您好!  欢迎来到广东省物联网协会!    
设为首页  |         加入收藏夹  |       友情链接      
当前位置:首页-医疗物联网-正文
为防物联网黑客入侵医疗设备,FDA再次发布改进指南
   点击:3156
    美国食品和药物管理局在两年内第二次发布了改进连接医疗设备安全的意见。这次的文件并不是命令,而是指导意见,但是这一没有法律约束力的指导意见到底在执行上表现如何还有待考量。

       美国食品和药物管理局在两年内第二次发布了改进连接医疗设备安全的意见。这次的文件并不是命令,而是指导意见。


       这立即引发了人们的疑问:毫无约束力的指南能够对制造商施加足够的压力迫使他们花费时间和金钱改善设备安全吗?


       正如我们经常说到的那样,这有待进一步观察。


       美国食品和药物管理局于去年年底发布了上市后医疗设备网络安全管理指南。

这是继该局两年前发布上市前指南的又一动作。


指南争论


       尽管并无法律要求来实施这些指导文件,但部分专家表示,这些文件仍旧有效力迫使做出改变,他们宣称,没有做出强制性的规定并不意味着这些文件不会产生重大的法律影响。现在需要确认的不过是与一位律师就“最佳做法”建议的含义问题,在由于糟糕的安全问题而遭受攻击的设备危及患者的诉讼中进行探讨。


       然而,担任网络安全公司Resilient Systems首席技术官同时也是隐私和加密专家的布鲁斯·施奈尔于上市后指南颁布不久就在一篇博文中拷问指南的意义。

施奈尔一直在呼吁政府出台针对整个物联网产业的法规,他在博文中写到,“该指南并无特别新奇和有趣之处,它读起来就像标准的安全建议:写了安全软件、补丁漏洞等等”。他注意到这些规定是“不具约束力的意见”,所以我实际上不清楚他们为什么会困惑。”但是他的博文立刻引起了读者的回帖反击。一位网名叫做“道格”的网友留言说,他从事医疗设备行业三十多年,尽管规范医疗设备的法律无法改变,但解释和执行将会改变现状。


       这名网友回帖称,“通过了解食品和药物管理局的想法,我们可以调整自身的设计、校验以及满足这些预期的制造努力。指导文件会将推动我们所做的大部分工作。”


       食品和药物管理局自身在针对CSO(销售外包组织)的一份陈述中说到,尽管该指南没有约束力,却是对具有约束力之规章的解释。该指南未能遵循该机构质量体系法规(QSR)的“掺假”设备之规定,这可能导致他们“遭到逮捕或受到警告。”


       数位专家一致认为,该指南还是比较有价值的,而且可以推动制造商们沿着正确的方向发展。但是他们并不认为现在或者不久之后使用这些设备的用户们可以长舒一口气。很明显,存在的风险依旧高昂—一次植入式攻击或者对其它连接设备攻击所引发的后果要比窃取数据或身份严重得多,弄不好它会剥夺人的生命。


       尽管现在并无因此而死亡的消息见诸报端,但这种风险实实在在地存在。许多年来,医疗设备的设计都是严格按照便于工作的目的而进行的,但大多数设计都未将网络安全考虑在内,许多设备依旧不安全,随时可能引发潜在的事故,正如一家卫生组织2014年的审计表明,“诸如缺乏认证、脆弱的口令或默认值和类似‘admin’ 或 ‘1234’的硬编码供应商密码等漏洞层出不穷,还有一些是脆弱的嵌入式web服务器和后台管理接口,一旦黑客在网络上发现它们就很容易对设备进行认证和操纵。”


        Vulse公司的联合创始人兼首席安全工程师安德鲁﹒奥斯塔森表示,有一天他正在医院,由于相关组织没有搞清楚设备配置在了网络何处,一个新生儿系统在评估过程的扫描发现中突然离线。


       他说,这意味着如果黑客进入了该组织内部,同样也能够引发系统离线。在这个案例中,“幸亏设备在评估时并未使用,不然,已经可能引发灾难后果。”


       尽管对患者的人身伤害是最关键的风险,但黑客攻击设备进入医疗组织内部网络的风险也不容小觑。


       在去年年底的一份泄漏调查报告中表示,遭遇劫持的医疗设备目前已成为进入医院网络的后门。


      “不幸的是,医院似乎无法侦测MEDJACK(医疗设备劫持)或者对它进行整治调整,”服务部副总裁兼联合创始人摩西﹒本﹒西蒙在新闻发布会上这样说到。

所以,近期的食品及药物管理局指南能够将安全指针推向多远呢?它不会有太多的改变。


       正如施耐德注意到的那样,新的指南并未开辟出新局面。它涵盖了大多数专家呼吁的实现更好风险管理和安全“卫生”。食品和药物管理局在其声明中表示,其意见主要围绕质量体系法规(QSR)而展开,该法规包含了应对投诉的要求、审计标准、纠正和预防措施、软件确认和风险分析及保养等内容。


