软件定义 一切的时代,网络安全成为各行各业关注的新焦点,医疗设备也不例外。越来越多的医疗设备通过网络链接进行电子数据交换或远程控制,提高医疗质量的同时也难以避免受到网 络安全攻击的威胁。
1. 医疗器械网络安全风险
① 远程控制风险
2021年曾有报道称,飞利浦医学成像系统存在多个网络安全漏洞,网络不法分子可对该系统进行远程控制,查看或篡改医疗数据。此外,研究人员也发现黑客可轻易通过网络漏洞控制药物注射的电子设备,让病人过度摄入药物;可蓝牙连接的心脏电击器可在受到非法远程控制时,让患者遭受不适当的电击频次等。
② 数据泄露风险
2020年,北京某医疗机构的新冠病毒检测数据和检测技术,被黑客公开售卖。被出售的数据具体包括新冠病毒实验室研究成果、技术相关内容,以及检测技术源代码,还有用户数据等。
2019年,Greenbone研究表明,由于图片存档和通信系统(PACS)服务器安全性问题,如今互联网上可免费使用11.9亿张机密医学图像,包括患者姓名、检查原因、出生日期和某些情况下的身份详细信息。在美国发现的7.86亿张医学图像中,甚至包括列出了美国国防部军事防御人员ID的详细信息。
医疗设备网络安全问题引发的数据泄露,除了给机构、医院、患者带来隐私信息和业务数据的流失,带来经济损伤之外,对于患者的人身安全、医疗机构正常运转也是影响极大。网络医疗设备和数据系统,对于医疗照护至关重要。因此,数据泄露、数据窃取也将可能带来安排预约和手术错乱、急救车错行、护理单位关闭甚至整个机构停运的风险,都将使患者处于极其危险之中。
2. 医疗器械网络安全评估
虽然医疗设备网络安全风险极大,但难以避免许多设备厂商迫于设备上市的压力与预算投入的限制,对网络安全不重视或不优先投入,导致设备带“病”上市,影响医疗行业数据安全与患者生命健康。因此,各国医疗设备监管机构也纷纷认识到网络安全攻击的风险,深化网络安全要,网络安全评估逐渐成为了设备入市上市注册流程中必不可少的一个步骤。
a. 安全管理
● 威胁建模
● 网络安全风险评估
● 网络安全管理计划
b. 安全测试
● 模糊测试
● 渗透测试
● 漏洞扫描
● SBOM清单
● 源代码检测
● 第三方组件检测等。