美國政府最近警告說，許多制造商面臨供應(yīng)鏈中斷的困擾，重建供應(yīng)鏈?zhǔn)侵刂兄?。一些分析人士認為，在新冠疫情消退之前，可能需要幾個月甚至幾年的時間才能恢復(fù)。

醫(yī)療設(shè)備制造商并未被排除在這種供應(yīng)鏈中斷之外，但也不能在供應(yīng)鏈恢復(fù)之前暫停生產(chǎn)。企業(yè)需要保持生產(chǎn)順暢，這就需要尋找新的供應(yīng)商。然而，新的供應(yīng)商或者沒有經(jīng)過審查的供應(yīng)商將會帶來新的風(fēng)險，以及將漏洞和威脅引入產(chǎn)品或設(shè)備生命周期的可能性。

最薄弱的環(huán)節(jié)

正如行業(yè)媒體最近報道的那樣，包括菲利普斯和通用電氣醫(yī)療保健公司在內(nèi)的許多主要醫(yī)療保健制造商都面臨著供應(yīng)鏈挑戰(zhàn)。供應(yīng)的延遲影響了他們在數(shù)量和時間上滿足生產(chǎn)預(yù)期的能力。未能達到這些預(yù)期影響了他們的利潤，這些企業(yè)在去年第四季度出現(xiàn)了明顯的虧損。

未能交付

在許多情況下，由于生產(chǎn)或運輸?shù)难诱`，供應(yīng)線也受到了影響。即使生產(chǎn)了產(chǎn)品，也無法迅速進入生產(chǎn)的下一步。這導(dǎo)致企業(yè)必須預(yù)先訂購和存儲比以往更多的備件，以建立庫存，并確保其生產(chǎn)鏈的一致性。

這種對庫存或過度訂購的需求，促使許多企業(yè)尋找能夠穩(wěn)定供應(yīng)的替代供應(yīng)商。隨著新供應(yīng)商的出現(xiàn)，新組件、未經(jīng)測試的組件和新漏洞的潛在風(fēng)險也隨之增加。

這就是面臨的挑戰(zhàn)呈指數(shù)增長的地方。當(dāng)值得信賴和經(jīng)過審查的供應(yīng)商被迅速更換或擴充時，網(wǎng)絡(luò)威脅和漏洞進入產(chǎn)品或設(shè)備生命周期的風(fēng)險會顯著增加。

即使在最好的時期，供應(yīng)鏈問題也是企業(yè)最薄弱的環(huán)節(jié)之一。其挑戰(zhàn)不僅在于它們?nèi)绾斡绊懮a(chǎn)能力，還在于它們?nèi)绾斡绊懽罱K產(chǎn)品的安全性。對于任何復(fù)雜的醫(yī)療設(shè)備，都有許多提供硬件和軟件的供應(yīng)商。將這些組件組裝成最終產(chǎn)品的制造商對各種組件或軟件的控制和可見性有限，這給最終產(chǎn)品及其用戶帶來了巨大的風(fēng)險。而更換供應(yīng)商只會增加他們的風(fēng)險狀況。

審查新供應(yīng)商

有時，避免短缺的唯一方法是找到不同的供應(yīng)商來滿足要求。這對于醫(yī)療設(shè)備尤其重要，因為準(zhǔn)時生產(chǎn)和及時交付可能是一個生死攸關(guān)的問題。

當(dāng)新的供應(yīng)商加入時，仍然需要建立信任。由于以前并不了解，因此選擇需要更加謹慎，尤其是在審查供應(yīng)商產(chǎn)品的質(zhì)量時必須監(jiān)控軟件漏洞，這對產(chǎn)品安全至關(guān)重要。這是第一步，為了滿足美國食品藥品監(jiān)督管理局(FDA)對醫(yī)療設(shè)備的嚴格要求，確保組件互操作、容錯并且不存在任何固有漏洞至關(guān)重要。

代碼中的漏洞

任何時候從開源庫開發(fā)或集成代碼時，都可能存在未發(fā)現(xiàn)的缺陷。任何包含軟件的設(shè)備都可能在其中或其使用的軟件庫中出現(xiàn)錯誤。在開發(fā)過程的早期評估這一點，對于安全產(chǎn)品開發(fā)和盡早發(fā)現(xiàn)漏洞以降低風(fēng)險和減少損害至關(guān)重要。

如今，開發(fā)軟件更多的是組合而不是編寫，利用商業(yè)和開源軟件來創(chuàng)建設(shè)備功能的核心。這些組件在加快構(gòu)建時間的同時，也引入了潛在的漏洞。例如，直到最近，Log4j庫才被認為是行業(yè)標(biāo)準(zhǔn)和日志功能的安全開源補充。2021年12月，這些庫被確定為具有遠程代碼執(zhí)行(RCE)漏洞，該漏洞獲得了10分的最高CVSS分數(shù)。在發(fā)現(xiàn)之后，世界各地的企業(yè)都爭先恐后地修補這一漏洞，以免網(wǎng)絡(luò)攻擊者利用。

商業(yè)軟件也不能免受安全漏洞的影響。Ripple20庫也被認為是一個相對安全且符合行業(yè)標(biāo)準(zhǔn)的軟件組件而其易受攻擊的狀態(tài)使許多設(shè)備容易受到網(wǎng)絡(luò)攻擊。

軟件方面的挑戰(zhàn)是導(dǎo)致總統(tǒng)拜登下令通過透明度幫助改善軟件供應(yīng)鏈安全的部分原因。該命令規(guī)定，軟件物料清單(SBOM)應(yīng)該可以供制造商、供應(yīng)商和消費者使用。軟件物料清單(SBOM)應(yīng)包含基于美國國家電信和信息管理局(NTIA)最低要素的標(biāo)準(zhǔn)，其中包括有關(guān)軟件組件、其版本和依賴性的深入信息。有了這些信息，企業(yè)可以在現(xiàn)有漏洞和新漏洞出現(xiàn)時對其進行跟蹤。

信任但要驗證

與新供應(yīng)商合作的第一步是從安全角度驗證他們的技術(shù)。跟蹤這項工作的結(jié)果對于確定可靠的供應(yīng)商以及可能提供有缺陷或易受攻擊產(chǎn)品的供應(yīng)商至關(guān)重要。然而，驗證供應(yīng)商組件和產(chǎn)品軟件的安全狀況并不容易。在許多情況下，源代碼并不容易獲得，因此必須通過其他途徑獲得可見性，例如不依賴于源代碼可用的二進制分析。

并非每個漏洞評估工具都能提供準(zhǔn)確的結(jié)果，可靠的解決方案需要了解已發(fā)現(xiàn)漏洞的潛在范圍和可訪問性。這一信息將有助于縮小漏洞是否適用于其產(chǎn)品。使用驗證和測試工具來評估編譯的代碼，對于保證不提供直接代碼可見性的產(chǎn)品的安全性至關(guān)重要。

在醫(yī)療設(shè)備方面，信任供應(yīng)商面臨更大的風(fēng)險。確保使用正確的解決方案進行盡職調(diào)查至關(guān)重要。使用正確的平臺實施完整的評估流程將使企業(yè)能夠在不犧牲安全性的情況下有效應(yīng)對新供應(yīng)商的挑戰(zhàn)。