近日,阿里巴巴達摩院正式發(fā)布2022十大科技趨勢,涵蓋范式充值、場景變革和未來互聯(lián)三大領(lǐng)域。其中,達摩院認為,預計未來三年,以人為中心的精準醫(yī)療將成為主要方向,人工智能將全面滲透在疾病預防和診療的各個環(huán)節(jié),成為疾病預防和診療的高精度導航協(xié)同。
智能醫(yī)療設(shè)備的安全威脅
近年來,醫(yī)療衛(wèi)生行業(yè)一直在推進數(shù)字化,如物聯(lián)網(wǎng)在醫(yī)療設(shè)備中的使用,醫(yī)療設(shè)備的自動化、人工智能在醫(yī)療場景中的應(yīng)用等等。
因此,未來,隨著人工智能在醫(yī)療衛(wèi)生行業(yè)的滲透、融合,將會有越來越多的智能醫(yī)療設(shè)備被使用。艾媒咨詢分析師認為,隨著產(chǎn)業(yè)發(fā)展環(huán)境持續(xù)優(yōu)化,以及公眾對醫(yī)療器械診斷精準化的需求日趨強烈,未來中國醫(yī)療器械行業(yè)的市場規(guī)模,將會保持穩(wěn)定增長態(tài)勢。
據(jù)了解,當今的智能醫(yī)療設(shè)備將會收集大量數(shù)據(jù)并將其保存在云平臺上。這些數(shù)據(jù)包括患者的個人數(shù)據(jù),例如健康信息、產(chǎn)品性能,甚至來自設(shè)備本身的一些重要數(shù)據(jù)。
但在智能醫(yī)療設(shè)備更加方便快捷的同時,其所存儲的大量數(shù)據(jù)也面臨著巨大的網(wǎng)絡(luò)攻擊風險,尤其是個人數(shù)據(jù)和敏感性質(zhì)類數(shù)據(jù)。而且網(wǎng)絡(luò)攻擊者通常以醫(yī)療行業(yè)領(lǐng)域為目標,因此醫(yī)療設(shè)備的安全性需要更加關(guān)注以保護數(shù)據(jù)及用戶隱私安全。
另外,網(wǎng)絡(luò)犯罪分子還能從醫(yī)療設(shè)備竊取許多機密數(shù)據(jù),甚至更改或操縱這些數(shù)據(jù),發(fā)出可能危及患者健康的錯誤命令。例如,一個研究團隊在2019年開發(fā)了一種惡意軟件,可以將腫瘤圖像添加到計算機斷層掃描(CT)或磁共振(MRI)掃描圖像中,它甚至可以去除圖片中的腫瘤圖像。這項研究揭示了醫(yī)療領(lǐng)域可能面臨的此類網(wǎng)絡(luò)攻擊威脅的嚴重性。
總之,醫(yī)療數(shù)據(jù)有著極大的利用價值,若是不法分子竊取了大量醫(yī)療數(shù)據(jù),將其出售給不可信的來源。這將在很大程度上危及受害者的人身安全和隱私。
醫(yī)療器械企業(yè)為什么要重視網(wǎng)絡(luò)安全?
在很多醫(yī)療數(shù)據(jù)泄露的案例中,網(wǎng)絡(luò)犯罪分子往往從攻擊醫(yī)療設(shè)備開始。醫(yī)療器械成為網(wǎng)絡(luò)犯罪分子的關(guān)鍵切入點。
不難想象,如果連接網(wǎng)絡(luò)的一些醫(yī)療器械采用比較簡單的網(wǎng)關(guān),網(wǎng)絡(luò)犯罪分子不僅可以訪問設(shè)備中的數(shù)據(jù),還可以訪問所有連接的設(shè)備。
例如,2017年的WannaCry勒索軟件攻擊事件中,最引人注目的受害者之一就是英國國家衛(wèi)生服務(wù)系統(tǒng)(NHS),該系統(tǒng)運行著大量易受攻擊的機器,因此受到的打擊極大,三分之一的NHS醫(yī)院信托機構(gòu)遭受了攻擊。
根據(jù)Ordr的相關(guān)報告顯示,“使用醫(yī)療設(shè)備進行上網(wǎng)可能會使機構(gòu)面臨著更高的安全風險,很容易受到勒索軟件和其他惡意軟件的攻擊”。
如2020年,F(xiàn)DA發(fā)布了一連串的警告,敦促醫(yī)療設(shè)備制造商和醫(yī)院針對一系列的含有漏洞的硬件進行修復,包括Sweyn Tooth,URGENT/11,Ripple20和SigRed。其中,Ripple20是2020年6月發(fā)現(xiàn)的一組bug,該漏洞影響了5.3萬個醫(yī)療設(shè)備。根據(jù)Forescout的研究,這些漏洞可以讓攻擊者執(zhí)行遠程代碼。
另外,根據(jù)Ordr的數(shù)據(jù),通過對500萬臺醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備進行了為期一年的分析,發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設(shè)備上。被召回的IoMT設(shè)備可以認為是有漏洞的,或者是會造成安全風險的設(shè)備。
