美FDA医疗设备网络安全指南的实施将最大限度地降低医疗机构的网络安全风险

美国卫生与公众服务部 (HHS) 食品药品监督管理局 (FDA) 于2022年4月8日发布了其医疗设备网络安全指南草案，提供了有关网络安全设备设计、标签以及该机构建议在上市前提交中包含的文件对于具有网络安全风险的设备的建议。上个月，医疗保健和公共卫生部门协调委员会 (HSCC) 还推出了“示范合同语言”，为医疗保健提供组织 (HDO) 和医疗设备制造商 (MDM) 之间的共享合作和协调提供参考。德勤评估称，由于创新和外部因素将继续提升和引入新的风险，医疗机构正处于许多巨变的边缘。鉴于不断变化的威胁形势，网络安全和隐私必须通过设计完全集成到新医疗服务和解决方案的试点和部署中。行业参与者有责任负责任地接受变革的驱动力和挑战，以兑现对健康未来的承诺，并实现安全可靠的明天。

Industrial Cyber联系了行业专家，以评估医疗设备制造商面临的关键网络安全问题，以及随着医疗保健组织建立网络安全战略，FDA草案文件如何最好地解决这些问题。

 医疗保健供应链协会 (HSCA)总裁兼首席执行官Todd Ebert：遵循购置安全方法

据处理和分析自动化，以及网络和互联网访问支持，使患者护理和提供护理的效率取得重大进展。不幸的是，这些相同的技术以制造商必须解决的网络安全威胁的形式引入了新的风险。正如FDA指导草案所指出的那样，这些威胁远远超出了单个设备的安全性和有效性，还涉及到设备所连接的网络和系统以及连接到这些系统和网络的其他设备。

Ebert补充说，正如FDA指出的那样，网络安全需要“内置”到设备中，而不是在设备设计完成后“修补”。为此，制造商应遵循这种内置方法，不仅要遵守法规，还要确保涉及设备的网络安全事件不会直接或间接地对患者造成伤害；该设备不会充当威胁行为者破坏系统、网络或连接到该系统或网络的其他设备的网关。该设备可以在独立的基础上继续提供其基本临床功能，与所有系统或网络断开连接。

Ebert表示，这种理念假设在某些时候，它所连接的设备和系统和/或网络将受到损害，但该设备的基本临床功能必须继续可用。当设备或网络受到威胁时，网络安全必须包括对相关威胁和漏洞的响应和解决。FDA的指南草案提供了一套制造商可以用来解决这些关键问题的流程和程序。  

Medcrypt监管战略副总裁赛Seth Carmody：网络安全需协同努力

在很多方面，对医疗器械及其制造商的担忧与2018年之前的草案出台时相同；然而，大流行期间对医疗保健的攻击以及最近的地缘政治冲突增加了风险。

根据Carmody的说法，安全有效的工程设备要求它们是安全的，并且设备制造商需要开展某些活动来调整其安全态势。这些活动被封装在安全产品开发框架或 SPDF（secure product development framework）的概念中。该机构正在澄清哪些SPDF 活动对于满足其监管标准最重要，以及应向该机构提交什么作为这些活动生产出符合监管预期的设备的证据基础。 

Carmody还表示，该文件需要付出相当大的努力才能将SPDF活动与包括质量体系法规(QSR)在内的当前法定权威联系起来。该指南还旨在帮助制造商以最有效的方式向FDA报告他们的安全事件。

谈到FDA草案文件中包含的关键要素，这些要素可能有助于启动就医疗保健部门采购合同的重要网络安全问题进行谈判，Ebert表示，HSCA认识到制造商在与数千或更多医疗保健提供者谈判网络安全条款时面临的挑战. 

Ebert说，“我们希望制造商反过来认识到供应商在谈判这些相同条款时面临的挑战，然后在涉及来自数百甚至数千家供应商的数千、数万或更多设备的大型复杂网络上实施网络安全”。此外，各方需要认识到，网络安全是一项协作努力，需要所有相关方保持警惕和合作。 

Ebert 还指出，HSCA于2021年秋季更新了其“医疗器械网络安全条款和条件建议”，其中指出供应商应保证其设备在整个产品生命周期内符合FDA关于网络安全的上市前和上市后指南。“该建议有意不指定任何特定版本的指导文件，承认网络安全的最佳实践和FDA的指导将随着时间的推移而发展。我们完全期望，在 FDA将行业和公众的意见纳入更新的指南后，我们的建议不会改变”。

Ebert进一步补充说，制造商遵守FD 提出的指导方针将解决HSCA建议中的许多条款，包括“保证产品”从交付到服务结束不存在已知的恶意软件和漏洞。它还帮助HDO及时解决网络安全威胁和漏洞。这包括但不限于提供及时的更新和补丁、共享漏洞信息的门户和安全联系人。它还提供外部访问和远程支持的流程和技术文档，包括安全认证、授权和监控。

 SBOM助力漏洞管理

Ebert认为，FDA提出的指导方针还包括提供描述产品组成部分的材料清单，包括在实施之前向HDO提供软件材料清单 (SBOM)，其中包括软件版本、补丁级别和补丁计划。它还提供了描述产品生命周期的产品路线图，包括服务终止、生命周期终止和支持终止。他补充说，它还涉及使用行业认可的漏洞评分方法和披露该方法以及用于沟通和解决已识别漏洞和威胁的流程、程序、资源和时间表。

