在數(shù)字時(shí)代,軟件安全已經(jīng)成為政府�、企業(yè)、組織等各個(gè)層面關(guān)注的重要問題����。雖然軟件是一種無形資產(chǎn),但是由于忽視軟件安全所帶來的國家安全�、企業(yè)安全、個(gè)人隱私等各個(gè)方面的嚴(yán)重問題卻是“有形”的����。
在醫(yī)療領(lǐng)域,數(shù)字醫(yī)療市場(chǎng)規(guī)模持續(xù)增長��。據(jù)BCG報(bào)告數(shù)據(jù)顯示��,中國數(shù)字化醫(yī)療用戶已達(dá)6.2億(引用自:BCG&騰訊《2020數(shù)字化醫(yī)療洞察報(bào)告》)��。疫情后國家陸續(xù)出臺(tái)了多項(xiàng)政策來推動(dòng)數(shù)字化醫(yī)療領(lǐng)域的發(fā)展����。但同時(shí),數(shù)字革命推動(dòng)物聯(lián)網(wǎng)(IoT)����、醫(yī)療物聯(lián)網(wǎng)(IoMT)�、軟件即醫(yī)療設(shè)備(SaMD)和聯(lián)網(wǎng)設(shè)備大規(guī)模的滲透到醫(yī)療環(huán)境中����,無論是在醫(yī)院還是家庭,都有可能出現(xiàn)針對(duì)受損的聯(lián)網(wǎng)醫(yī)療設(shè)備和設(shè)備所連接的網(wǎng)絡(luò)的攻擊和入侵行為��。
在美國����,從2020年中期到2021年底�,82%的醫(yī)療系統(tǒng)報(bào)告了網(wǎng)絡(luò)安全事件,其中34%是勒索軟件攻擊事件(引用自:HIPPA Journal)��。這些攻擊往往是非常復(fù)雜的��,并對(duì)多個(gè)IT系統(tǒng)造成了嚴(yán)重影響�,導(dǎo)致業(yè)務(wù)運(yùn)營大面積被迫中斷,這種中斷往往持續(xù)數(shù)周或數(shù)月����。
美國聯(lián)邦調(diào)查局互聯(lián)網(wǎng)犯罪投訴中心(IC3)警告說,使用過時(shí)和/或缺乏適當(dāng)安全功能的醫(yī)療設(shè)備存在網(wǎng)絡(luò)風(fēng)險(xiǎn)����,會(huì)嚴(yán)重影響病人生命安全��、個(gè)人數(shù)據(jù)安全和醫(yī)院運(yùn)營����。IC3在一份報(bào)告中指出�,除了過時(shí)的軟件外,醫(yī)療設(shè)備可能會(huì)因?yàn)槿缦碌那闆r而變得脆弱�、易被攻擊:易被利用的默認(rèn)設(shè)置、缺少安全功能的定制化軟件����、在開發(fā)時(shí)未考慮網(wǎng)絡(luò)安全的產(chǎn)品。報(bào)告建議使用端點(diǎn)保護(hù)����,如安裝防病毒軟件和數(shù)據(jù)加密,更新默認(rèn)密碼����,管理組成設(shè)備的資產(chǎn),并監(jiān)測(cè)漏洞�。
醫(yī)療領(lǐng)域已成為黑客的高價(jià)值攻擊目標(biāo),醫(yī)療設(shè)備越來越多地成為惡意網(wǎng)絡(luò)攻擊的“重災(zāi)區(qū)”����,這不僅會(huì)導(dǎo)致數(shù)據(jù)泄露��,也增加了醫(yī)療服務(wù)成本��,并且它們最終會(huì)影響病人的健康狀況��。
2021年FDA(美國食品和藥物管理局)發(fā)布了醫(yī)療器械網(wǎng)絡(luò)安全指南草案��,國際醫(yī)療器械監(jiān)管機(jī)構(gòu)論壇也發(fā)布了管理醫(yī)療器械SBOMs的原則和實(shí)踐指南草案�。
此次FDA與MITRE發(fā)布的醫(yī)療器械網(wǎng)絡(luò)安全區(qū)域事件準(zhǔn)備和響應(yīng)手冊(cè)(Medical Device Cybersecurity Regional Incident Preparedness and Response Playbook)對(duì)于醫(yī)院和醫(yī)療服務(wù)機(jī)構(gòu)應(yīng)對(duì)醫(yī)療設(shè)備網(wǎng)絡(luò)安全事件時(shí)的應(yīng)急管理能力和事件響應(yīng)能力起到了補(bǔ)充建議的作用��。
目的
