當(dāng)黑客侵入了某臺設(shè)備后,他們就潛伏在那里,將這臺儀器作為永久基地,從那里偵測整個醫(yī)院的網(wǎng)絡(luò)
“FDA似乎要等到真的有人被殺死才會說,‘好吧,是的,這是我們需要擔(dān)憂的問題’”
2013年秋,比利·里奧斯(Billy Rios)從他位于加利福尼亞州的家中飛往明尼蘇達州的羅切斯特,來到全球最大的非營利性綜合醫(yī)療機構(gòu)梅奧診所(Mayo Clinic)接受一項任務(wù)。里奧斯是一位“白帽”黑客,也就是說客戶會雇用像他這樣的人侵入自己的電腦系統(tǒng)。他的客戶名單包括五角大樓、主要的國防承包商、微軟、谷歌和其他一些他不方便透露的名字。他擺弄的對象包括武器系統(tǒng)、飛機零件甚至電網(wǎng),侵入華盛頓州最大的公用事業(yè)區(qū)的網(wǎng)絡(luò),向官員們展示他們可以如何改進公共安全。相比之下,梅奧診所的這項任務(wù)顯得平淡得多。他猜想自己只需要做一些例行的尋找漏洞的工作,單獨一人在整潔安靜的房間里忙活一周就行了。
但當(dāng)他抵達這里時,他驚訝地發(fā)現(xiàn)會議室里滿是熟悉的面孔。梅奧診所召集了一個全明星陣容,這些人里面有大約一打電腦高手、來自這個國家最大的一些網(wǎng)絡(luò)安全公司的調(diào)查員以及在黑帽技術(shù)大會(Black Hat)和年度黑客大會(Def Con)這類會議上技驚四座的那種黑客。這些研究人員被分成幾組,醫(yī)院管理人員將大約40種不同的醫(yī)療設(shè)備擺在他們面前。竭盡所能搞破壞,使出一切黑客手段來攻擊它們——這就是研究人員接到的指令。
如今醫(yī)療設(shè)備都聯(lián)網(wǎng)了,就像手提電腦和智能手機,這些設(shè)備運行著標(biāo)準(zhǔn)的操作系統(tǒng),活在互聯(lián)網(wǎng)上。和包括汽車與花園噴灑器在內(nèi)的物聯(lián)網(wǎng)的其他組成部分一樣,它們與服務(wù)器相通,許多設(shè)備可以被遠(yuǎn)程控制。對里奧斯來說,有一點變得顯而易見,就是醫(yī)院的管理人員的確有很多理由擔(dān)心黑客。
里奧斯稱:“每一天,那場面就好像是菜單上的每一臺設(shè)備都被碾壓了一樣。情況非常糟糕。”這些工作小組沒有時間去深入研究他們所發(fā)現(xiàn)的這些設(shè)備的弱點,這在一定程度上是因為他們發(fā)現(xiàn)了太多這樣的問題——毫無防御能力的操作系統(tǒng)、無法更改的通用密碼等。
從這些白帽黑客的入侵活動中發(fā)現(xiàn)問題的梅奧診所向其醫(yī)療設(shè)備供應(yīng)商提出了新的安全要求,規(guī)定在簽訂采購合同前對每臺設(shè)備都進行測試,以確保它們符合標(biāo)準(zhǔn)。里奧斯對這家醫(yī)院的舉動表示贊賞,但他知道只有為數(shù)不多的醫(yī)院擁有足夠的資源和影響力可以做到這一點,而且他在完成這項工作時已經(jīng)深信不疑:醫(yī)院遲早會被黑客入侵,受到傷害的會是病人。由于職業(yè)關(guān)系,他獲得了深入窺探各種敏感行業(yè)的特權(quán),而醫(yī)院看起來至少比標(biāo)準(zhǔn)的安全水準(zhǔn)落后了10年。里奧斯稱:“有人會采取進一步舉動。只要有人開始嘗試,他們就能夠做到這一點。阻止他們下手的唯一手段就是指望他們能良心發(fā)現(xiàn)。”