可見,醫(yī)療器械的網(wǎng)絡(luò)安全的重要性無可爭辯。
醫(yī)療設(shè)備的網(wǎng)絡(luò)安全需要生產(chǎn)者(企業(yè))與使用者(醫(yī)院等醫(yī)療機構(gòu))的共同維護。使用者對于醫(yī)療設(shè)備網(wǎng)絡(luò)安全的維護,除了機構(gòu)內(nèi)的信息運維部門,醫(yī)護只能在病人監(jiān)護、通氣、麻醉、輸液泵等方面起到關(guān)鍵作用。
但是,醫(yī)療設(shè)備在遭到網(wǎng)絡(luò)攻擊時,需要敏捷的示警以提醒醫(yī)務(wù)人員、醫(yī)療部門的信息科。如實驗室和放射設(shè)備在面臨網(wǎng)絡(luò)攻擊時,可能會產(chǎn)生嚴重影響。而其中的無線標簽、聯(lián)網(wǎng)墊圈、門禁和其他作用不大的設(shè)備也會影響醫(yī)務(wù)人員的響應(yīng)時間。
醫(yī)療器械企業(yè)在保護設(shè)備的網(wǎng)絡(luò)安全中,承擔著至關(guān)重要的一環(huán),如醫(yī)療設(shè)備在遭到網(wǎng)絡(luò)攻擊時,需要及時預警。因此,醫(yī)療器械企業(yè)在設(shè)備開發(fā)的最初階段,就應(yīng)重視設(shè)備的網(wǎng)絡(luò)安全防護能力。
2022年3月9日,國家藥監(jiān)局器審中心發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊審查指導原則(2022年修訂版)》(以下簡稱《指導原則修訂版》)。《指導原則修訂版》貫徹《中華人民共和國網(wǎng)絡(luò)安全法》的要求,符合國家推進網(wǎng)絡(luò)安全社會化服務(wù)體系建設(shè),鼓勵有關(guān)企業(yè)、機構(gòu)開展網(wǎng)絡(luò)安全認證、檢測和風險評估等安全服務(wù)的要求,以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當符合相關(guān)國家標準的強制性要求。
與舊版的《指導原則》相比較,《指導原則修訂版》對醫(yī)療器械的網(wǎng)絡(luò)安全全生命周期提出了更高的要求。
例如,《指導原則修訂版》將醫(yī)療器械相關(guān)數(shù)據(jù)明確分為醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù);所述醫(yī)療器械電子接口(含硬件接口、軟件接口)包括網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口,若無明示均指外部接口,分體式醫(yī)療器械各獨立部分的內(nèi)部接口視為外部接口,如服務(wù)器與客戶端、主機與從機的內(nèi)部接口。
考慮到預期用途、使用場景的限制,《指導原則修訂版》新增了醫(yī)療器械對于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識別、保護能力和適當?shù)奶綔y、響應(yīng)、恢復能力。
另外,考慮到醫(yī)療器械面臨日益復雜嚴峻的網(wǎng)絡(luò)安全威脅,《指導原則修訂版》新增規(guī)定:注冊申請人需基于相關(guān)標準和技術(shù)報告建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機制,保證醫(yī)療器械的安全有效性并保護患者隱私。
簡而言之,醫(yī)療器械企業(yè)必須要重視、做好醫(yī)療設(shè)備的網(wǎng)絡(luò)安全防護。否則,將給患者的隱私和安全帶來巨大的風險,其數(shù)據(jù)泄露也會給醫(yī)療機構(gòu)帶來更多的經(jīng)濟損失。另外,醫(yī)療機構(gòu)也要給醫(yī)護人員做好安全意識培訓,并增強在日常工作過程中的安全系統(tǒng)防護。
后記
有一項調(diào)查數(shù)據(jù)顯示,目前53%的醫(yī)療器械企業(yè)沒有使用二進制代碼分析來驗證其代碼的安全性或發(fā)現(xiàn)供應(yīng)鏈中的風險。46%的企業(yè)在設(shè)計階段就設(shè)定了安全要求,而其余的企業(yè)在開發(fā)過程的早期沒有適當?shù)牧鞒虂韺崿F(xiàn)安全左移。近三分之二的企業(yè)依賴每月的設(shè)備固件測試計劃。
隨著醫(yī)療設(shè)備對互聯(lián)和軟件的依賴性不斷增強,其代碼庫的規(guī)模和復雜性都在增長,并且越來越依賴第三方和開源軟件組件,面對與日俱增的網(wǎng)絡(luò)安全風險,醫(yī)療器械企業(yè)做好準備了嗎?
