美FDA醫療設備網絡安全指南的實施將最大限度地降低醫療機構的網絡安全風險
美國衛生與公眾服務部 (HHS) 食品藥品監督管理局 (FDA) 于2022年4月8日發布了其醫療設備網絡安全指南草案,提供了有關網絡安全設備設計、標簽以及該機構建議在上市前提交中包含的文件對于具有網絡安全風險的設備的建議。上個月,醫療保健和公共衛生部門協調委員會 (HSCC) 還推出了“示范合同語言”,為醫療保健提供組織 (HDO) 和醫療設備制造商 (MDM) 之間的共享合作和協調提供參考。德勤評估稱,由于創新和外部因素將繼續提升和引入新的風險,醫療機構正處于許多巨變的邊緣。鑒于不斷變化的威脅形勢,網絡安全和隱私必須通過設計完全集成到新醫療服務和解決方案的試點和部署中。行業參與者有責任負責任地接受變革的驅動力和挑戰,以兌現對健康未來的承諾,并實現安全可靠的明天。
Industrial Cyber聯系了行業專家,以評估醫療設備制造商面臨的關鍵網絡安全問題,以及隨著醫療保健組織建立網絡安全戰略,FDA草案文件如何最好地解決這些問題。
醫療保健供應鏈協會 (HSCA)總裁兼首席執行官Todd Ebert:遵循購置安全方法
據處理和分析自動化,以及網絡和互聯網訪問支持,使患者護理和提供護理的效率取得重大進展。不幸的是,這些相同的技術以制造商必須解決的網絡安全威脅的形式引入了新的風險。正如FDA指導草案所指出的那樣,這些威脅遠遠超出了單個設備的安全性和有效性,還涉及到設備所連接的網絡和系統以及連接到這些系統和網絡的其他設備。
Ebert補充說,正如FDA指出的那樣,網絡安全需要“內置”到設備中,而不是在設備設計完成后“修補”。為此,制造商應遵循這種內置方法,不僅要遵守法規,還要確保涉及設備的網絡安全事件不會直接或間接地對患者造成傷害;該設備不會充當威脅行為者破壞系統、網絡或連接到該系統或網絡的其他設備的網關。該設備可以在獨立的基礎上繼續提供其基本臨床功能,與所有系統或網絡斷開連接。
Ebert表示,這種理念假設在某些時候,它所連接的設備和系統和/或網絡將受到損害,但該設備的基本臨床功能必須繼續可用。當設備或網絡受到威脅時,網絡安全必須包括對相關威脅和漏洞的響應和解決。FDA的指南草案提供了一套制造商可以用來解決這些關鍵問題的流程和程序。
Medcrypt監管戰略副總裁賽Seth Carmody:網絡安全需協同努力
在很多方面,對醫療器械及其制造商的擔憂與2018年之前的草案出臺時相同;然而,大流行期間對醫療保健的攻擊以及最近的地緣政治沖突增加了風險。
根據Carmody的說法,安全有效的工程設備要求它們是安全的,并且設備制造商需要開展某些活動來調整其安全態勢。這些活動被封裝在安全產品開發框架或 SPDF(secure product development framework)的概念中。該機構正在澄清哪些SPDF 活動對于滿足其監管標準最重要,以及應向該機構提交什么作為這些活動生產出符合監管預期的設備的證據基礎。
Carmody還表示,該文件需要付出相當大的努力才能將SPDF活動與包括質量體系法規(QSR)在內的當前法定權威聯系起來。該指南還旨在幫助制造商以最有效的方式向FDA報告他們的安全事件。
談到FDA草案文件中包含的關鍵要素,這些要素可能有助于啟動就醫療保健部門采購合同的重要網絡安全問題進行談判,Ebert表示,HSCA認識到制造商在與數千或更多醫療保健提供者談判網絡安全條款時面臨的挑戰.
Ebert說,“我們希望制造商反過來認識到供應商在談判這些相同條款時面臨的挑戰,然后在涉及來自數百甚至數千家供應商的數千、數萬或更多設備的大型復雜網絡上實施網絡安全”。此外,各方需要認識到,網絡安全是一項協作努力,需要所有相關方保持警惕和合作。
Ebert 還指出,HSCA于2021年秋季更新了其“醫療器械網絡安全條款和條件建議”,其中指出供應商應保證其設備在整個產品生命周期內符合FDA關于網絡安全的上市前和上市后指南。“該建議有意不指定任何特定版本的指導文件,承認網絡安全的最佳實踐和FDA的指導將隨著時間的推移而發展。我們完全期望,在 FDA將行業和公眾的意見納入更新的指南后,我們的建議不會改變”。
Ebert進一步補充說,制造商遵守FD 提出的指導方針將解決HSCA建議中的許多條款,包括“保證產品”從交付到服務結束不存在已知的惡意軟件和漏洞。它還幫助HDO及時解決網絡安全威脅和漏洞。這包括但不限于提供及時的更新和補丁、共享漏洞信息的門戶和安全聯系人。它還提供外部訪問和遠程支持的流程和技術文檔,包括安全認證、授權和監控。
SBOM助力漏洞管理
Ebert認為,FDA提出的指導方針還包括提供描述產品組成部分的材料清單,包括在實施之前向HDO提供軟件材料清單 (SBOM),其中包括軟件版本、補丁級別和補丁計劃。它還提供了描述產品生命周期的產品路線圖,包括服務終止、生命周期終止和支持終止。他補充說,它還涉及使用行業認可的漏洞評分方法和披露該方法以及用于溝通和解決已識別漏洞和威脅的流程、程序、資源和時間表。
Carmody說,他認為“如果我們將FDA的指南與最近發布的HSCC的醫療技術網絡安全模型合同語言進行比較,我們會發現應該內置哪些設備控制與醫院理想采購的設備之間存在顯著重疊;“