里奧斯現(xiàn)年37歲,曾在美國海軍陸戰(zhàn)隊效力,而且參加過伊拉克戰(zhàn)爭。在海軍陸戰(zhàn)隊服役期間,里奧斯為信號情報部門工作,后來在美國國防部信息系統(tǒng)局謀得差事。他的家庭辦公室被電腦、一臺焊接機和大量醫(yī)療設(shè)備擠得滿滿的。
在完成梅奧診所的工作后不久,里奧斯訂購了他的第一臺醫(yī)療設(shè)備——Hospira公司制造的一臺Symbiq輸液泵。他沒有刻意針對某個特定的制造商或產(chǎn)品型號展開調(diào)查;他只是碰巧在eBay上看到了售價大約為100美元的這么一臺設(shè)備。在沒有得到某種許可的情況下購買這樣一臺設(shè)備是合法的嗎?他感到困惑。
在每一間病房里幾乎都可以看到輸液泵,通常它們被固定在病人床邊的一個金屬架上,自動將靜脈滴注、可注射藥物或其他液體輸入病人的血流當(dāng)中。Hospira于2015年被輝瑞制藥公司(Pfizer)收購,該公司在輸液泵市場上占據(jù)主導(dǎo)地位。在該公司網(wǎng)站上,有文章解釋說,這種“智能輸液泵”旨在通過實現(xiàn)靜脈藥物輸送自動化來提高病人的安全保障,文章稱,輸液不當(dāng)在所有用藥錯誤當(dāng)中占56%。
里奧斯把買來的輸液泵連接到網(wǎng)絡(luò)上后發(fā)現(xiàn),對這臺設(shè)備進行遠(yuǎn)程控制并在觸摸屏上“按下”按鈕可以做到,就像真的有人站在這臺設(shè)備前操作一樣,可以將儀器設(shè)定為把整瓶藥水都輸入病人體內(nèi)。他說,如果有醫(yī)生或護士站在儀器面前,或許可以發(fā)現(xiàn)設(shè)備被遠(yuǎn)程操控,能夠在整瓶藥水滴空前停止這種輸入,但如果由醫(yī)院員工在集中監(jiān)測站負(fù)責(zé)照看輸液泵,就不會注意到這點。
2014年春,里奧斯將他的發(fā)現(xiàn)打成定稿,發(fā)送給美國國土安全部下屬的工業(yè)控制系統(tǒng)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組(ICS-CERT)。他列出了自己發(fā)現(xiàn)的弱點,并建議Hospira進行進一步分析以回答兩個問題:在Hospira的其他設(shè)備中是否也存在同樣的脆弱性問題?這種漏洞可能給病人帶來什么樣的潛在后果?美國國土安全部轉(zhuǎn)而聯(lián)系了美國食品藥品監(jiān)督管理局(FDA),后者把這份報告轉(zhuǎn)給了Hospira。幾個月后,里奧斯沒有收到任何回應(yīng)。里奧斯稱:“FDA似乎要等到真的有人被殺死才會說,‘好吧,是的,這是我們需要擔(dān)憂的問題。’”
里奧斯是近幾年來針對醫(yī)療設(shè)備領(lǐng)域展開獨立調(diào)查的一小群人士之一,他們利用自己發(fā)現(xiàn)的安全漏洞來引發(fā)巨大影響。杰伊·拉德克利夫(Jay Radcliffe)是一名研究人員,也是糖尿病患者,他現(xiàn)身2011年的年度黑客大會,向觀眾展示了他如何操縱自己的美敦力(Medtronic)胰島素泵,讓它釋放出可能致命的劑量。第二年,來自新西蘭的黑客巴納比·杰克(Barnaby Jack)在澳大利亞舉行的會議上展示了他如何遠(yuǎn)程入侵一臺起搏器,讓它發(fā)出一次危險的顫動。2013年,在原定參加黑帽技術(shù)大會的前一周,杰克死于藥物過量。他原本許諾將在此次會議上公布一個系統(tǒng),這個系統(tǒng)能夠?qū)⑷魏瓮ㄟ^無線連接的胰島素泵精確定位在90米的半徑范圍內(nèi),然后改變這些設(shè)備所管理的胰島素劑量。
