淘宝直播|医疗器械企业为何要重视网络安全?( 二 )


另外 , 根据Ordr的数据 , 通过对500万台医疗物联网(IoMT)设备进行了为期一年的分析 , 发现有86%的医疗软件部署在内网的被召回的医疗设备上 。 被召回的IoMT设备可以认为是有漏洞的 , 或者是会造成安全风险的设备 。
【淘宝直播|医疗器械企业为何要重视网络安全?】可见 , 医疗器械的网络安全的重要性无可争辩 。

医疗设备的网络安全需要生产者(企业)与使用者(医院等医疗机构)的共同维护 。 使用者对于医疗设备网络安全的维护 , 除了机构内的信息运维部门 , 医护只能在病人监护、通气、麻醉、输液泵等方面起到关键作用 。
但是 , 医疗设备在遭到网络攻击时 , 需要敏捷的示警以提醒医务人员、医疗部门的信息科 。 如实验室和放射设备在面临网络攻击时 , 可能会产生严重影响 。 而其中的无线标签、联网垫圈、门禁和其他作用不大的设备也会影响医务人员的响应时间 。
医疗器械企业在保护设备的网络安全中 , 承担着至关重要的一环 , 如医疗设备在遭到网络攻击时 , 需要及时预警 。 因此 , 医疗器械企业在设备开发的最初阶段 , 就应重视设备的网络安全防护能力 。

2022年3月9日 , 国家药监局器审中心发布了《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则修订版》) 。 《指导原则修订版》贯彻《中华人民共和国网络安全法》的要求 , 符合国家推进网络安全社会化服务体系建设 , 鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务的要求 , 以及网络产品、服务应当符合相关国家标准的强制性要求 。
与旧版的《指导原则》相比较 , 《指导原则修订版》对医疗器械的网络安全全生命周期提出了更高的要求 。
例如 , 《指导原则修订版》将医疗器械相关数据明确分为医疗数据和设备数据;所述医疗器械电子接口(含硬件接口、软件接口)包括网络接口、电子数据交换接口 , 若无明示均指外部接口 , 分体式医疗器械各独立部分的内部接口视为外部接口 , 如服务器与客户端、主机与从机的内部接口 。

考虑到预期用途、使用场景的限制 , 《指导原则修订版》新增了医疗器械对于网络安全威胁应具备必要的识别、保护能力和适当的探测、响应、恢复能力 。
另外 , 考虑到医疗器械面临日益复杂严峻的网络安全威胁 , 《指导原则修订版》新增规定:注册申请人需基于相关标准和技术报告建立网络安全事件应急响应机制 , 保证医疗器械的安全有效性并保护患者隐私 。
简而言之 , 医疗器械企业必须要重视、做好医疗设备的网络安全防护 。 否则 , 将给患者的隐私和安全带来巨大的风险 , 其数据泄露也会给医疗机构带来更多的经济损失 。 另外 , 医疗机构也要给医护人员做好安全意识培训 , 并增强在日常工作过程中的安全系统防护 。

后记
有一项调查数据显示 , 目前53%的医疗器械企业没有使用二进制代码分析来验证其代码的安全性或发现供应链中的风险 。 46%的企业在设计阶段就设定了安全要求 , 而其余的企业在开发过程的早期没有适当的流程来实现安全左移 。 近三分之二的企业依赖每月的设备固件测试计划 。
随着医疗设备对互联和软件的依赖性不断增强 , 其代码库的规模和复杂性都在增长 , 并且越来越依赖第三方和开源软件组件 , 面对与日俱增的网络安全风险 , 医疗器械企业做好准备了吗?