醫(yī)療設(shè)備網(wǎng)絡(luò)安全問(wèn)題是行業(yè)的一個(gè)大挑戰(zhàn)

（文章來(lái)源：攜手健康網(wǎng)）

在FDA發(fā)布其醫(yī)療設(shè)備安全行動(dòng)計(jì)劃近一年后，隨著該行業(yè)努力應(yīng)對(duì)FDA的指導(dǎo)草案并為該機(jī)構(gòu)提供反饋，醫(yī)療設(shè)備網(wǎng)絡(luò)安全仍然是HIMSS 2019的熱門(mén)話題。根據(jù)FDA設(shè)備中心科學(xué)與戰(zhàn)略合作伙伴關(guān)系副總監(jiān)Suzanne Schwartz的說(shuō)法，關(guān)鍵是確保進(jìn)入市場(chǎng)的新醫(yī)療設(shè)備可以在設(shè)備的整個(gè)生命周期內(nèi)得到更新，并可能要求公司建立軟件物料清單。

專家呼吁人們注意衛(wèi)生系統(tǒng)需要更好地了解其庫(kù)存中的設(shè)備以及制定應(yīng)對(duì)網(wǎng)絡(luò)攻擊的游戲計(jì)劃。ECRI研究所高級(jí)項(xiàng)目工程師Juuso Leinonen表示，WannaCry攻擊突顯了醫(yī)院需要更好地了解其庫(kù)存中的醫(yī)療設(shè)備，以便更好地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。

這項(xiàng)努力與FDA呼吁新當(dāng)局要求制造商在醫(yī)療設(shè)備開(kāi)發(fā)中建立補(bǔ)丁和內(nèi)置安全更新的能力相一致。Schwartz在HIMSS小組會(huì)議上說(shuō)：“我們不可能處于市場(chǎng)上的新設(shè)備不具備在其整個(gè)使用壽命中進(jìn)行補(bǔ)丁和更新的固有能力中?！?“可能有必要實(shí)際上在售前市場(chǎng)上擁有一個(gè)額外的授權(quán)?！?/p>

Schwartz強(qiáng)調(diào)了與FDA和加拿大衛(wèi)生部牽頭的國(guó)際醫(yī)療器械監(jiān)管者論壇工作組合作的努力，該工作組致力于醫(yī)療器械網(wǎng)絡(luò)安全的共識(shí)性原則。該小組的目標(biāo)是為多個(gè)監(jiān)管機(jī)構(gòu)制定指南，涵蓋從設(shè)備生命周期的開(kāi)始到結(jié)束的最佳實(shí)踐。

這項(xiàng)努力是在ICS-CERT等組織報(bào)告了更多的醫(yī)療設(shè)備網(wǎng)絡(luò)安全咨詢的同時(shí)進(jìn)行的。ECRI研究所的高級(jí)網(wǎng)絡(luò)安全工程師查德·沃特斯(Chad Waters)在另一個(gè)HIMSS小組會(huì)議上指出，盡管咨詢數(shù)量有所增加，但仍有可能沒(méi)有更多報(bào)告。

沃特斯說(shuō)：“去年，有來(lái)自14家不同醫(yī)療設(shè)備供應(yīng)商的30項(xiàng)與醫(yī)療設(shè)備相關(guān)的咨詢。那里有很多供應(yīng)商，因此存在許多未公開(kāi)的漏洞?！盨chwartz擔(dān)心，即將披露漏洞的公司因主動(dòng)與公眾溝通而受到不公平的懲罰，并指出它們經(jīng)常受到負(fù)面新聞周期的抨擊。

“我們確實(shí)需要顛覆這種說(shuō)法。實(shí)際上，那些行業(yè)，那些制造商代表著組織中最成熟的組織。這就是我們希望每個(gè)人都在做的事情。信息共享，漏洞披露的透明度”，Schwartz說(shuō)。Schwartz表示，無(wú)論組織采取什么措施來(lái)減輕風(fēng)險(xiǎn)，風(fēng)險(xiǎn)始終存在。

“不應(yīng)期望醫(yī)療器械沒(méi)有風(fēng)險(xiǎn)并且沒(méi)有與之相關(guān)的脆弱性。關(guān)鍵在于能夠評(píng)估風(fēng)險(xiǎn)是什么—關(guān)鍵在于能夠根據(jù)其嚴(yán)重性來(lái)識(shí)別和評(píng)估該脆弱性。影響及其可利用性，”施瓦茨說(shuō)。Leinonen說(shuō)，邁出的一步，更多的衛(wèi)生系統(tǒng)應(yīng)該考慮采取的措施是任命醫(yī)療設(shè)備網(wǎng)絡(luò)安全負(fù)責(zé)人，作為工程師和經(jīng)常負(fù)責(zé)解決網(wǎng)絡(luò)安全問(wèn)題的IT員工之間的聯(lián)絡(luò)人。