這種攻擊行為令設(shè)備制造商和醫(yī)院管理者感到憤怒,他們說,這種表演出來的黑客行為讓公眾因為恐慌而對那些利遠(yuǎn)大于弊的科技敬而遠(yuǎn)之。在2014年的行業(yè)論壇上,某家醫(yī)院的信息技術(shù)管理人士猛烈抨擊里奧斯和其他研究人員,稱他們在沒有任何一例患者傷害事故可歸咎于醫(yī)療設(shè)備網(wǎng)絡(luò)安全松懈的情況下就歇斯底里地煽風(fēng)點火。美國聯(lián)盟醫(yī)療體系(Partners HealthCare System)的無線通信經(jīng)理里克·漢普頓(Rick Hampton)稱:“我很感謝你們想要參與進來,但是坦白說,你們在《國民問詢》(National Enquirer)周刊上擬出的標(biāo)題帶來的只有問題,而沒有任何作用。”還有一次,在一個有很多業(yè)內(nèi)管理人士和聯(lián)邦官員旁聽的電話會議上,設(shè)備供應(yīng)商們沖著里奧斯大聲呼叱。
里奧斯說:“他們所有的設(shè)備都名不副實,所有的系統(tǒng)都名不副實。所有的臨床應(yīng)用也都名不副實——但沒人在乎。這很荒唐,對吧?任何試圖證明這種現(xiàn)狀合理的人都不是生活在現(xiàn)實世界中,他們生活在幻境中。”
2014年秋天,總部位于加州圣馬特奧的TrapX Security的分析師開始在60多家醫(yī)院安裝追蹤醫(yī)療設(shè)備黑客行為的軟件。TrapX創(chuàng)建了特定醫(yī)療設(shè)備的虛擬副本,然后進行安裝,就好像它們在網(wǎng)上而且在運行一樣。對黑客來說,由TrapX安插的虛擬CT掃描儀的操作系統(tǒng)看起來和真的沒有區(qū)別。但是,虛擬設(shè)備可以讓TrapX監(jiān)控黑客們在整個醫(yī)院網(wǎng)絡(luò)的活動。6個月后,TrapX得出結(jié)論,所有醫(yī)院里面都有曾經(jīng)被惡意軟件感染過的醫(yī)療設(shè)備。
在多起案例中,黑客們對醫(yī)院員工實施“魚叉式網(wǎng)絡(luò)釣魚”攻擊,誘使他們打開看起來像是來自已知發(fā)件人的電子郵件,當(dāng)他們上鉤之后,病毒就會感染醫(yī)院的電腦。在一個案例中,黑客滲透到一個護士站的電腦里,從那里開始將惡意軟件散播到整個網(wǎng)絡(luò),最終溜進放射性儀器、血氣分析儀和其他設(shè)備。許多儀器運行的是便宜、老舊的操作系統(tǒng),如Windows XP,甚至Windows 2000。醫(yī)院的防病毒保護系統(tǒng)很快對電腦進行了殺毒清洗,但這些醫(yī)療設(shè)備就沒有這么好的防御系統(tǒng)了。
TrapX的總經(jīng)理卡爾·賴特(Carl Wright)稱,參與這項研究的醫(yī)院都依賴設(shè)備制造商來維護儀器的安全。這種服務(wù)是不定期的,而且是應(yīng)對性的而不是預(yù)防性的。賴特稱:“醫(yī)療設(shè)備不會在遭受攻擊時向醫(yī)療保健提供商發(fā)出警告,它們根本沒有自我保護能力。”賴特以前曾是美國軍方的信息安全官員。
