工学人
