返回列表 发帖

[医院杂谈] 医疗机构、厂商应注意的网络安全漏洞

特殊医疗仪器
FDA提出警告的两款药品输入泵分别是PCA3和PCA5。这两款电脑控制的药品输入泵主要用于向患者体内打入麻醉和相关的治疗药物,并且可以通过以太网与无线网进行远程控制,FDA也因此对这种通信方式的安全提

出担忧和质疑:
FDA和赫士睿已经意识到该公司的医疗健康产品PCA3和PCA5存在安全漏洞。一位第三方研究者发布了安全漏洞的相关信息,包括软件代码,这些代码一旦使用就存在相应的隐患,未授权用户将会进入系统并影响输入泵自动输药的功能,如果是恶意侵入系统,未授权用户可以控制药物的远程输入、更改药品计量,由此产生的严重后果将难以预估。
FDA表示现在还没有因为安全漏洞或“未经授权的设备访问”而产生恶性事件。然而,这提醒了卫生保健机构要根据2013年”FDA安全沟通暨网络安全医疗设备和医院网络大会“上所概述的那样,保证运行过程中的网络安全性。


以上警示包含了对于数字医疗设备制造商和卫生保健机构都非常有价值的一些信息。

对厂商的建议


制造商需要对医疗设备相关的网络风险和黑客攻击带来的危害保持警惕,包括网络安全相关风险,同时要负责采取适当的措施来解决患者安全问题,保证设备的正常安全运行。——FDA
FDA希望医疗仪器厂商通过采取相关的一系列措施,将未授权用户进入医疗设备的风险降到最低,FDA特别提出厂商要审查本企业产品的网络安全性以及相关安全政策,保障医疗仪器的安全使用,以此预防未授权用户获得设备的控制权、更改医疗设备的设置、对医院网络产生安全威胁。设备的安全控制级别决定于设备本身功能、使用环境、风险种类及可能性以及一旦出现威胁对患者造成的伤害级别。

对此,在评估公司产品时需要考虑如下问题:
控制非授权用户对设备的使用权限,尤其是对于生命支持设备和可以直接连接到医院网络的设备。
精确的安全管控主要包括:
用户身份确认,比如用户ID、密码、智能卡或者生物鉴别
增强密码级别,防止使用固定编码密码
严格限制外界对用于技术设备密码的相关访问权限,比如物理锁、读卡器和警卫人员
防止单个组件开发;开发适合设备使用的安全保护策略,策略   应该包括及时部署程序、使用能够限制软件或固件更新的安全补丁和方法。FDA认为,虽然机构感兴趣于这些建议和政策的颁布,但是它通常不需要审查或批准医疗设备软件单为安全升级而进行的改造。
故障安全模式,在设备收到安全威胁时,仍能正常的维持其基本医疗功能。
已受到威胁和攻击的设备能够自行回复和更正。
网络安全事件日益突出,企业与厂商需要考虑相应的应对机制,降低系统崩溃的可能性,提高系统自动恢复的效能。——FDA

医疗机构的安全防护

FDA建议医院和卫生保健部门在反黑客协议中要做到以下几步:
限制未经授权访问内部网络和联网的医疗设备。
定期更新和维护杀毒软件和防火墙。
监视网络活动,限制任何未经授权的设备使用。
通过定期和定期评估保护个人网络组件,包括安全补丁的更新以及禁用所有不必要的端口和服务。
如果监测到存在相关的网络安全问题,联系特定的设备制造商并报告安全漏洞,让他们帮助解决问题。
开发和评估设备在非正常工作环境下的故障安全模式。
在过去,医院的卫生安全意味着传统的清洁方式和卫生协议来预防传染病或疾病的传播。而现在设施同样必须要开发网络卫生协议,似乎就没必要担心那么多。
不过,我认为这个来自于FDA的警示及时的提醒了我们, 数字健康和数字医疗设备在带给我们好处的同时,也很容易受到攻击。这意味着增加了患者和医生的安全风险,每一个人都应该关注这些安全提示。
1

评分人数

    • 归晚: 觉得很赞金币 + 10 枚
收藏 0

返回列表