當(dāng)黑客侵入了某臺設(shè)備后,他們就潛伏在那里,將這臺儀器作為永久基地,從那里偵測整個醫(yī)院的網(wǎng)絡(luò)。賴特稱,他們的目標(biāo)是竊取個人醫(yī)療數(shù)據(jù)。
醫(yī)療檔案常常包含信用卡信息,還有社會保險號碼、地址、生日、家族關(guān)系和醫(yī)療病史——這些信息可以用來創(chuàng)建虛假身份與信貸額度,從而實施保險詐騙甚至敲詐勒索。單單一個信用卡號在網(wǎng)絡(luò)黑市上的售價往往不超過10美元;而醫(yī)療檔案能夠賣出10倍于它的價格。對于黑客來說,他們在乎的就是轉(zhuǎn)售價值。
TrapX的分析師在醫(yī)院里設(shè)置的誘捕設(shè)備可以讓他們觀察那些試圖通過受感染設(shè)備將醫(yī)療記錄偷出醫(yī)院的黑客。賴特稱,這種追蹤把他們帶到東歐的一臺服務(wù)器,這臺服務(wù)器被認(rèn)為是受控于一個臭名昭著的俄羅斯犯罪團伙。總的說來,他們會從東歐的這臺控制服務(wù)器登錄,侵入一臺血氣分析儀;然后,他們會從這臺儀器進入一個數(shù)據(jù)源,把數(shù)據(jù)記錄拖回到血氣分析儀,然后偷走。賴特稱,之所以能夠斷定黑客是通過醫(yī)療設(shè)備來竊取數(shù)據(jù),是因為在一臺血氣分析儀中發(fā)現(xiàn)了本不該在那里出現(xiàn)的病人數(shù)據(jù)。
除了這種命令與控制惡意軟件可以令數(shù)據(jù)記錄失竊外,TrapX還發(fā)現(xiàn)了一種名叫Citadel的勒索軟件,它能限制電腦用戶使用文檔,這樣黑客就會要求電腦用戶付款,才能重新獲得使用權(quán)。研究人員發(fā)現(xiàn),沒有證據(jù)表明黑客真的在這些儀器上安裝了勒索軟件,但僅僅是這種軟件的存在就足以令人不安。
醫(yī)院對網(wǎng)絡(luò)入侵行為一般都秘而不宣。即使是這樣,還是會有一些關(guān)于惡意軟件帶來破壞的零星報道出現(xiàn)。2011年,佐治亞州勞倫斯維爾的醫(yī)療中心Gwinnett Medical Center對所有非急診病人關(guān)閉3天,因為一種病毒使其電腦系統(tǒng)陷入癱瘓。美國和澳大利亞的醫(yī)生辦公室曾報告過一些網(wǎng)絡(luò)犯罪行為的案例,在這些案例中,黑客對病人數(shù)據(jù)庫加密并索取贖金。審計公司畢馬威(KPMG)在2015年8月公布的一項調(diào)查顯示,81%的醫(yī)療信息技術(shù)管理人士曾表示,他們工作場所的電腦系統(tǒng)在過去兩年內(nèi)曾經(jīng)遭受過網(wǎng)絡(luò)攻擊。
目睹這一切,里奧斯變得很焦慮,希望聯(lián)邦監(jiān)管機構(gòu)能注意到他在Hospira輸液泵上發(fā)現(xiàn)的弱點。2014年夏季,他向國土安全部發(fā)去提醒函,詢問Hospira是否已經(jīng)響應(yīng)他的建議。據(jù)國土安全部回復(fù)的郵件顯示,該公司“對于驗證其他輸液泵是否易受攻擊不感興趣”。幾周后,里奧斯發(fā)現(xiàn)自己也處在一個容易受攻擊的位置:躺在一張病床上動彈不得,竟然要完全依賴一臺輸液泵。
2014年7月底,里奧斯開始在睡覺時鼾聲大作,嚴(yán)重干擾了他的睡眠,迫使他跑去看醫(yī)生,醫(yī)生在他的鼻腔里靠近腦膜的地方發(fā)現(xiàn)了一塊息肉。這塊息肉被切除了——這只是一個簡單的門診手術(shù)——但是幾天之后,里奧斯出現(xiàn)了發(fā)燒癥狀,還發(fā)現(xiàn)有透明的液體從他的鼻子里流出來。