Carmody说，他认为“如果我们将FDA的指南与最近发布的HSCC的医疗技术网络安全模型合同语言进行比较，我们会发现应该内置哪些设备控制与医院理想采购的设备之间存在显着重叠；“

仔细研究SBOM如何适用于医疗保健组织以及必须采取哪些预防措施，Ebert 说：“我们可以预期SBOM的使用在医疗保健行业内外迅速增长，因为网络安全和基础设施安全局(CISA ) )将SBOM描述为软件安全和软件供应链风险管理的关键组成部分。” 

根据Ebert的说法，由于组装、传播、使用和维护SBOM的标准格式和系统仍在开发中，制造商和供应商需要准备好适应它们的发展。“理想情况下，SBOM将是设备软件组件（包括软件版本和补丁级别）的机器可读和可维护分类帐。这些可以帮助制造商和供应商管理和识别漏洞。能够以自动化方式管理这些软件组件的实体将能够在几分钟或几小时内识别已知风险，而手动搜索则需要几天、几周或几个月的时间，”他补充道。

Ebert还强调，尚不清楚医疗保健组织是否需要对SBOM进行任何特殊调整，只要它们还要求并使用制造商医疗器械安全披露声明 (MDS2)。“SBOM将与设备相关联，该设备还将与MDS2相关联，该MDS2应提供与该设备相关的任何医疗保健特定信息。与管理和维护SBOM和MDS2相关的系统和工具再次处于起步阶段，因此寻求实施解决方案的组织需要随着这些解决方案的发展而变得敏捷和适应，”他补充道。

“我们预计，制造和支持方面的最佳实践将使大多数设备制造商已经记录其设备中的所有软件组件，”Ebert说。“如果是这种情况，那么下一步就是开发流程、程序和系统，将这些信息转化为机器可读/可维护的格式，并将这些信息传播给设备所有者，”他补充道。

 积极应对COTS软件产品的安全风险

“一个重要的攻击媒介是通过商业、现成的COTS软件产品中的已知漏洞，”Carmody说。“与许多行业一样，使用COTS软件产品使医疗技术公司能够更快地构建挽救生命和维持生命的技术。由于其无处不在，COTS软件成为目标，使用它会带来额外的安全负担；了解您正在使用或操作的组件、易受攻击的组件以及发生的风险。并不是特别需要调整SBOM，而是当医疗保健组织资源有限时，它们是如何被消费和采取行动的，”他补充道。

Carmody 提出了一些预防措施，包括可能对某些医疗保健组织有用的软件组件的原始列表，但给定软件组件中的漏洞风险将取决于上下文，这是生产商必须提供的信息, 该行业正在研究如何提供SBOM和具有上下文的漏洞。

他还表示，目前，漏洞信息通常直接发布到互联网上，存在一些风险，即那些受到信息特别影响的人可能看不到它，而那些不需要看到信息的人，例如攻击者可以将信息用于邪恶目的。“这两个问题都可以通过使用票据交换所类型的实体来解决，其中信息的访问仅限于相关技术的生产者和消费者。已经讨论了一个票据交换所机构，但目前不存在，”Carmody补充道。

 密码技术助力卫生保健数据保护

除其他外，FDA建议使用密码学。Ebert分析了密码学将如何帮助医疗保健行业以及专门构建的密码学和证书管理将发挥的作用，特别是对于医疗设备，在该行业内，Ebert说，FDA的指南草案建议使用密码算法和协议进行身份验证和数据加密。 

“HSCA建议在可行的情况下对传输中的所有数据进行加密，并确保身份验证信息（用户名、密码、密钥等）、个人身份信息 (PII)、受保护的健康信息 (PHI)以及任何机密或敏感信息，应该始终在传输和静止时加密，”Ebert说。“密码学通常可以提供比其他方法更强大的安全性。然而，正如FDA所承认的，并非所有的加密算法和协议都是平等的，医疗设备制造商在其设备设计中使用强大的、行业接受的加密标准和算法非常重要，”他补充道。 

根据Ebert的说法，使用加密技术进行证书管理可以帮助制造商更安全地访问、监控、修补和更新连接的设备。“制造商在设备的整个生命周期内提供的这种支持是设备网络安全的关键组成部分，但远程访问是系统的潜在弱点之一。能够以更安全的方式管理这种支持和访问将对制造商和设备所有者都有好处，”他补充道。

“密码学实现了两个主要功能：保护敏感信息以及在设备或设备与用户之间建立信任，”Carmody说。“正确设计和实施的密码学，包括通过PKI启用的功能，肯定会在帮助行业过渡到更加零信任的精神方面大有帮助；鉴于大流行期间对医疗保健的攻击，您看到了对零信任的呼吁，”他补充说。

Carmody还表示，该行业正在从仅从临床特征角度设计设备转变为包含基于密码学的安全功能，例如基本的签名/验证或加密/解密操作。“这种转变提出了一项艰巨的挑战；即PKI等传统的IT加密基础设施产品并没有解决医疗设备用例，特别是当前的证书标准不适合资源受限的设备，许多设备没有连接到医院外，设备的生产商没有'不拥有或操作该设备；包括患者直接拥有的那些，”他补充说。

“这让生产商不得不改造传统的IT产品、自己制造或与专家合作；所有这些选择都伴随着风险，”Carmody总结道。

原文链接：

https://industrialcyber.co/analysis/adopting-fdas-medical-device-cybersecurity-draft-to-minimize-security-risks-at-healthcare-organizations/

原文来源：网空闲话

“投稿联系方式：孙中豪 010-82992251 sunzhonghao@cert.org.cn”