近日,阿里巴巴達摩院正式發布2022十大科技趨勢,涵蓋范式充值、場景變革和未來互聯三大領域。其中,達摩院認為,預計未來三年,以人為中心的精準醫療將成為主要方向,人工智能將全面滲透在疾病預防和診療的各個環節,成為疾病預防和診療的高精度導航協同。
智能醫療設備的安全威脅
近年來,醫療衛生行業一直在推進數字化,如物聯網在醫療設備中的使用,醫療設備的自動化、人工智能在醫療場景中的應用等等。
因此,未來,隨著人工智能在醫療衛生行業的滲透、融合,將會有越來越多的智能醫療設備被使用。艾媒咨詢分析師認為,隨著產業發展環境持續優化,以及公眾對醫療器械診斷精準化的需求日趨強烈,未來中國醫療器械行業的市場規模,將會保持穩定增長態勢。
據了解,當今的智能醫療設備將會收集大量數據并將其保存在云平臺上。這些數據包括患者的個人數據,例如健康信息、產品性能,甚至來自設備本身的一些重要數據。
但在智能醫療設備更加方便快捷的同時,其所存儲的大量數據也面臨著巨大的網絡攻擊風險,尤其是個人數據和敏感性質類數據。而且網絡攻擊者通常以醫療行業領域為目標,因此醫療設備的安全性需要更加關注以保護數據及用戶隱私安全。
另外,網絡犯罪分子還能從醫療設備竊取許多機密數據,甚至更改或操縱這些數據,發出可能危及患者健康的錯誤命令。例如,一個研究團隊在2019年開發了一種惡意軟件,可以將腫瘤圖像添加到計算機斷層掃描(CT)或磁共振(MRI)掃描圖像中,它甚至可以去除圖片中的腫瘤圖像。這項研究揭示了醫療領域可能面臨的此類網絡攻擊威脅的嚴重性。
總之,醫療數據有著極大的利用價值,若是不法分子竊取了大量醫療數據,將其出售給不可信的來源。這將在很大程度上危及受害者的人身安全和隱私。
醫療器械企業為什么要重視網絡安全?
在很多醫療數據泄露的案例中,網絡犯罪分子往往從攻擊醫療設備開始。醫療器械成為網絡犯罪分子的關鍵切入點。
不難想象,如果連接網絡的一些醫療器械采用比較簡單的網關,網絡犯罪分子不僅可以訪問設備中的數據,還可以訪問所有連接的設備。
例如,2017年的WannaCry勒索軟件攻擊事件中,最引人注目的受害者之一就是英國國家衛生服務系統(NHS),該系統運行著大量易受攻擊的機器,因此受到的打擊極大,三分之一的NHS醫院信托機構遭受了攻擊。
根據Ordr的相關報告顯示,“使用醫療設備進行上網可能會使機構面臨著更高的安全風險,很容易受到勒索軟件和其他惡意軟件的攻擊”。
如2020年,FDA發布了一連串的警告,敦促醫療設備制造商和醫院針對一系列的含有漏洞的硬件進行修復,包括Sweyn Tooth,URGENT/11,Ripple20和SigRed。其中,Ripple20是2020年6月發現的一組bug,該漏洞影響了5.3萬個醫療設備。根據Forescout的研究,這些漏洞可以讓攻擊者執行遠程代碼。
另外,根據Ordr的數據,通過對500萬臺醫療物聯網(IoMT)設備進行了為期一年的分析,發現有86%的醫療軟件部署在內網的被召回的醫療設備上。被召回的IoMT設備可以認為是有漏洞的,或者是會造成安全風險的設備。
可見,醫療器械的網絡安全的重要性無可爭辯。
醫療設備的網絡安全需要生產者(企業)與使用者(醫院等醫療機構)的共同維護。使用者對于醫療設備網絡安全的維護,除了機構內的信息運維部門,醫護只能在病人監護、通氣、麻醉、輸液泵等方面起到關鍵作用。
但是,醫療設備在遭到網絡攻擊時,需要敏捷的示警以提醒醫務人員、醫療部門的信息科。如實驗室和放射設備在面臨網絡攻擊時,可能會產生嚴重影響。而其中的無線標簽、聯網墊圈、門禁和其他作用不大的設備也會影響醫務人員的響應時間。
醫療器械企業在保護設備的網絡安全中,承擔著至關重要的一環,如醫療設備在遭到網絡攻擊時,需要及時預警。因此,醫療器械企業在設備開發的最初階段,就應重視設備的網絡安全防護能力。
2022年3月9日,國家藥監局器審中心發布了《醫療器械網絡安全注冊審查指導原則(2022年修訂版)》(以下簡稱《指導原則修訂版》)。《指導原則修訂版》貫徹《中華人民共和國網絡安全法》的要求,符合國家推進網絡安全社會化服務體系建設,鼓勵有關企業、機構開展網絡安全認證、檢測和風險評估等安全服務的要求,以及網絡產品、服務應當符合相關國家標準的強制性要求。
與舊版的《指導原則》相比較,《指導原則修訂版》對醫療器械的網絡安全全生命周期提出了更高的要求。
例如,《指導原則修訂版》將醫療器械相關數據明確分為醫療數據和設備數據;所述醫療器械電子接口(含硬件接口、軟件接口)包括網絡接口、電子數據交換接口,若無明示均指外部接口,分體式醫療器械各獨立部分的內部接口視為外部接口,如服務器與客戶端、主機與從機的內部接口。
考慮到預期用途、使用場景的限制,《指導原則修訂版》新增了醫療器械對于網絡安全威脅應具備必要的識別、保護能力和適當的探測、響應、恢復能力。
另外,考慮到醫療器械面臨日益復雜嚴峻的網絡安全威脅,《指導原則修訂版》新增規定:注冊申請人需基于相關標準和技術報告建立網絡安全事件應急響應機制,保證醫療器械的安全有效性并保護患者隱私。
簡而言之,醫療器械企業必須要重視、做好醫療設備的網絡安全防護。否則,將給患者的隱私和安全帶來巨大的風險,其數據泄露也會給醫療機構帶來更多的經濟損失。另外,醫療機構也要給醫護人員做好安全意識培訓,并增強在日常工作過程中的安全系統防護。
后記
有一項調查數據顯示,目前53%的醫療器械企業沒有使用二進制代碼分析來驗證其代碼的安全性或發現供應鏈中的風險。46%的企業在設計階段就設定了安全要求,而其余的企業在開發過程的早期沒有適當的流程來實現安全左移。近三分之二的企業依賴每月的設備固件測試計劃。
隨著醫療設備對互聯和軟件的依賴性不斷增強,其代碼庫的規模和復雜性都在增長,并且越來越依賴第三方和開源軟件組件,面對與日俱增的網絡安全風險,醫療器械企業做好準備了嗎?