他在斯坦福醫(yī)院待了兩周,病房里滿是各種曾經(jīng)被他侵入的醫(yī)療設(shè)備。他的病床和一個網(wǎng)絡(luò)接口相連。他的腿上纏繞著壓力綁帶,定時擠壓他的小腿以促進血液循環(huán),它們也是和一臺電腦相連的。他數(shù)了一下,他的病房里一共有16臺聯(lián)網(wǎng)設(shè)備,還有8個無線接入點。在這些設(shè)備中,最顯眼的一臺就是CareFusion輸液泵。這臺機器控制著輸入他手臂的液體。他注意到同屋的另一位病人使用的是一臺Hospira輸液泵。里奧斯說:“我不停地想,‘我該告訴他嗎?’”最終,他選擇保持沉默。
當(dāng)他能夠掙扎著爬下床時,里奧斯把他的輸液泵推進了浴室,在這里好好觀察了一下。他回憶說:“我看著無線網(wǎng)卡,按下上面的按鈕,看看我能進入什么樣的菜單。”結(jié)果更加深了他的憂慮。“無論他們使用什么Wi-Fi密碼來讓這臺輸液泵加入網(wǎng)絡(luò),我總能輕而易舉地破解。 ”
在走廊里,里奧斯發(fā)現(xiàn)了一個由電腦控制的藥品柜。醫(yī)生和護士通常使用編碼身份識別卡來進行操作。但是里奧斯知道這個系統(tǒng)有內(nèi)置漏洞:一個硬編碼密碼就能打開柜子里的所有抽屜。這種通用密碼在很多醫(yī)療設(shè)備中很常見,而且其中的許多密碼是無法更改的。里奧斯和一位工作伙伴已經(jīng)就這些密碼的脆弱性向國土安全部發(fā)出了警告,該機構(gòu)也將他的發(fā)現(xiàn)通知了供應(yīng)商。但是,他們什么也沒有做,至少在這家醫(yī)院是這樣。他很快發(fā)現(xiàn),這臺設(shè)備抽屜里的所有藥品他原本都可以自由拿取。“這個時候他們還沒有修復(fù)這個問題,所以我在上面試了幾個密碼,然后我的反應(yīng)是,‘還真能打開?。?rsquo;”
當(dāng)他出院之后,他試圖重新給Hospira以壓力。他已經(jīng)告訴聯(lián)邦政府他知道如何破壞這些輸液泵,但當(dāng)他返回家中后,他決定錄制一個視頻來說明他可以如何輕易地做到這一點。他把攝像頭直接對準(zhǔn)輸液泵的觸摸屏,然后演示如何遠(yuǎn)程按動按鈕,快速突破密碼保護,給注入器解鎖,然后隨心所欲地進行操控。然后,他寫出了樣本計算機代碼,把它發(fā)送給國土安全部和美國食品藥品監(jiān)督管理局,這樣他們就可以親自測試一下他的工作。
里奧斯稱:“我們不得不拍攝視頻,寫出可能真正致人于死地的漏洞代碼,才能讓這件事受到認(rèn)真對待。事情不該是這樣的。”
但是,此舉引起了FDA的注意。最終,在里奧斯提出警告一年多之后,F(xiàn)DA于2015年7月發(fā)布了一份公告,敦促醫(yī)院停止使用Hospira公司的Symbiq輸液泵,因為這種設(shè)備可能允許未經(jīng)授權(quán)的使用者控制它并改變輸液泵輸送的藥品劑量。FDA下屬機構(gòu)醫(yī)療器械與輻射健康中心負(fù)責(zé)協(xié)調(diào)網(wǎng)絡(luò)安全動議的蘇珊娜·施瓦茨(Suzanne Schwartz)稱:“此舉開創(chuàng)了先例,這是我們第一次專門因為網(wǎng)絡(luò)安全問題而召回一種產(chǎn)品。”輝瑞公司發(fā)言人麥凱·吉姆森(MacKay Jimeson)稱:“臨床情況下,還沒有已知的Hospira產(chǎn)品被黑客入侵的案例,而且公司已經(jīng)與業(yè)內(nèi)利益相關(guān)者合作,確保這種情況不會發(fā)生。”