本手冊(cè)提供了一個(gè)由利益相關(guān)者驅(qū)動(dòng)����、開源��、可定制的框架����,醫(yī)院和醫(yī)療服務(wù)機(jī)構(gòu)可以選擇將該手冊(cè)納入其應(yīng)急計(jì)劃。其最終目的是減少對(duì)臨床護(hù)理的影響�,以及醫(yī)療設(shè)備網(wǎng)絡(luò)安全事件對(duì)患者造成直接傷害的可能性。
本手冊(cè)還討論了與網(wǎng)絡(luò)和應(yīng)急風(fēng)險(xiǎn)管理有關(guān)的建議�,提升網(wǎng)絡(luò)安全事件準(zhǔn)備活動(dòng)��,認(rèn)識(shí)到網(wǎng)絡(luò)威脅帶來的風(fēng)險(xiǎn)��。雖然網(wǎng)絡(luò)安全事件與自然災(zāi)害的應(yīng)急準(zhǔn)備和響應(yīng)有相似之處����,但網(wǎng)絡(luò)安全有其獨(dú)特的特點(diǎn)��,風(fēng)險(xiǎn)發(fā)生的途徑多種多樣����,因此需要將網(wǎng)絡(luò)事件具體整合到一個(gè)醫(yī)療機(jī)構(gòu)的緊急情況計(jì)劃中。
手冊(cè)的受眾群體
醫(yī)院和醫(yī)療服務(wù)機(jī)構(gòu)是本手冊(cè)的主要受眾����,其中包括:參與醫(yī)療器械網(wǎng)絡(luò)安全事件準(zhǔn)備和響應(yīng)的工作人員,包括但不限于臨床醫(yī)生����、醫(yī)療技術(shù)管理專業(yè)人士和信息技術(shù)人員、應(yīng)急響應(yīng)��、風(fēng)險(xiǎn)管理和設(shè)施工作人員�。
設(shè)備制造商及其他支持醫(yī)院和醫(yī)療服務(wù)機(jī)構(gòu)相關(guān)應(yīng)對(duì)工作的外部實(shí)體,包括系統(tǒng)維護(hù)承包商和衛(wèi)生系統(tǒng)��、區(qū)域和國家承擔(dān)相關(guān)響應(yīng)工作的實(shí)體。
涉及范圍
本手冊(cè)旨在提升醫(yī)療機(jī)構(gòu)對(duì)醫(yī)療設(shè)備網(wǎng)絡(luò)安全問題的準(zhǔn)備和響應(yīng)�。特別值得關(guān)注的是那些可能會(huì)引起病人安全問題的威脅或漏洞,并有可能造成更大規(guī)模的影響��,導(dǎo)致更多的病人受到影響��。
醫(yī)療機(jī)構(gòu)可能無法按照本手冊(cè)中的要求對(duì)醫(yī)療設(shè)備做到全面的覆蓋����,對(duì)于沒有醫(yī)療設(shè)備網(wǎng)絡(luò)安全響應(yīng)計(jì)劃的醫(yī)療機(jī)構(gòu),可以以本手冊(cè)作為一個(gè)起點(diǎn)來實(shí)施相關(guān)工作��。該手冊(cè)建議醫(yī)療機(jī)構(gòu)與相關(guān)的政府機(jī)構(gòu)和企業(yè)進(jìn)行合作來推進(jìn)對(duì)網(wǎng)絡(luò)安全事件的應(yīng)急響應(yīng)����。
涉及SBOM的相關(guān)條款
SBOM的全稱是Software Bill of Materials,中文譯為軟件物料清單�,它不是一種特定的文件格式。BOM這個(gè)定義廣泛存在于傳統(tǒng)制造業(yè)����,用以跟蹤和記錄產(chǎn)品的部件��,當(dāng)部件產(chǎn)生缺陷的時(shí)候��,可以準(zhǔn)確清晰快速地定位到缺陷影響的部件。那么同理��,在軟件領(lǐng)域��,它的作用是能夠?qū)崟r(shí)跟蹤軟件中使用的第三方組件來管理整個(gè)軟件供應(yīng)鏈�。
SBOM有不同的格式,但是其實(shí)質(zhì)都是對(duì)于組件����、依賴、漏洞����、許可證、版權(quán)等信息的展示����。
在本手冊(cè)的6.1.1章節(jié)醫(yī)療器械采購中,明確規(guī)定了將網(wǎng)絡(luò)安全納入醫(yī)療設(shè)備采購的要求信息����,可以加強(qiáng)醫(yī)療設(shè)備的網(wǎng)絡(luò)安全。對(duì)于醫(yī)療設(shè)備采購的其中一個(gè)要點(diǎn)就是要求供應(yīng)商提供軟件物料清單(SBOM)來使醫(yī)療機(jī)構(gòu)能夠識(shí)別和解決脆弱的設(shè)備組件��。這些信息對(duì)應(yīng)急響應(yīng)計(jì)劃的制定很有價(jià)值。SBOM可以對(duì)組織機(jī)構(gòu)的設(shè)備庫存進(jìn)行梳理和優(yōu)先排序��,有助于在安全事件發(fā)生時(shí)做出更迅速����、更聚焦的反應(yīng)。
