医疗器械企业为何要重视网络安全?
健康新闻 2023-09-16 15:02健康新闻www.xinxueguanw.cn
近日,阿里巴巴达摩院正式发布2022十大科技趋势,涵盖范式充值、场景变革和未来互联三大领域。其中,达摩院认为,预计未来三年,以人为中心的精准医疗将成为主要方向,人工智能将全面渗透在疾病预防和诊疗的各个环节,成为疾病预防和诊疗的高精度导航协同。
智能医疗设备的安全威胁
近年来,医疗卫生行业一直在推进数字化,如物联网在医疗设备中的使用,医疗设备的自动化、人工智能在医疗场景中的应用等等。
因此,未来,随着人工智能在医疗卫生行业的渗透、融合,将会有越来越多的智能医疗设备被使用。艾媒咨询分析师认为,随着产业发展环境持续优化,以及公众对医疗器械诊断精准化的需求日趋强烈,未来中国医疗器械行业的市场规模,将会保持稳定增长态势。
据了解,当今的智能医疗设备将会收集大量数据并将其保存在云平台上。这些数据包括患者的个人数据,例如健康信息、产品性能,甚至来自设备本身的一些重要数据。
但在智能医疗设备更加方便快捷的同时,其所存储的大量数据也面临着巨大的网络攻击风险,尤其是个人数据和敏感性质类数据。而且网络攻击者通常以医疗行业领域为目标,因此医疗设备的安全性需要更加关注以保护数据及用户隐私安全。
另外,网络犯罪分子还能从医疗设备窃取许多机密数据,甚至更改或操纵这些数据,发出可能危及患者健康的错误命令。例如,一个研究团队在2019年开发了一种恶意软件,可以将肿瘤图像添加到计算机断层扫描(CT)或磁共振(MRI)扫描图像中,它甚至可以去除图片中的肿瘤图像。这项研究揭示了医疗领域可能面临的此类网络攻击威胁的严重性。
总之,医疗数据有着极大的利用价值,若是不法分子窃取了大量医疗数据,将其出售给不可信的来源。这将在很大程度上危及受害者的人身安全和隐私。
医疗器械企业为什么要重视网络安全?
在很多医疗数据泄露的案例中,网络犯罪分子往往从攻击医疗设备开始。医疗器械成为网络犯罪分子的关键切入点。
不难想象,如果连接网络的一些医疗器械采用比较简单的网关,网络犯罪分子不仅可以访问设备中的数据,还可以访问所有连接的设备。
例如,2017年的WannaCry勒索软件攻击事件中,最引人注目的受害者之一就是英国国家卫生服务系统(NHS),该系统运行着大量易受攻击的机器,因此受到的打击极大,三分之一的NHS医院信托机构遭受了攻击。
根据Ordr的相关报告显示,“使用医疗设备进行上网可能会使机构面临着更高的安全风险,很容易受到勒索软件和其他恶意软件的攻击”。
如2020年,FDA发布了一连串的警告,敦促医疗设备制造商和医院针对一系列的含有漏洞的硬件进行修复,包括Sweyn Tooth,URGENT/11,Ripple20和SigRed。其中,Ripple20是2020年6月发现的一组bug,该漏洞影响了5.3万个医疗设备。根据Forescout的研究,这些漏洞可以让攻击者执行远程代码。
另外,根据Ordr的数据,通过对500万台医疗物联网(IoMT)设备进行了为期一年的分析,发现有86%的医疗软件部署在内网的被召回的医疗设备上。被召回的IoMT设备可以认为是有漏洞的,或者是会造成安全风险的设备。
可见,医疗器械的网络安全的重要性无可争辩。
医疗设备的网络安全需要生产者(企业)与使用者(医院等医疗机构)的共同维护。使用者对于医疗设备网络安全的维护,除了机构内的信息运维部门,医护只能在病人监护、通气、麻醉、输液泵等方面起到关键作用。
但是,医疗设备在遭到网络攻击时,需要敏捷的示警以提醒医务人员、医疗部门的信息科。如实验室和放射设备在面临网络攻击时,可能会产生严重影响。而其中的无线标签、联网垫圈、门禁和其他作用不大的设备也会影响医务人员的响应时间。
医疗器械企业在保护设备的网络安全中,承担着至关重要的一环,如医疗设备在遭到网络攻击时,需要及时预警。因此,医疗器械企业在设备开发的最初阶段,就应重视设备的网络安全防护能力。
2022年3月9日,国家药监局器审中心发布了《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则修订版》)。《指导原则修订版》贯彻《中华人民共和国网络安全法》的要求,符合国家推进网络安全社会化服务体系建设,鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务的要求,以及网络产品、服务应当符合相关国家标准的强制性要求。
与旧版的《指导原则》相比较,《指导原则修订版》对医疗器械的网络安全全生命周期提出了更高的要求。
例如,《指导原则修订版》将医疗器械相关数据明确分为医疗数据和设备数据;所述医疗器械电子接口(含硬件接口、软件接口)包括网络接口、电子数据交换接口,若无明示均指外部接口,分体式医疗器械各独立部分的内部接口视为外部接口,如服务器与客户端、主机与从机的内部接口。
考虑到预期用途、使用场景的限制,《指导原则修订版》新增了医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力。
另外,考虑到医疗器械面临日益复杂严峻的网络安全威胁,《指导原则修订版》新增规定:注册申请人需基于相关标准和技术报告建立网络安全事件应急响应机制,保证医疗器械的安全有效性并保护患者隐私。
简而言之,医疗器械企业必须要重视、做好医疗设备的网络安全防护。否则,将给患者的隐私和安全带来巨大的风险,其数据泄露也会给医疗机构带来更多的经济损失。另外,医疗机构也要给医护人员做好安全意识培训,并增强在日常工作过程中的安全系统防护。
后记
有一项调查数据显示,目前53%的医疗器械企业没有使用二进制代码分析来验证其代码的安全性或发现供应链中的风险。46%的企业在设计阶段就设定了安全要求,而其余的企业在开发过程的早期没有适当的流程来实现安全左移。近三分之二的企业依赖每月的设备固件测试计划。
随着医疗设备对互联和软件的依赖性不断增强,其代码库的规模和复杂性都在增长,并且越来越依赖第三方和开源软件组件,面对与日俱增的网络安全风险,医疗器械企业做好准备了吗?
上一篇:高考前不要尝试没吃过的食物
下一篇:四大业务全面布局医疗赛道