醫(yī)學(xué)研究界沒有因為這份公告而歡慶勝利。Hospira表示,它將和供應(yīng)商合作以糾正任何存在的問題,而且Symbiq型號的產(chǎn)品已經(jīng)從市場下架。但是,F(xiàn)DA這份公告的作用僅此而已:它沒有強迫該公司修復(fù)已經(jīng)在醫(yī)院和診所使用的這種儀器,它也沒有要求該公司證明類似的網(wǎng)絡(luò)安全漏洞不會影響其他型號的輸液泵。對于一些研究人員來說,這份公告所代表的勝利不具任何實質(zhì)意義。
FDA面臨棘手的挑戰(zhàn):它所要擬定的規(guī)則既要有足夠的具體性,使其能真正發(fā)揮作用,又要有足夠的普遍性,比不斷突變的威脅更能持久,而且對規(guī)則修訂的速度要比該機構(gòu)必須認(rèn)證的產(chǎn)品的更新速度快得多。該機構(gòu)于2014年10月敲定了一套指導(dǎo)方針,建議——而不是要求——醫(yī)療設(shè)備制造商在他們的設(shè)計和開發(fā)階段考慮網(wǎng)絡(luò)安全風(fēng)險,還要求他們向該機構(gòu)遞交文件資料,確認(rèn)他們已經(jīng)發(fā)現(xiàn)的任何潛在風(fēng)險。但是,這個義務(wù)不僅僅落在制造商的肩上;施瓦茨強調(diào),醫(yī)療保健提供商和監(jiān)管機構(gòu)也必須參與解決這個難題,她把這個挑戰(zhàn)稱為“一項共擔(dān)的責(zé)任和一份共享的所有權(quán)”。
說到分?jǐn)傌?zé)任,麻煩就來了。在這套指導(dǎo)方針公布之后,美國醫(yī)院協(xié)會(American HospitalAssociation)致信FDA稱,醫(yī)療保健提供商很樂于做好自己份內(nèi)的事,但它敦促該機構(gòu)采取更多措施“讓設(shè)備制造商為網(wǎng)絡(luò)安全負(fù)起責(zé)任”。該協(xié)會稱,設(shè)備供應(yīng)商必須更迅速地對弱點做出反應(yīng),在問題發(fā)生時及時進行修復(fù)。與此同時,設(shè)備供應(yīng)商指出,犯罪分子如果不能首先突破醫(yī)院和診所的防火墻,就無法侵入他們的設(shè)備;那么,在醫(yī)療保健提供商顯然有必要增強他們自己的網(wǎng)絡(luò)保護措施的情況下,為什么每個人談?wù)摰亩际菍υO(shè)備的監(jiān)管?FDA發(fā)布公告之后,Hospira在一份聲明中將醫(yī)院防火墻和網(wǎng)絡(luò)安全列為“抵御醫(yī)療設(shè)備篡改行為的主要防線”,還表示它自己內(nèi)部的保護只是“額外增加了一層安全系數(shù)”。還有人認(rèn)為,里奧斯等安全研究人員正在迫使這個行業(yè)采取的安全措施可能會給患者護理帶來阻礙。
在由FDA發(fā)起的論壇上,來自波士頓麻省總醫(yī)院的麻醉師引用了自動藥品柜(類似于里奧斯成功打開的那一個)為例來說明自己的觀點。在里奧斯告訴政府這些密碼容易遭受攻擊之后,有些醫(yī)院開始實行指紋掃描作為備用的安全措施。朱利安·戈德曼醫(yī)生(Dr.Julian Goldman)說:“現(xiàn)在,手術(shù)室里的人員通常會戴手套。”他指出,手忙腳亂地摘下手套,擺弄存放藥品的抽屜,還要確保被污染的血液不沾在裸露的手上,再重新套上手套——這不但麻煩,而且有可能是一種危險的、浪費時間的行為。戈德曼稱:“當(dāng)你轉(zhuǎn)過身去想要夠著這些抽屜時,你聽到喀喀喀喀的聲音,它們鎖住了——就在你想要打開抽屜取一件重要藥品的時候。”
