醫(yī)療設(shè)備的安全性正日益受到關(guān)注。在本文中，專家Mike Villegas探討了如何用好最新的針對(duì)醫(yī)療設(shè)備制造商的FDA網(wǎng)絡(luò)安全指南。

[[129433]]

在2014年10月24日，據(jù)路透社報(bào)道，美國(guó)國(guó)土安全部正在對(duì)輸液泵和植入式心臟設(shè)備等醫(yī)療設(shè)備和醫(yī)院設(shè)備中二十幾個(gè)疑似網(wǎng)絡(luò)安全漏洞進(jìn)行調(diào)查，他們擔(dān)心這些漏洞可能會(huì)被攻擊者利用。這些漏洞不僅危害人類生命安全--當(dāng)然這是最關(guān)鍵的風(fēng)險(xiǎn)，而且也會(huì)損害這些設(shè)備的完整性和安全性。

美國(guó)食品藥品管理局(FDA)在2014年10月2日發(fā)布了《Content of Premarket Submissions for Management of Cybersecurity in Medical Devices》，該文件為醫(yī)療設(shè)備制造商提供了網(wǎng)絡(luò)安全功能指南，以幫助加強(qiáng)這些設(shè)備的安全性，防止被攻擊者利用。該指南強(qiáng)調(diào)其中提出都是建議，而不是要求，在閱讀該文件后，筆者發(fā)現(xiàn)，這些建議對(duì)于任何醫(yī)療設(shè)備制造商及其網(wǎng)絡(luò)都很全面且實(shí)用。

現(xiàn)有兩種類型的上市前申請(qǐng)文件：

• 上市前通知(premarket notification，PMN)或者510(k)，在制造商準(zhǔn)備向市場(chǎng)推出醫(yī)療設(shè)備前需向FDA提交此申請(qǐng)。

• 上市前審核批準(zhǔn)(premarket approval，PMA)是FDA的科學(xué)和法規(guī)審查過(guò)程，以評(píng)估III類醫(yī)療設(shè)備的安全性和有效性。根據(jù)聯(lián)邦法律，III類設(shè)備需要獲得上市前批準(zhǔn)才能推向市場(chǎng)。III類設(shè)備是指那些支持或維持人類生命的設(shè)備，它們對(duì)防止人體健康受到損害、或者潛在不合理的生病或受傷，有著實(shí)質(zhì)性的重要意義。

FDA將醫(yī)療設(shè)備分為三類：

• I類設(shè)備只受一般控制。它們通常代表著最低的風(fēng)險(xiǎn)等級(jí)。I類設(shè)備包括彈性繃帶、檢查手套和手持式手術(shù)器械等。

• II類設(shè)備是指單靠一般控制不足以合理保障安全性和有效性的設(shè)備。II類設(shè)備包括電動(dòng)輪椅、輸液泵和手術(shù)洞巾等。

• III類設(shè)備指那些支持或維持人類生命的設(shè)備，它們對(duì)防止人體健康受到損害、或者潛在不合理的生病或受傷，有著實(shí)質(zhì)性的重要意義。III類設(shè)備包括置換心臟瓣膜、硅凝膠乳房假體植入或植入的小腦刺激器等。

這對(duì)制造商和醫(yī)院意味著什么?這意味著，特別是對(duì)III類生命支持和威脅生命的醫(yī)療設(shè)備，至少應(yīng)該部署列出的網(wǎng)絡(luò)安全控制。

制造商

制造商需要確保這些設(shè)備有510(k)或PMA批準(zhǔn)—這取決于設(shè)備類別。III類設(shè)備必須設(shè)計(jì)有針對(duì)識(shí)別、身份驗(yàn)證、監(jiān)控、授權(quán)和完整性檢查的安全措施，以確保防止秘密攻擊。安全和無(wú)故障設(shè)備不是絕對(duì)的，但這里的目標(biāo)是最大化容錯(cuò)和網(wǎng)絡(luò)安全。制造商特別應(yīng)該專注于這樣的醫(yī)療設(shè)備，即通過(guò)無(wú)線或有線連接到另一臺(tái)設(shè)備、互聯(lián)網(wǎng)、其他網(wǎng)絡(luò)，或者連接到便攜式媒體(例如USB或CD)的設(shè)備。因?yàn)檫@些設(shè)備最容易受到網(wǎng)絡(luò)安全威脅。

