连网医疗设备日益普及,可提供病患更完善的照护,却也为网络犯罪大开方便之门。据Healthcare Dive报导,投资公司Muddy Waters和安全公司MedSec惊爆St. Jude心脏植入物隐含安全疑虑,美国食品药物管理局(FDA)对此展开调查,2017年初发出安全警告,认为该心脏植入物可能遭骇。
St. Jude为了息事宁人,宣称遭骇风险“极低”,但同时也成立医疗咨询委员会主打连网设备的安全问题,FDA也把安全列为2017年十大药厂法规重要事项。
加州安全公司 Arxan营销官Mandeep Khera表示,最大的安全威胁是遭到有心人士骇入,恐威胁病患的生命,虽然目前没有实际案例,但随着连网医疗设备普及,这迟早会发生,黑客通常会侵入系统等待最佳时机发动攻击。
温哥华Absolute Software全球安全策略专家指出,有些医疗设备会连接旧系统,把测试结果回传中央服务器,一旦系统遭到勒索软件攻击,那些数据都会遭到冻结,以致医生无法作出临床诊断,若医院舍不得旧系统,就会支付赎金。
为了降低这些风险,IT部门必须随时注意连网设备所收集的数据。连网医疗设备使用第三方开源函式库或其他开源软件时,也可能遭到黑客的阻断服务攻击(DDoS),Mirai等殭尸网络(Botnets)就曾经阻断数百万用户的网络服务。
医疗组织必须做好把关工作,确认连网设备制造商有没有修补程序的能力,一旦有安全危机或遭到黑客入侵,制造商能够多快做出回应,此外连网设备也要有认证功能,以便进行追踪和补救。
加州羚羊谷医院(Antelope Valley Hospital)表示,医疗机构要确保制造商提供软件保证(SA),软件保证亦即从软件开发、除错、瑕疵侦测到安全测试,都有针对软件功能进行分析和追踪。
FDA特别针对医疗设备上市前设计考虑和上市后安全管理,以及内含现成软件连网设备的安全发布准则草案。Khera表示,FDA很重视医疗设备遭骇的问题,只要医疗设备不符合这些准则,就难以取得FDA核准,迫使制造商重视安全问题。
制造商必须有完整的安全计划,确保软件应用程序和所有通讯活动受到保护,制造商也要有备案计划,若不幸遭受攻击该如何因应,从制造商内部人员到医疗机构,也必须有安全意识训练,但这一块仍备受忽略。
至于医疗机构必须提供病患最先进而有效的工具,同时确保这些设备和数据的安全和隐私。最后报导建议,医院应检视目前既有的安全控制措施,能否直接套用到医疗设备上。
(转载)
