颐通社致力于搭建医疗器械制造商与上游零配件、服务供应商的交流平台,促进医疗器械上下游产业链深层次地融合发展,整合医疗科技产业链与创新链资源,把握市场趋势,跟踪行业热点,输出研究智慧,赋能企业、政府、园区产业升级。
转载须知:如需转载公众号个人独创的文章,请发送您的公众号名称或ID以及需要转载的文章到,获得授权后方可转载。
转载要求:需发布24小时之后方可申请转载。转载请注明:本文转载自公众号“颐通社”(ID: Medisophy)。
6月5日,以“AI驱动安全”为主题,2024全球数字化的经济大会数字安全高层论坛,暨北京网络安全大会战略峰会在北京国家会议中心开幕。
与会有经验的人指出,攻击者可利用人工智能技术生成网络攻击和网络钓鱼工具,网络安全从人人对抗、人机对抗逐渐向基于AI的攻防对抗演化。
随着技术的慢慢的提升,人工智能设备越来越普遍,也为新的利益和风险打开了大门。医疗器械网络安全,便是在这个大背景下,目前医疗行业面临的最大风险之一。
由于医疗器械一直处在封闭简单的应用场景,因此产品在设计时强调设备的功能性及可用性,对安全性考虑不足,都会存在安全漏洞且升级困难,通信协议缺少加密认证机制等安全隐患。
可以说,医疗器械行业网络隐患问题尤为突出,提升医疗器械网络安全刻不容缓。
医疗器械既包括胰岛素泵等可穿戴医疗设施,也包括磁共振成像、CT等大型医疗设施。医疗器械作为一个信息实体,包括医疗器械现场设备和医疗信息系统两部分。
医疗信息系统既包括部署在医院的医疗器械控制管理系统和医疗器械管理系统,也包括部署在云端的医疗器械数据采集与监控系统。
黑客可通过上述安全风险隐患对医疗器械进行攻击,造成医疗数据泄露、医疗事故甚至医院功能瘫痪等严重后果。
根据网络安全咨询机构Software Advice 的最新调查报告数据显示,在美国,尽管有一半的医疗机构遭受过网络攻击,但约37% 的医疗机构,没有制定网络攻击应急计划;医疗领域每四次勒索软件攻击中,就有一次以上会对患者护理造成影响。
在经历过勒索软件攻击的医疗机构中,约有一半的医疗机构表示,漏洞影响了患者数据,34%的医疗机构表示在攻击后未能恢复数据。
报告称,网络攻击导致昂贵的停机时间,并延误关键程序,但只有 63% 的机构表示,已制定了网络安全应急计划。
报告调查显示,超过 30% 的医疗机构在过去三年中遭受过网络攻击。在过去五年中,向 HHS 民权办公室报告的涉及黑客攻击的大型违规事件增加了 256%。
与其他行业相比,医疗行业拥有大量敏感数据,其中绝大部分是数字数据。然而,有的机构运营商未能对这些静态或传输中的数据,进行充分加密,使该行业成为黑客有利可图的目标。
Software Advice 在今年3月,调查了近300名在美医疗机构工作的受访者,发现有55%的医疗机构允许员工,对数据来进行超出必要的访问。
报告指出,人为错误导致的数据泄露数量,几近与针对数据安全的恶意攻击数量相同。
多年来,即使黑客不断将目标对准医疗行业,医疗设施网络安全一直是业界和监督管理的机构的事后考虑。
2023年,美国国会制定了更严格的医疗设施网络安全要求,美国食品与药品管理局也最终确定了针对制造商的改进指南,改变了这一局面。
在网络攻击和网络事件不仅损害数据,还瘫痪医院运营并威胁患者安全的时候,这些新措施将安全放在了首位。
2023年被认为是重视医疗设施网络安全的元年,开始了一个崭新的世界。FDA前医疗设施网络安全代理总监Kevin Fu如是说。
“整个社会已经花了15 年的时间,共同思考和辩论在医疗器械中实现安全的医疗服务或网络安全意味着什么。”
2023年,为加强对医疗器械网络安全风险的监督,美国政府实施了几项措施。
首先,美国国会于2022年12月通过的 FDA 新法规作为综合支出法案的一部分,于去年3月生效。
该法案在《联邦食品、药品和化妆品法》中增加了一个新的章节,定义了什么是 “网络设备”,并对设备制造商在提交上市前申请时,一定要遵守的网络安全要求做出了更严格的规定,如制定计划监控和识别潜在漏洞。
美国食品及药物管理局的器械与放射健康中心,于2023年9月发布了针对器械制造商的最终上市前指南。这份文件长达50多页,与之前仅寥寥几页的指南相比,有了很大进步。
但是,仍有很多挑战需要克服。大量设备上市时所使用的操作系统,可能很快就会过时;医院里充斥着数量不明的不支持的旧设备,即所谓的遗留设备,很容易受到攻击。
医疗设施中充斥着大量使用不支持软件或软件支持即将过期的设备,极易受到攻击。
CT、磁共振等大型设备价格昂贵,医院难以更换,这些设备对病人护理至关重要,也无法关闭,在网络中造成安全漏洞和隐患。
这些医疗设施的操作系统,多年积累下来,从Windows 10 到Windows 95,形形。大量的传统医疗设施在不间断运行,没办法升级,这种漏洞威胁是我们自己造成的,因没有未雨绸缪。
医院绝大多数都是被 “蒙骗 ”购买了一些很快就会失去系统迭代服务支持的设备,现在不得不使用这一些“软件比机械部件磨损得更快 ”的机器。
这些在操作系统或软件层面(例如BIOS、固件)存在巨大风险的设备,在软件漏洞无法被及时修复的情况下,时刻保持运行,在医院医疗体系中承担着巨大风险,甚至医院的防御系统、也难以完全覆盖到这些设备。
美国网络安全公司Medcrypt首席安全战略师Axel Wirth解释,网络攻击者可能一开始根本不明白他们的目标是医疗设施,甚至是医疗系统。
这更像是偶发事件,设备被入侵并不是因为设备本身是攻击目标,而是因为设备符合攻击的特征。网络攻击者正在寻找一台未打补丁的旧版Windows XP电脑。而这可能恰好是一台医疗设施,不是台式电脑,攻击者根本不知道。(未完待续)
1.“颐通社”致力于提供准确、完整、有效的资讯信息,但不保证信息的准确性、完整性和有效性,且不对因信息的遗漏、不准确和不合理导致的任何损失或损害承担责任。
2.“颐通社”所有信息仅供参考,不做任何商业交易及或医疗服务的根据,如自行使用“颐通社”内容发生偏差,我司不承担任何责任,包括但不限于法律责任,赔偿责任。
3.“颐通社”部分文章的主要内容来自互联网转载是为了传递更多的行业信息,这并不代表完全赞同其观点或确保其内容的真实性。如对内容有异议,请及时与我司联系。
4.本声明未涉及的问题参见国家相关法律和法规,当本声明与国家法律和法规冲突时,以国家法律和法规为准。返回搜狐,查看更加多