FDA的指南中強(qiáng)調(diào)的一點(diǎn)是，安全控制不應(yīng)該不合理地阻礙對(duì)設(shè)備的訪問(wèn)，特別是在緊急情況下。這意味著易于訪問(wèn)和強(qiáng)大的網(wǎng)絡(luò)安全控制之間需要保持一定的平衡。

醫(yī)院

醫(yī)院和其他醫(yī)療服務(wù)中心需要確保其購(gòu)買的設(shè)備提供備有證明文件的斷言，證明這些設(shè)備已經(jīng)經(jīng)過(guò)嚴(yán)格的以實(shí)驗(yàn)為依據(jù)的網(wǎng)絡(luò)安全測(cè)試，可能還有獨(dú)立測(cè)試。如果沒(méi)有這些斷言，醫(yī)療機(jī)構(gòu)應(yīng)重新考慮他們是否應(yīng)該購(gòu)買這些設(shè)備或者考慮其他供應(yīng)商的產(chǎn)品。

在確定可供選擇的醫(yī)療設(shè)備清單后，醫(yī)院在做最后的選擇之前需要實(shí)際考察其網(wǎng)絡(luò)安全性。他們應(yīng)該詢問(wèn)以下問(wèn)題：該設(shè)備是否……

• 具有FDA批準(zhǔn)的當(dāng)前有效的PMA?

• 需要用戶身份驗(yàn)證，例如ID和密碼、智能卡或生物識(shí)別技術(shù)，例如指紋掃描?

• 在預(yù)定時(shí)間后，是否有會(huì)話超時(shí)功能?

• 使用基于角色的訪問(wèn)控制來(lái)授予權(quán)限級(jí)別，例如護(hù)理者、醫(yī)生或系統(tǒng)管理員?

• 為無(wú)線連接使用強(qiáng)大的加密功能，例如WPA-2?

• 提供多因素身份驗(yàn)證來(lái)允許特權(quán)設(shè)備訪問(wèn)?

• 使用強(qiáng)密碼語(yǔ)法規(guī)則來(lái)緩解被泄露的風(fēng)險(xiǎn)?例如，最小密碼長(zhǎng)度、字母數(shù)字、每臺(tái)設(shè)備使用不同密碼、加密等。

• 為設(shè)備本身以及任何通訊端口提供物理鎖來(lái)減少篡改?

• 提供最新反惡意軟件/殺毒軟件，以在外部連接中提供保護(hù)，并包含軟件或固件更新?

在這個(gè)指南中，除了針對(duì)醫(yī)療設(shè)備網(wǎng)絡(luò)安全控制建議外，還提到其他指導(dǎo)文件，包括《Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices》和《Guidance for Industry - Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software》。

結(jié)論

FDA定義了“嚴(yán)重級(jí)別”來(lái)估計(jì)因?yàn)樵O(shè)備故障、設(shè)計(jì)漏洞或僅僅使用設(shè)備用于其預(yù)定目的，而可能允許或造成的對(duì)病人或操作者損傷的嚴(yán)重程度，無(wú)論是直接或間接。對(duì)III類設(shè)備進(jìn)行嚴(yán)格審查是非常關(guān)鍵的，應(yīng)該確保所有類型的設(shè)備(特別是III類設(shè)備)擁有510(k)或PMA批準(zhǔn)?？梢哉f(shuō)，對(duì)這些設(shè)備的嚴(yán)格保護(hù)再怎么強(qiáng)調(diào)也不為過(guò)。