       食品和药物管理局也要求制造商要采用美国国家标准技术研究所(NIST)网络安全框架,这包含了“身份验证、保护、侦测、响应和恢复”等核心原则。

但是要求制造商在穿设备整个生命周期都重视设备安全维护的战略重点具有重要意义,因为正如广泛报道的那样,那些设备常常有五年以上的开发周期和10到20年的使用寿命。


补丁麻烦


       所以遵循该意见明显意味着在一开始设计时就要具备能够对贯穿生命周期的漏洞打补丁和更新的能力。


       美国食品和药物管理局也解决了制造商一直抱怨的问题—一些批评家人士称其为借口—即:如果他们对设备进行更新的话,将不得不再经历一次认证过程。

新的指南明确规定,例行的补丁和更新不需要向美国食品和药物管理局报告或经过它的评审。漏洞也无需报告,除非它们引发了死亡事故或者其它的负面事件,或者无法在60天内打补丁。


        独立安全评估公司执行合伙人特德﹒哈林顿注意到,这些设备的长期开发周期主要集中在其机械元件的性能和安全,而不是软件。


他说,“软件自身能够并且应该可以在整个审批流程中得到进化,而且必须有一套应对攻击技术演化的更新机制,可以发现操作系统和通信协议中先前未知的缺陷并能实现性能提升。”


       当然,即使日常的安全更新过程也需要将安全置入其中。巴特尔设备安全服务公司的首席医疗设备工程师斯蒂芬妮﹒多马说,“更新机制从本质上说是要吸收某些形式的新密码,并将它保存到设备中便于执行。这使他们将诱人的目标当做恶意的攻击者—软件更新器遭到非法目的劫持已经在好几个场合中出现。”

美国食品和药物管理局也建议行业的所有利益相关方能加入信息分享分析组织(ISAO)以促进私营领域内网络威胁信息与政府的共享。


       它表示,信息分享分析组织拥有适当的隐私规定,可以帮助“从网络威胁后果中缓和或恢复过来。”


       该规定的最后一款引发了傅佳伟博士的批评,他是Virta Labs的首席执行官和密歇根大学的副教授。去年四月在有关指南草案的一封信中,他建议要对信息分享分析组织(ISAO)保持谨慎和怀疑。


      “如果数据质量不高,那么数据分享则毫无用处。”,他这样写到,并援引了一份案例,在这份案例中,一篇有关服务器漏洞的报告促使医院使用了更不安全的服务器。


       在设置医疗设备安全标准时,有关政府干涉的整体概念存在一些分歧。独立安全研究专家肖恩·梅丁杰表示,相对于政府规范而言,市场在改进安全方面更加有力。


       他指出,去年秋天做空机构浑水投资公司利用网络安全研究公司"MedSecHoldings"的研究发现宣传,圣犹达医疗公司生产的心脏起搏器和电击器存在缺陷,从而引发了该公司股票价格的大幅下跌。


       这种联合遭到了一些信息技术媒体的尖锐批评,圣犹达医疗公司将浑水公司和MedSecHoldings公司都诉至法庭。但是梅丁杰注意到,“这一事情最终的底线似乎是圣犹达医疗公司修补补丁,美国工控系统网络应急响应小组(ICS-CERT)发布公告,并没有人因此被逮捕或者有关业务遭到关停。”


       他说,重点在于如果公司股票价格受到威胁,“这意味着高管奖金和股东利益受到了冲击。一旦你开始剥夺人们的薪资,情况就完全不一样了。”


       哈林顿说,他不支持政府在网络安全方面的规范是出于以下原因。“政府规范制定的时间太长,等到颁布时已经过时,而且充满妥协,它还试图将统一的安全模式应用到那些创新的组织,因此当然是无法统一的。”


       但是,他并不认为美国食品和药物管理局的指南毫无用处。他表示,该指南可以帮助协调各个利益相关者—从设备制造商、医院、患者到政府。它为围绕安全的集中讨论提供了一种共同语言。


       奥斯塔森表示,政府应该发挥作用—而且是更加积极的作用。“美国食品和药物管理局必须设置与《医疗信息流通与责任法案》(HIPAA,该法案要求要保护个人健康信息)一样严格的规章。”他补充说到,他发现如果网络责任保险公司认为相关组织粗心大意未能遵循最佳实践时,它们往往拒绝为损失买单。


       他表示,“医疗设备制造商需要为其疏忽大意而承担责任,”“是的,这些设备的开发需要五年,但是安全体系和发展必须在开发产品时就成为一种思维意识。”

       总的来说,多马说她赞同美国食品和药物管理局的“严肃地处理医疗设备的安全问题”。她注意到,该机构大量地参与了医疗会议和指导工作组织。


       她说,“他们一直在征求反馈并从包括医疗厂商、医院和安全研究人员在内的整个医疗生态系统吸取意见。”


       哈林顿说,尽管距离终端用户可以完全放松并对医疗设备的安全态势充满信心仍然有很长的一段路要走,但是我很看好这种状况将会随着时间而改进。


       美国食品和药物管理局也表示,“我们已经开始看到了所有利益相关者心态的改变—制造商们意识到了在产品整个生命周期实施全面网络安全控制的重要性。”

     
本文“美国食品和药物管理局发布指南以规范医疗设备安全”最初发布于CSO(合同销售组织)。


 
会员服务条款 | 协会地图 | QQ:2278462013 | 粤ICP备 11102855 号

Copyright © 广东省物联网协会 版权所有  邮编:510640  邮箱: gdwlwxh@163.com
联系地址:广州市天河区广园快速路551号广之旅大厦首层(总部)
广州科学城兴普紫园国际607(秘书处)    
联系电话:020-29131502 马小姐、邹小姐
          020-29131501 郑小姐