仔細研究SBOM如何適用于醫療保健組織以及必須采取哪些預防措施,Ebert 說:“我們可以預期SBOM的使用在醫療保健行業內外迅速增長,因為網絡安全和基礎設施安全局(CISA ) )將SBOM描述為軟件安全和軟件供應鏈風險管理的關鍵組成部分。”
根據Ebert的說法,由于組裝、傳播、使用和維護SBOM的標準格式和系統仍在開發中,制造商和供應商需要準備好適應它們的發展。“理想情況下,SBOM將是設備軟件組件(包括軟件版本和補丁級別)的機器可讀和可維護分類帳。這些可以幫助制造商和供應商管理和識別漏洞。能夠以自動化方式管理這些軟件組件的實體將能夠在幾分鐘或幾小時內識別已知風險,而手動搜索則需要幾天、幾周或幾個月的時間,”他補充道。
Ebert還強調,尚不清楚醫療保健組織是否需要對SBOM進行任何特殊調整,只要它們還要求并使用制造商醫療器械安全披露聲明 (MDS2)。“SBOM將與設備相關聯,該設備還將與MDS2相關聯,該MDS2應提供與該設備相關的任何醫療保健特定信息。與管理和維護SBOM和MDS2相關的系統和工具再次處于起步階段,因此尋求實施解決方案的組織需要隨著這些解決方案的發展而變得敏捷和適應,”他補充道。
“我們預計,制造和支持方面的最佳實踐將使大多數設備制造商已經記錄其設備中的所有軟件組件,”Ebert說。“如果是這種情況,那么下一步就是開發流程、程序和系統,將這些信息轉化為機器可讀/可維護的格式,并將這些信息傳播給設備所有者,”他補充道。
積極應對COTS軟件產品的安全風險
“一個重要的攻擊媒介是通過商業、現成的COTS軟件產品中的已知漏洞,”Carmody說。“與許多行業一樣,使用COTS軟件產品使醫療技術公司能夠更快地構建挽救生命和維持生命的技術。由于其無處不在,COTS軟件成為目標,使用它會帶來額外的安全負擔;了解您正在使用或操作的組件、易受攻擊的組件以及發生的風險。并不是特別需要調整SBOM,而是當醫療保健組織資源有限時,它們是如何被消費和采取行動的,”他補充道。
Carmody 提出了一些預防措施,包括可能對某些醫療保健組織有用的軟件組件的原始列表,但給定軟件組件中的漏洞風險將取決于上下文,這是生產商必須提供的信息, 該行業正在研究如何提供SBOM和具有上下文的漏洞。
他還表示,目前,漏洞信息通常直接發布到互聯網上,存在一些風險,即那些受到信息特別影響的人可能看不到它,而那些不需要看到信息的人,例如攻擊者可以將信息用于邪惡目的。“這兩個問題都可以通過使用票據交換所類型的實體來解決,其中信息的訪問僅限于相關技術的生產者和消費者。已經討論了一個票據交換所機構,但目前不存在,”Carmody補充道。
密碼技術助力衛生保健數據保護
除其他外,FDA建議使用密碼學。Ebert分析了密碼學將如何幫助醫療保健行業以及專門構建的密碼學和證書管理將發揮的作用,特別是對于醫療設備,在該行業內,Ebert說,FDA的指南草案建議使用密碼算法和協議進行身份驗證和數據加密。
“HSCA建議在可行的情況下對傳輸中的所有數據進行加密,并確保身份驗證信息(用戶名、密碼、密鑰等)、個人身份信息 (PII)、受保護的健康信息 (PHI)以及任何機密或敏感信息,應該始終在傳輸和靜止時加密,”Ebert說。“密碼學通常可以提供比其他方法更強大的安全性。然而,正如FDA所承認的,并非所有的加密算法和協議都是平等的,醫療設備制造商在其設備設計中使用強大的、行業接受的加密標準和算法非常重要,”他補充道。
根據Ebert的說法,使用加密技術進行證書管理可以幫助制造商更安全地訪問、監控、修補和更新連接的設備。“制造商在設備的整個生命周期內提供的這種支持是設備網絡安全的關鍵組成部分,但遠程訪問是系統的潛在弱點之一。能夠以更安全的方式管理這種支持和訪問將對制造商和設備所有者都有好處,”他補充道。
“密碼學實現了兩個主要功能:保護敏感信息以及在設備或設備與用戶之間建立信任,”Carmody說。“正確設計和實施的密碼學,包括通過PKI啟用的功能,肯定會在幫助行業過渡到更加零信任的精神方面大有幫助;鑒于大流行期間對醫療保健的攻擊,您看到了對零信任的呼吁,”他補充說。
Carmody還表示,該行業正在從僅從臨床特征角度設計設備轉變為包含基于密碼學的安全功能,例如基本的簽名/驗證或加密/解密操作。“這種轉變提出了一項艱巨的挑戰;即PKI等傳統的IT加密基礎設施產品并沒有解決醫療設備用例,特別是當前的證書標準不適合資源受限的設備,許多設備沒有連接到醫院外,設備的生產商沒有'不擁有或操作該設備;包括患者直接擁有的那些,”他補充說。
“這讓生產商不得不改造傳統的IT產品、自己制造或與專家合作;所有這些選擇都伴隨著風險,”Carmody總結道。
原文鏈接:
https://industrialcyber.co/analysis/adopting-fdas-medical-device-cybersecurity-draft-to-minimize-security-risks-at-healthcare-organizations/
原文來源:網空閑話
“投稿聯系方式:孫中豪 010-82992251 sunzhonghao@cert.org.cn”
