强生告知患者,该公司发现旗下一款胰岛素泵存在网络安全漏洞,电脑黑客或许会利用该漏洞在糖尿病患者体内释放过量的胰岛素,但该公司同时也表示,这种漏洞遭黑客攻击的风险较低。医疗器械专家表示,他们认为这是首次医疗器械生产商就器械网络安全问题向患者发布警告,而上个月一个热门话题表明起搏器和除颤器可能存在漏洞。
强生高管对路透社讲,他们还未发现试图攻击其器械- Animas OneTouch Ping 胰岛素泵的案例。虽然如此,该公司还是对顾客进行了提醒,并对如何修复漏洞提供建议。「越权访问 OneTouch Ping 系统的概率是极其低的,」该公司在 10 月 3 月给医生及美国与加拿大大约 11.4 万该器械使用者寄出的信件中称。该信件内容还提供给了路透社。
强生发布该警告一个月前,一家著名的卖空及网络安全研究公司公开指控圣裘德医疗公司心脏器械可能存在危及生命的网络漏洞。随着圣裘德医疗公司股价暴跌及美国 FDA 展开调查,该公司辟谣称这种指控是假的。
对于医疗器械制造商如何处理有关网络漏洞的报告,美国 FDA 正准备发布正式指南。强生表示,该公司在发布警告信之前针对这一问题同 FDA 一起进行了审查。该指南初稿在今年 1 月份向公众征求意见,指南呼吁器械制造商与安全研究人员合作,确定规避风险的步骤,为患者提供有关漏洞的信息,以便患者对器械使用做出明智的决定。
FDA 拒绝就强生对其胰岛素泵安全性的处理做出置评,患者在使用强生这款医疗器械时,可以将器械连到身体上,器械通过导管向身体注射胰岛素。强生高管对路透社称,他们针对安全性问题同 Radcliffe 进行了合作,Radcliffe 是一名糖尿病患者,也是网络安全性公司 Rapid7 著名的医疗器械黑客研究人员,他在今年 4 月份报告了胰岛素泵的漏洞。
Animas OneTouch Ping 出售带有无线摇控,患者可以利用遥控释放胰岛素,而不需要接触器械本身,因为器械往往穿在衣服下面,难以触摸到。Radcliffe 称他确定了黑客在遥控与 OneTouch Ping 胰岛素泵之间进行信息攻击的方法,通过干扰信息可以使器械擅自注射胰岛素。给患者注射太多的胰岛素可引起低血糖症(低血糖),极端情况下这可能是危及生命的,强生糖尿病单元首席医疗官 Levy 称。
该器械是脆弱的,因为通讯系统未被加密来阻止黑客访问器械,Radcliffe 如是称。Levy 称,公司技术人员能够复制 Radcliffe 的结果,证实黑客可以在 25 英尺距离使胰岛素泵释放胰岛素,不过他表示,这种攻击难以实现,因为他们需要专门的技术知识与尖端设备。「我们认为 OneTouch Ping 系统是安全可靠的。我们鼓励患者继续使用这款产品,」Levy 称。
强生在信件中称,如果患者担心,他们可以采取几个步骤来阻止潜在的攻击。这些措施包括中止使用无线遥控,对胰岛素泵进行设置,限制胰岛素的最大注射剂量。Radcliffe 称他认为 OneTouch Ping 用户如果遵循强生信件中描述的步骤,那他们将会是安全的。
「它们可以为患者或使用该器械儿童的父母带来心灵的安慰,」他表示道。强生首席信息安全官 Allison 称她的团队将确保其它强生产品不会有类似的漏洞。Radcliffe 表示,他发现了 Animas OneTouch Ping 中的漏洞,但不是胰岛素泵 Animas Vibe 的漏洞。
Schwartz 是 FDA 一名负责审评医疗器械漏洞的官员,她在一份声明中表示,她鼓励研究人员与器械生产商进行合作,以确定、修复并提醒公众这些漏洞。她表示:「这能够使所有利益相关者更好地解决器械安全,时时刻刻关注患者的健康。」FDA 表示,它还还未听说黑客利用网络漏洞伤害患者的案例。自去年辉瑞收购赫士睿以来,FDA 对其输液泵网络漏洞发布了多项警告。