医疗设备安全不再是 "次要 "问题,而是至关重要的问题。在本文中,我们将探讨新出现的行业网络安全问题、法规以及您可以采取的重要步骤,以保护和管理您的医疗设备免受当前和未来的威胁。
德勤公司称,医疗设备越来越多地成为网络攻击的目标。由于这些设备提供关键服务,网络犯罪分子认为医疗保健公司会很快支付赎金。医疗设备网络事件的增加扰乱了供应链、生产流程和研究,造成了数以亿计的损失和名誉损害。与此同时,大流行病加速了医疗IoT 的采用,以减少人与人之间的接触。事实上,到 2027 年,IoT 医疗设备的 价值将几乎翻两番。
什么是医疗设备安全?
简而言之,医疗设备安全要求设备开发人员不仅要在设备设计中融入安全最佳实践,还要确保这些设备能够得到监控和更新,以保证其在整个生命周期内的安全。
医疗设备安全可能是医疗行业目前面临的最紧迫的安全问题。医疗设备原始设备制造商必须利用安全工具和流程,防止未经授权访问或控制这些设备及其相关数据。它们还必须具备在威胁出现时可靠地远程发送固件安全更新的能力。
为什么网络安全对医疗设备很重要?
由于核磁共振成像仪、CT 扫描仪和 X 光机等诊断医疗设备越来越多地连接到网络,因此它们与其他类型的联网硬件一样,容易受到黑客、恶意软件和勒索软件的攻击。
据估计,在不断发展的物联网 (IoT) 环境中,美国有 200 至 300 亿台医疗设备连接在一起。这些IoT 医疗设备包括输液泵、胰岛素泵、心脏起搏器、医疗可穿戴设备甚至呼吸机。据穆迪的一份报告称,一家 IT 安全公司报告称,2019 年至 2020 年期间,针对医疗保健客户的未遂攻击增加了近 10,000%。
就这些医疗设备而言,攻击可能会危及病人的私人数据甚至健康。最近的勒索软件攻击导致病人死亡,阿拉巴马州一家医院的胎儿心跳监护仪被黑客攻击后无法使用。正因如此,美国食品和药物管理局(FDA)制定了联网医疗设备安全准则和要求。制造商和医疗服务提供商都有责任遵守这些规定。
谁对医疗器械安全负责?
在美国,食品与药物管理局负责监管医疗设备,而食品与药物管理局最优先考虑的网络安全问题之一就是医疗设备勒索软件的威胁。然而,医疗设备网络安全既是联网设备制造商和供应商的责任,也是使用这些设备的医疗机构的责任,这就强调了在医疗环境的任何地方都可能存在安全漏洞。
如何保护医疗设备?
医疗设备制造商和医疗机构是减少设备网络攻击的第一道防线。通过采取一些防御措施和主动监控,医疗设备制造商和医疗机构可以提高设备的安全性,同时保障使用其设备的患者的健康。
随着时间的推移,医疗设备面临的网络安全问题越来越多,因此从开发到最终使用的每一个环节都必须考虑到这些问题。以下是医疗设备制造商可以采取的一些措施。
- 从一开始就在医疗设备中建立安全机制。当网络攻击公开后,FDA 等管理机构会点名批评相关制造商和产品。这种公开会破坏客户和最终用户的信任。这就是为什么在设备的设计阶段就将安全性提升为核心功能或固有产权的原因,这不仅有意义,而且是强制性的。
- 识别潜在威胁和漏洞 并制定计划。进行医疗器械安全风险评估,以确定医疗器械面临的潜在威胁,并制定风险管理计划来应对这些风险,当然,要坚持不懈地更新计划。
- 建立强大的身份验证。建立强大的身份验证机制,限制对关键功能和敏感数据的访问。
- 采用加密和数据保护技术。在采用数据存储和传输最佳实践时,加密可以保护敏感数据。
- 建立补丁管理和漏洞监控流程。考虑使用远程管理系统,帮助集中和远程监控和更新安全补丁和固件。
资源
新兴医疗器械安全法规
到 2020 年底 医疗保健行业的停机时间成本约为 208 亿美元- 几乎是 2019 年的两倍。事实上,2020 年受影响的记录数量比 2019 年增加了 470%。更糟糕的是,医疗服务提供商为患者数据支付了约 210 万美元的赎金。
美国食品和药物管理局网络安全指南
随后在 2023 年初,FDA 开始要求医疗器械满足特定的网络安全准则,并将其写入法律。为了解决医院和互联网连接设备遭受网络攻击所带来的日益严重的医疗器械安全漏洞,所有新的医疗器械申请人现在都必须分享其监控、识别和管理网络安全问题的计划。这与医疗器械制造商必须解决其产品从概念设计、整个生命周期直至报废期间的安全和安保问题的方式相比,是一个重大变化。
新的 FDA 医疗器械安全要求包括
- 确保医疗器械得到充分保护的文件化流程。
- 定期并在紧急情况下部署安全更新和补丁。
- 共享软件物料清单 (SBOM),其中包括所有开源软件和其他设备软件,包括商业软件包。
此外,FDA 现在计划每两年更新一次其医疗器械网络安全指南。
欧盟医疗器械网络安全指南
在欧洲,MDR 2017/745和IVDR 2017/746涵盖了最新的医疗器械。这两份文件概述了针对所有带可编程系统的医疗器械以及软件医疗器械的新的基本安全和安保要求。
国家信息系统 2 指令 NIS2 指令和 GDPR 法规包括医疗设备和患者个人数据管理的网络安全标准。最后 欧盟网络安全法案包括一个网络安全认证框架,承诺加强 IT 流程、产品和服务保护。
国际医疗器械网络安全指导文件
在国际上,有两份指导文件概述了医疗器械生命周期内的基本网络安全原则。首先,国际医疗器械监管者论坛起草了 医疗器械网络安全原则与实践.然后,医疗器械协调小组发布了 欧盟 MDCG 2019-16 Rev.1 医疗器械网络安全指南.
