美国食品和药物管理局(FDA)两年来第二次发布建议,改善相关医疗设备的安全性。不是命令-建议。
这立刻引发了一个问题:任何不具约束力的东西是否会给制造商带来足够的压力,迫使他们花费时间和金钱来提高设备的安全性?
这一点,正如人们常说的,还有待观察。
食品和药物管理局在“医疗设备网络安全的邮戳管理,”去年年底。
以下是“售前”指导该机构两年前发布的。
尽管没有法律要求实施这些规定,但一些专家表示,它们仍有权强制改革,并指出,仅仅因为这些规定不是强制性的,并不意味着它们不能产生重大的法律影响。要确认这一点,只需与律师讨论“最佳实践”建议在一场诉讼中的含义,该诉讼涉及因安全性差而遭到黑客攻击的设备对患者造成的伤害。
但是,有一位名叫Bruce Schneier的弹性系统首席技术官,也是一位隐私和加密专家,他在邮戳指南发布后不久的一篇博文中对此表示怀疑重点是什么。
施耐尔呼吁政府对整个物联网(IoT)行业进行监管,他在谈到这些指导方针时写道,“没有什么特别新鲜或有趣的东西;它读起来像标准的安全建议:编写安全软件、修补程序漏洞等等。请注意,这些都是“不具约束力的建议”,所以我真的不知道它们为什么会这么麻烦。”
但这在他的读者评论部分得到了一些立即的回击。“道格,”他说,他在医疗器械行业工作了30年,虽然监管医疗器械的法律不会改变,“但解释和执行会改变。
“通过了解FDA的想法,我们可以调整我们的设计、验证和制造工作,以满足这些期望。指导文件在很大程度上推动了我们的工作,”他写道。
该机构本身在一份给CSO的声明中说,如果不遵循“掺假”设备的指导方针,可能导致其“被扣押或被强制执行”
几位专家一致认为,这一指导是值得的,应该推动制造商朝着正确的方向发展。但他们中没有人认为,现在或很快是时候让此类设备的用户放松了。显然,风险很高——入侵可植入设备或其他连接设备可能造成的危害远大于窃取数据或身份。它可能会杀人。
尽管目前还没有关于其造成死亡的报告,但这种风险是真实存在的。多年来,医疗设备一直严格设计以保证正常工作。但大多数人没有考虑到网络安全2014年对一家健康机构的审计显示,其中许多公司在面临潜在灾难时仍然缺乏安全感,比如“缺乏身份验证……”;弱密码或默认和硬编码的供应商密码,如“admin”或“1234”;以及嵌入式web服务器和管理界面一旦攻击者在网络上发现设备,就很容易识别和操作它们.”
Vulsec的联合创始人兼首席安全工程师Andrew Ostashen说,他在医院的时候,一个新生儿系统“由于组织不知道设备在网络中的配置位置,从发现扫描到评估都离线了”
他说,这意味着,如果黑客进入组织内部,他们将能够让同一个系统离线。在这种情况下,“幸运的是,设备在评估时没有使用。否则,这可能是灾难性的。”。
尽管对患者的身体伤害显然是最关键的风险,但也存在攻击者劫持设备以进入医疗机构网络的风险。
网络安全防御厂商TrapX Labs在去年底的一份违规报告中称被劫持的医疗设备被用作医院网络的后门.
“不幸的是,医院似乎无法检测到或补救MEDJACK,”Moshe Ben Simon,联合创始人和服务副总裁在一份新闻稿中说。
那么,FDA最近的指导方针会将安全针移动多远呢?它不需要移动太多就可以改变。
正如施奈尔所指出的,新的指导方针并没有开辟新的领域。它涵盖了大多数专家所说的良好的风险管理和安全“卫生”。FDA在声明中说,它的建议“包含在质量体系法规(QSR)中”,其中包括处理投诉的要求、审计标准、纠正和预防措施,软件验证、风险分析和服务。
该机构还呼吁制造商“应用NIST(国家标准与技术研究所)自愿网络安全框架,该框架包括‘识别、保护、检测、响应和恢复’的核心原则。”
但总体的重点是,要求制造商在设备的整个生命周期内保持其安全性,因为正如广泛报道的那样,这些设备的开发周期往往为5年或更长,然后是10至20年的使用寿命。
补丁性头痛
因此,遵循建议显然意味着从一开始就设计在整个生命周期中修补和更新漏洞的能力。
FDA还解决了制造商的一个抱怨,一些批评者称之为借口如果他们更新了一个设备,他们必须再次通过认证程序.