在6.1.2章節(jié)醫(yī)療器械資產(chǎn)清單中規(guī)定了一個(gè)基本的準(zhǔn)備原則是了解哪些系統(tǒng)連接到醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò)中��,或醫(yī)療機(jī)構(gòu)依賴的網(wǎng)絡(luò)�。通過維護(hù)一個(gè)集中管理的、有關(guān)每個(gè)醫(yī)療設(shè)備的基線信息����,醫(yī)療機(jī)構(gòu)可以更好地在網(wǎng)絡(luò)事件發(fā)生之前、之時(shí)和之后對(duì)醫(yī)療設(shè)備進(jìn)行了解和管理�。這其中包括歷史遺留設(shè)備和用于研究的設(shè)備或在其他非網(wǎng)絡(luò)上的設(shè)備。定期更新醫(yī)療設(shè)備的信息(最好是實(shí)時(shí)的更新和/或發(fā)生變化時(shí)更新)�,將有助于確保在安全事件發(fā)生時(shí),組織中的庫存信息是最新的����,以便能夠迅速找到被攻擊的設(shè)備并對(duì)其進(jìn)行修復(fù)。這些設(shè)備信息中就包括了包含如下信息的SBOM(軟件物料清單): 組件版本��、發(fā)布信息����、補(bǔ)丁狀態(tài)等等。該手冊(cè)中建議醫(yī)療機(jī)構(gòu)在醫(yī)療設(shè)備采購實(shí)踐中將要求制造商同時(shí)提供SBOM和響應(yīng)的查詢功能考慮在內(nèi)����,以維護(hù)設(shè)備資產(chǎn)庫存。
對(duì)醫(yī)療設(shè)備制造廠商的要求
醫(yī)療設(shè)備廠商在醫(yī)療設(shè)備安全事件響應(yīng)過程中扮演重要角色�,醫(yī)療設(shè)備廠商對(duì)設(shè)備的了解、驗(yàn)證漏洞的能力����、評(píng)估設(shè)備的入侵或破壞程度,并制定修復(fù)措施��,這對(duì)于發(fā)生安全事件后恢復(fù)醫(yī)療機(jī)構(gòu)的正常醫(yī)療服務(wù)功能至關(guān)重要����。
在某些情況下,醫(yī)療設(shè)備維護(hù)合同可能會(huì)限制醫(yī)療機(jī)構(gòu)的干預(yù)�,使其完全依賴醫(yī)療設(shè)備制造廠商(或其他維護(hù)承包商)來對(duì)任何需要的設(shè)備進(jìn)行改動(dòng)。在其他情況下����,如果嵌入式設(shè)備組件包含或?qū)е侣┒矗赡苄枰稍兊谌焦?yīng)商�。
解讀
隨著我國醫(yī)療設(shè)備制造水平的不斷提升,在滿足國內(nèi)醫(yī)療機(jī)構(gòu)需求的同時(shí),我國出現(xiàn)了大量的企業(yè)將醫(yī)療設(shè)備出口到美歐等發(fā)達(dá)國家和地區(qū)����。2021年我國醫(yī)療器械對(duì)外貿(mào)易總額達(dá)1349.4億美元,其中儀器設(shè)備占比高達(dá)20%以上����,且對(duì)歐美市場(chǎng)的出口額占顯著比例。
由于近期針對(duì)軟件供應(yīng)鏈攻擊活動(dòng)呈現(xiàn)極速增長的態(tài)勢(shì)��,出口型醫(yī)療設(shè)備制造商應(yīng)該及早建立以安全與合規(guī)并重的開源治理體系�,一方面確保自身產(chǎn)品更加安全與合規(guī),另一方面滿足上游用戶的要求����。
對(duì)于醫(yī)療設(shè)備制造業(yè),開源合規(guī)治理是相對(duì)比較新的概念����,首先需要建立進(jìn)行開源合規(guī)治理重要性的意識(shí),對(duì)于為什么要進(jìn)行開源治理����,怎么進(jìn)行開源治理尚不清晰。相較于互聯(lián)網(wǎng)企業(yè)��,我國醫(yī)療體系的信息化建設(shè)整體發(fā)展較為緩慢,建立開源治理體系尚需一定的時(shí)間�。但是對(duì)于大量的醫(yī)療設(shè)備出口企業(yè),建立以開源合規(guī)為導(dǎo)向的開源軟件治理體系的需求非常急迫�。
京公網(wǎng)安備11010802046783號(hào)