IoT 医疗设备安全的新趋势
由于监管机构要求医疗设备供应商承担安全责任,人们对寻找新方法减少医疗设备网络安全威胁的兴趣与日俱增。请密切关注这些新兴技术趋势:
- 人工智能(AI)和机器学习(ML) --人工智能可帮助医疗保健 IT 团队收集数据并选择最具成本效益的安全策略,而不是采用一刀切的数据安全方法。
- 区块链技术 --区块链技术可以存储所有患者数据的不可理解、不可编辑、去中心化和透明的日志,并可以隐藏个人身份等敏感的患者数据。由于区块链是去中心化的,它还允许患者和医疗服务提供者快速、安全地共享相同的信息,而不会危及患者数据的保管。
- 零信任架构 - 零信任架构的 核心理念是 "绝不信任,始终验证",将网络上的每个连接都视为潜在威胁。与传统的验证一次并在剩余会话中信任的方法不同,这种方法通过在 "需要知道 "的基础上授予访问权限,最大限度地降低了安全漏洞风险。
- 微分段 - 通过将网络划分为较小的网段或区域,网络管理员可以降低未经授权访问的风险。通过使用微分段,医疗保健提供商可以限制攻击者在网络中的行动,防止勒索软件攻击干扰医疗设备。
采取下一步措施确保医疗设备安全
毫无疑问,医疗设备安全标准非常重要,而且在未来几年将变得越来越重要。这就是为什么随着IoT 医疗设备的增长和需求的增加,医疗保健提供商和医疗设备制造商都应优先考虑安全性的原因。
首先,要选择一个经验丰富的无线和有线通信合作伙伴,它在IoT 设备安全方面拥有深厚的专业知识,并且了解医疗设备安全的最佳实践。这正是 Digi 可以提供帮助的地方。自 1985 年以来,Digi 一直是无线和有线通信领域的先驱,为各行各业提供端到端解决方案。
Digi ConnectCore 生态系统是一整套嵌入式模块、软件、工具和服务。ConnectCore 平台为工业和能源、医疗、电动汽车充电和银行等高度受监管的行业提供互联解决方案,这些行业对安全性要求极高。
我们的一个关键组成部分是高度集成的模块化系统,它具有独特的优势,包括
- 工业级可靠性- 设计寿命至少为 10 年,具有 24/7/365 连续使用的负载等级,并默认提供 3 年产品保修。
- 深度集成- Digi SOM 可与 XBee® 生态系统、Wi-Fi 和蓝牙协议无缝集成。它们还支持IoT 标准,如 LTE 蜂窝、网状网络和长距离 sub-GHz 无线连接。
- 行业领先的安全性 --所有 Digi SOM 均采用 Digi TrustFenceIoT 安全框架和硬件安全元件 (SE)。
- 灵活的连接 方式 - 各种连接方式使 Digi SOM 适合各种应用。
- 可扩展的产品组合 --随着应用程序的发展,开发人员只需在Digi ConnectCore 上插入一个性能更高、兼容的模块即可。
- 工程服务 -Digi Wireless Design Services可以在从原型设计到开发、测试、认证和生产准备服务的任何阶段为您的开发人员团队提供支持。
- 一流的支持- 从完整的文档到大量集成工具和技术支持服务,Digi 可确保您获得成功开发和部署所需的一切。
- Digi ConnectCore 安全服务和Digi ConnectCore 云服务为您提供所需的功能,以扫描和监控设备,防范新的和不断演变的安全威胁,并在设备的整个生命周期内远程安全地管理现场部署的设备。
让我们帮助您确保医疗设备IoT 的安全性,让您放心地继续改善患者的健康状况。
下一步工作