网络安全正在成为医疗设备设计的重要支柱,找到正确的策略来验证和验证您的产品是安全的非常重要。
Michael Lynch和Delmar Howard,天祥集团
互联环境的发展使医疗设备处于网络安全和患者数据运动的前沿。随着越来越多的此类设备上线,黑客寻找过去安全标准非常宽松的目标的风险也在增加。从几起引人注目的攻击事件可以看出,在解决安全问题方面,该行业似乎仍在迎头赶上。
幸运的是,有许多行业指导文件可用,但整理它们并确定最有效的可能是令人生畏的。FDA几乎所有关于网络安全的指令都是不具约束力的,这使得很难自信地确定实施验证和验证流程的最有效方法。唯一的例外是上市前提交流程,该流程需要文件说明如何实现网络安全。
对于许多设备制造商来说,困难不仅在于确定要遵循的标准,还在于哪些标准适用于他们的特定产品。确保所选择的框架可以随着设备的更新和变化而扩展也是一个挑战。更新-或缺乏更新-可能具有挑战性,因为有可能引入新的漏洞。网络安全很少是一个适用于所有行业的严格清单。在许多情况下,由于有大量可用的辅助性指导文件,需要第三方的帮助。
NIST的框架
美国国家标准与技术研究院(NIST)发布的《改进关键基础设施网络安全框架》是目前最全面的指导文件之一。这是为网络安全实施奠定基础的最有效的文件之一。“识别、保护、检测、响应和恢复”框架核心被整个行业引用,并允许设备制造商通过基于风险的实施始终如一地识别其流程中的差距。
利用信息共享和分析组织(ISAO)可以帮助收集和识别行业威胁,并且可以通过利用集团的整体知识,在整个设计和上市后周期中保持安全基线,这是一种有效的解决方案。参与ISAO还有助于满足FDA对上市后网络安全的指导。
医学技术规定
医疗器械必须遵守许多规定。欧盟的《通用数据保护条例》(General Data Protection Regulation)是最严格的法规之一,要求立即采取行动。从2018年5月起,GDPR将从指令转变为法规,这是一种更强有力的立法形式。医疗设备的一些关键考虑因素是违规通知(必须在72小时内通知用户违规)和设计上的隐私,在设计产品时需要考虑隐私问题。这两项要求都符合普遍有效的网络安全设计实践,并应成为持续验证和审查过程的一部分。
在最终的上市前指南中,FDA正在寻找网络安全计划,以及支持该计划的数据。具体来说,设备制造商必须识别网络安全风险,提供可追溯矩阵,并提供设备设计中创建的控制的摘要。
验证与确认
在考虑了设备的适用指南和法规之后,进行验证和验证活动以说明安全性是很重要的。在连接的医疗电气设备上运行验证和验证时,重要的是采取双管齐下的方法,同时检查设备的软件和硬件:
- 软件:医疗设备制造商在硬件开发上花费大量时间,但软件开发的结构化较少。制造商应该包括可靠的验证要求。采用IEC 62304是一个良好的开端,以确保软件验证在设计阶段得到同等的考虑。虽然IEC 62304没有确定具体的工具使用;它为整个软件开发过程的验证和确认提供了一个健壮的框架。
持续的网络安全风险评估和静态分析是帮助减轻零日式攻击硬件和软件的关键方法。这在使用来历不明的软件(SOUP)的环境中尤其重要。当设备进入医院环境时,它们可以被放置在不是专门为它们操作的地方。在混合互操作性环境中进行测试,可以更好地理解现实环境中常见的各种连接和网络特性,从而帮助缓解这些问题。
例如,Intertek已经创建了虚拟办公室,其中包括数百个独特的设备,可以模拟真实的医院环境。在大规模仿真环境中,更容易测试补丁并识别潜在的限制,而不会使客户和患者受到潜在的伤害。 - 硬件:在设计和开发阶段解决硬件安全问题远远超出了简单的测试和验证。硬件的缺点是一旦交付给客户就不容易更新。为了解决这个问题,必须避免激活不需要运行的端口,并确保每个硬件都有唯一的ID和登录实现。
此外,在将设备引入实际环境之前,确保不使用的功能被禁用或从设备中删除是至关重要的,特别是在外包时。一些硬件芯片可以通过物理访问激活,在极少数情况下,可以通过软件激活。
UL-2900标准是一个很好的起点;然而,要满足所有的要求,就需要有一个有效的文档和验证过程;对于内部团队来说,这是一个很好的指导方针,可以在接受第三方审计之前进行工作。
越来越多的泄露个人身份信息的违规行为,使得向美国FDA和欧盟GDPR等法规提交的所有51万份医疗设备及其配套软件都需要设计安全性。二十年来,在设计阶段拥有有效的验证和验证计划一直是将医疗器械推向市场的必要条件。将网络安全纳入该计划对于任何联网设备都是至关重要的。
Michael Lynch是管理顾问,Delmar Howard是性能测试项目经理天祥集团(伦敦)。