地点

语言

医疗器械领域的网络安全威胁

2023 年 8 月 4 日

有人在电脑前工作,阳光从窗外照进来。
在 LinkedIn 上分享

随着技术的快速发展,网络安全已成为许多行业不可或缺的重要因素。随着网络攻击的风险渗透到医疗保健行业,美国国会迫于压力不得不采取行动。随着一系列医疗设备--静脉输液泵、核磁共振成像仪、心率监视器--能够连接到数字网络,它们越来越容易受到网络相关风险的影响。

网络安全风险呈上升趋势

造成医疗设备网络安全威胁上升的因素有很多。其中最直接的因素就是医疗行业中大量出现的连接。越来越多的医疗设备被设计成可以连接到互联网和其他数字网络。虽然这些技术进步带来了许多好处,但它也将软件--以及患者的数据--推向了风险世界。黑客可以利用软件或网络连接中的漏洞获取敏感数据,甚至控制设备本身。在这种情况下,产品召回对患者的生命尤为危险,因为无法继续使用设备。

还必须考虑修复的概念。有时,联网设备可以通过无线软件补丁进行修复。鉴于某些设备的性质及其对患者健康的重要性,软件补丁和召回都不是简单的解决方案。此外,医院和医疗中心还安装了重型设备和仪器,这些设备和仪器无法轻易从其物理位置移除;核磁共振成像扫描仪、X 光机和超声波机就是其中的几种。随着这些设备越来越多地连接到医院网络,它们也容易受到网络威胁。如果这些设备无法通过软件补丁进行远程修复,则通常需要部署一名现场工程师进行现场检查、诊断和修复。

召回的可能性不仅取决于实际事件,还取决于网络攻击的易感性。先发制人的漏洞测试在识别这些设备的安全结构弱点方面发挥着关键作用,有助于在事件发生前减轻其影响。通过持续评估和对发现的漏洞进行补救,医疗保健提供商和制造商可以提高关键医疗设备的整体网络安全性,降低对患者造成伤害和数据泄露的风险。

医疗器械监管机构正急于跟上快速发展的技术。尽管如此,整个行业仍然没有统一的安全法规。因此,制造商无法设计出具有强大安全系统的产品,而将尽全力评估设备安全性的责任推给了医疗服务提供商。许多医疗设备都是建立在传统系统上的,其设计并不符合现代安全标准。这些系统可能特别容易受到网络攻击,而且更新以抵御现代威胁的难度更大、成本更高。

国会分配网络安全资金

在最近的立法通过之前,美国食品和药物管理局(FDA)无权执行网络安全准则。2022 年 12 月签署生效的一项名为《2023 年综合拨款法案》(H.R. 26217)的法案--在整个财年内拥有 1.7 万亿美元的可支配资源,是美国历史上非国防资金的最高水平--具有遏制网络安全威胁的最大潜力。该综合拨款法案包含了对农村发展和基础设施、保护、动植物健康、农业和营销研究等政府项目和经济发展的资助。

其中,有 35 亿美元分配给美国食品和药物管理局,用于解决包括阿片类药物危机、医疗供应链问题,以及改善医疗设备的网络安全等问题。值得注意的是,该法案还首次授权 FDA 制定和执行医疗设备网络安全标准。

综合拨款法》如何提供帮助

综合拨款法案》包含几项针对医疗器械网络安全的规定,同时增加了 FDA 的监管权力。

首先,将在前所未有的联邦层面实施安全要求。制造商将被要求实施安全控制,以防止未经授权访问设备,确保医疗设备在网络攻击中可以访问,并保护患者的机密和数据。每个制造商都必须向 FDA 提交一份全面的网络安全计划,以接受上市前审批的审查,该计划将详细说明其确保向消费者提供上市后软件和固件更新的程序。

这些措施还要求提高制造商的透明度和问责制。现在,制造商必须在特定时限内向 FDA(以及受影响的患者)报告网络安全事件,并提供最新的补救工作进展情况和防止类似事件发生的计划。

由于网络威胁导致的产品召回和补救问题频频发生,随着各机构(如美国食品及药物管理局)越来越多地公开批评制造商的决定,制造商也必须效仿,照章办事,以防公众反弹。因此,人们更愿意听从专家的建议,制定召回和补救计划,其中包括如何应对产品相关危机。此外,还建议制造商进行模拟召回演练,作为其风险管理规程的一部分。

有些条款不仅仅针对医疗器械制造商,例如其中一项关键条款规定在 FDA 内设立一个新的中心,专门负责改进和协调医疗器械的网络安全工作。网络安全卓越中心将制定并实施标准和最佳实践,为制造商和医疗服务提供商提供指导,并对设备安全性进行评估。重要的是,这将在制造商和联邦政府之间架起一座桥梁,为解决医疗器械行业的网络安全问题开辟一条前进之路。

其他条款促进利益相关者之间的信息共享与合作;食品及药物管理局将被要求建立公私合作伙伴关系,以促进行业内的网络安全。食品及药物管理局还有义务建立一个新的试点计划,旨在评估网络安全漏洞报告,并为该机构提供重要的风险数据。

预计影响

现在,FDA、制造商和医疗服务提供商将被要求协同工作,涉及缺乏清晰度或透明度的问题可能最终会得到解决。在制造商方面,由于要求在召回报告中详细说明网络安全信息、确保高级别安全标准并向该机构报告信息,FDA 和医疗保健提供商将获得大量信息,从而更好地了解与医疗器械相关的网络安全风险。

反之,要求食品及药物管理局提供上市后审查指南,建立专门的中心来制定标准,并建立针对漏洞的试点计划,制造商(和医疗服务提供商)将获得有用的知识,有助于改善问题领域,降低产品召回的风险。

当医疗器械给患者带来风险时,迅速采取行动就变得至关重要。除了患者的健康,医疗器械召回还会对公司的品牌和底线造成破坏性影响,并使公司面临监管行动和诉讼。Sedgwick 的品牌保护专家拥有数十年的医疗器械经验,可以帮助您制定、改进、测试和执行产品召回计划或补救程序。

了解更多 >访问我们的网站,了解我们在医疗器械领域的经验

标签 网络,网络风险,网络安全,数据,健康,健康与安全,健康问题,医疗保健,医疗索赔,医药,安全,保安