作者:吉姆·芬克尔
(路透社)- 强生公司正在告知患者,公司已获悉其一款胰岛素泵中的一个安全漏洞,黑客可能利用该漏洞给糖尿病患者注射过量胰岛素,尽管该公司称风险较低。
医疗设备专家表示,他们认为这是制造商首次就网络漏洞向患者发出此类警告,继上个月有关心脏起搏器和除颤器可能存在漏洞的披露之后,这已成为行业内的热门话题。
支持科学新闻报道
如果您喜欢这篇文章,请考虑通过以下方式支持我们屡获殊荣的新闻报道 订阅。 通过购买订阅,您将有助于确保有关塑造当今世界的发现和想法的具有影响力的故事的未来。
强生公司高管告诉路透社,他们不知道有任何针对该设备(强生公司 Animas OneTouch Ping 胰岛素泵)的黑客攻击企图的例子。 尽管如此,该公司仍在警告客户,并提供有关如何解决该问题的建议。
该公司在周一发送给医生以及在美国和加拿大约 114,000 名设备用户的信函中表示:“未经授权访问 OneTouch Ping 系统的可能性极低。”
“这将需要技术专长、精密设备和靠近泵的位置,因为 OneTouch Ping 系统未连接到互联网或任何外部网络。”
路透社获得了一封信函文本的副本。
Animas OneTouch Ping 于 2008 年推出,随附无线遥控器,患者可以使用该遥控器命令泵输注胰岛素,这样他们就不需要接触设备本身,设备通常穿在衣服下面,难以触及。
网络安全公司 Rapid7 Inc 的糖尿病患者兼研究员杰伊·拉德克利夫表示,他已发现黑客可以欺骗遥控器和 OneTouch Ping 胰岛素泵之间通信的方法,从而可能迫使泵输送未经授权的胰岛素注射。
拉德克利夫表示,该系统易受攻击,因为这些通信未加密或打乱,无法阻止黑客访问该设备。拉德克利夫于 4 月向强生公司报告了该泵的漏洞。
强生公司高管表示,他们与拉德克利夫合作处理了安全问题。
强生公司糖尿病部门首席医疗官布赖恩·利维表示,给患者注射过量胰岛素可能会导致低血糖症,在极端情况下可能会危及生命。
利维表示,公司技术人员能够复制拉德克利夫的发现,证实黑客可以从最远 25 英尺的距离命令泵输注胰岛素。 他说,此类攻击难以实施,因为它们需要专门的技术专长和精密设备。
利维说:“我们相信 OneTouch Ping 系统是安全可靠的。 我们敦促患者继续使用该产品。”
强生公司的信函称,如果患者担心,他们可以采取多项措施来阻止潜在的攻击。 这些措施包括停止使用无线遥控器,以及对泵进行编程以限制最大胰岛素剂量。
FDA 关于医疗器械的指南
8 月,一位著名的卖空者和一家网络安全研究公司公开指控圣犹达医疗公司的心脏设备存在潜在的危及生命的网络漏洞。
随着股价暴跌,圣犹达表示这些指控不实,美国食品和药物管理局开始了调查。
FDA 正在准备发布关于医疗器械制造商应如何处理有关网络漏洞的报告的正式指南。
该指南的早期草案于 1 月发布以征求公众意见,呼吁设备制造商与安全研究人员合作,确定减轻风险的步骤,并向患者提供有关漏洞的信息,以便他们可以就设备使用“做出知情决定”。
FDA 拒绝就强生公司处理胰岛素泵漏洞一事置评。
强生公司表示,在发送信函之前,已与 FDA 审查了此事。
拉德克利夫表示,他认为,如果 OneTouch Ping 用户遵循强生公司信函中概述的步骤,他们将是安全的。
他说:“他们可以让使用该设备的患者或孩子的父母安心。”
强生公司首席信息安全官马琳·艾莉森表示,她的团队将确保其他强生公司产品没有类似的漏洞。
拉德克利夫表示,他发现了 Animas OneTouch Ping 中的漏洞,但没有发现 Animas Vibe 系列胰岛素泵中的漏洞。
FDA 负责审查医疗器械漏洞的官员苏珊娜·施瓦茨在一份声明中表示,她鼓励研究人员和设备制造商之间进行合作,以识别、补救漏洞并提醒公众注意漏洞。
她说:“这使所有利益相关者能够本着患者健康的利益,更好地解决设备安全问题。”
FDA 表示,据其所知,尚无黑客利用网络漏洞危害患者的案例。
该机构去年发布了多项关于 Hospira 输液泵网络漏洞的警告,Hospira 此后已被辉瑞公司收购。