新指南明确规定,常规补丁和更新不需要由FDA报告或审查。不需要报告漏洞,除非它们导致死亡或其他不良事件,或无法在60天内修复。
独立安全评估公司(Independent Security Evaluators)执行合伙人泰德•哈林顿(Ted Harrington)指出,此类设备的长期开发周期主要集中在机械元件的性能和安全性上,而不是软件。
他说:“软件本身可以也应该在整个审批过程中不断发展,而且必须有一个更新机制来解释攻击技术的发展、发现操作系统和通信协议中以前未知的缺陷以及其他性能增强。”。
当然,即使是例行的安全更新过程也需要内置安全性。Batelle设备安全服务公司的首席医疗安全工程师Stephanie Domas说,“根据机制的性质更新新代码,采用某种格式,并保存到设备上执行。这使得它们成为恶意行为体的诱饵——有好几次,软件更新程序被出于邪恶目的劫持。”
FDA还建议该行业的所有利益相关者加入信息共享分析组织(ISAO),以促进私营部门内部以及与政府之间的威胁信息共享。
它说,有了足够的隐私条款,ISAOs可以帮助“发现、减轻或恢复网络威胁的影响……”
最后一个项目引起了维塔实验室首席执行官、密歇根大学副教授傅凯文博士的一些批评,他建议关于国际审计准则的“谨慎和怀疑”在去年4月的一封关于准则草案的信中。
他写道:“如果数据质量不高,共享数据就没用了。”他引用了一个案例,一个服务器中的漏洞报告促使医院使用一个更不安全的服务器。
关于政府参与制定医疗器械安全标准的总体概念,有一些争论。独立安全研究员肖恩•默丁格(Shawn Merdinger)表示,与政府监管相比,市场可以成为改善安全状况的更有力力量。
他指出,去年秋天,卖空者投资公司浑水(Muddy Waters)采取了一项举措,公布了美联控股(MedSec Holdings)的研究,该研究发现了圣裘德医疗公司(St.Jude Medical Inc.)生产的起搏器和除颤器存在缺陷,导致该公司股价下跌。
那个合作遭到严厉批评在一些IT媒体中圣裘德起诉了浑水和麦德塞克但默丁格指出,“目前的底线似乎是,圣裘德正在发布补丁,ICS-CERT正在发布咨询,没有人在商业方面被捕或被关闭。”
他说,关键是,如果一家公司的股价受到威胁,“这意味着高管奖金和股东价值受到影响。一旦你开始拿走人们的船款,这是一个全新的游戏。”
哈林顿说,他不喜欢政府对网络安全的监管,原因有好几个。他说:“发展需要太长时间,在制定时已经过时,妥协太多,它试图将一种统一的安全模式应用于正在创新的组织,因此从定义上来说并不统一。”。
但是,他并不认为FDA的指导是无用的。他说,它可以“帮助不同的利益相关者——从设备制造商、医院、病人和政府——就什么是重要的达成一致。它提供了一种共同的语言,围绕这一语言可以集中讨论安全问题。”
奥斯塔申说,政府应该扮演一个更积极的角色。“FDA必须制定与HIPAA(健康信息可移植性责任法案,该法案要求保护个人健康信息)一样严格的法规,”他说,并补充说,他看到网络责任保险公司拒绝支付损害赔偿,如果他们认为一个组织疏忽大意,没有遵循最佳做法。
他说:“医疗器械制造商需要为疏忽大意负责。”。“是的,这些设备的开发可能需要五年的时间,但安全的体系结构和开发必须是产品开发之初的一个有意识的想法。”
总的来说,多马斯说,她称赞FDA“认真对待医疗器械的安全问题”。她指出,FDA一直积极参与医疗会议和指导工作组。
她说:“他们一直在征求整个医疗生态系统的反馈意见,并从中获利,包括医疗制造商、医院和安全研究人员。”。
哈林顿说,虽然这将是一个很长的时间之前,“终端用户可以完全放松和信心的安全态势,医疗设备,我很乐观,这将随着时间的推移改善。”
FDA说:“我们开始看到所有利益相关者的心态发生了变化——制造商意识到在产品的整个生命周期内实施全面的网络安全控制的重要性。”
这个故事,“FDA‘指南’医疗器械安全之路”最初由CSO公司 .