里奧斯稱,只要制造商或醫(yī)院真的行動起來,他不在乎他們到底如何修復(fù)這個問題。Hospira的事例讓他相信,要實現(xiàn)這個目標(biāo)的唯一途徑就是繼續(xù)向制造商施壓,大聲喊出他們的名字,直到他們被迫關(guān)注這個問題。自動藥品柜并不是他發(fā)現(xiàn)的唯一使用硬編碼密碼的設(shè)備;里奧斯和研究伙伴特里·麥科克爾(Terry McCorkle)一起,發(fā)現(xiàn)由大約40家不同公司制造的約300種不同設(shè)備存在這同一個弱點。當(dāng)政府在發(fā)布關(guān)于這個問題的通告時,沒有公布這些供應(yīng)商的名字,里奧斯稱,這些供應(yīng)商都沒有修復(fù)密碼問題。他說:“現(xiàn)狀告訴我,如果不對某家特定的供應(yīng)商施壓,他們是不會采取任何行動的。”
自FDA關(guān)于Hospira的公告于2015年7月發(fā)布以來,成箱的醫(yī)療設(shè)備被不斷運抵里奧斯的家門口。沒有人付錢來讓他侵入自己的系統(tǒng),也沒有人為他報銷費用。他說:“我很幸運,我一直做得很成功,所以購買一臺2000美元的輸液泵對我來說沒什么大不了的,只要有時間我就會研究它。”
然而,對于新晉的獨立研究人員來說,無法獲取設(shè)備可能成為阻止他們跨入研究門檻的障礙。輸液泵相對來說還比較便宜,但核磁共振成像設(shè)備至少要花上幾萬美元。而且購買放射性設(shè)備還需要有特別許可證。為了鼓勵更多人來研究這些設(shè)備,里奧斯正在努力創(chuàng)建一個出租醫(yī)療設(shè)備的圖書館;他和研究伙伴已經(jīng)開始游說醫(yī)院讓他們使用舊設(shè)備,他們還希望通過眾籌方式購買新設(shè)備。
和里奧斯的努力相比,2015年圍繞Hospira公告所產(chǎn)生的喧囂也許更能吸引新的研究人員加入這個領(lǐng)域。密歇根大學(xué)阿基米德醫(yī)療設(shè)備安全研究中心(Archimedes Research Center for Medical Device Security)的負(fù)責(zé)人、工程教授Kevin Fu十多年來一直在調(diào)查醫(yī)療設(shè)備安全問題,他發(fā)現(xiàn)2015年人們對這個領(lǐng)域的興趣比以往任何時候都要強烈。他說:“每天我都會聽到一個以往從未聽說過的名字,這個人以前從未做過和醫(yī)療設(shè)備有關(guān)的研究。然后出人意料地,他們發(fā)現(xiàn)了一些問題。”
在一個陽光燦爛的秋日,里奧斯從市中心一家星巴克匆匆購買了一杯冰咖啡。他要讓自己振作起來。也許在空閑的時候,他會抓起辦公室里的某臺設(shè)備,看看自己能找到里面的什么漏洞。這些設(shè)備當(dāng)中的一臺正在強有力地吸引著他,就像在請求被黑一樣。2014年出院之后,他在網(wǎng)上閑逛,發(fā)現(xiàn)了一臺CareFusion輸液泵,和束縛了他兩周時間的那臺設(shè)備一模一樣。現(xiàn)在,這臺設(shè)備就立在他辦公室的檔案柜邊上。
“它是我的下一個目標(biāo)。”里奧斯說。