医疗设备网络安全问题是行业的一个大挑战

（文章来源：携手健康网）

在FDA发布其医疗设备安全行动计划近一年后，随着该行业努力应对FDA的指导草案并为该机构提供反馈，医疗设备网络安全仍然是HIMSS 2019的热门话题。根据FDA设备中心科学与战略合作伙伴关系副总监Suzanne Schwartz的说法，关键是确保进入市场的新医疗设备可以在设备的整个生命周期内得到更新，并可能要求公司建立软件物料清单。

专家呼吁人们注意卫生系统需要更好地了解其库存中的设备以及制定应对网络攻击的游戏计划。ECRI研究所高级项目工程师Juuso Leinonen表示，WannaCry攻击突显了医院需要更好地了解其库存中的医疗设备，以便更好地应对网络攻击。

这项努力与FDA呼吁新当局要求制造商在医疗设备开发中建立补丁和内置安全更新的能力相一致。Schwartz在HIMSS小组会议上说：“我们不可能处于市场上的新设备不具备在其整个使用寿命中进行补丁和更新的固有能力中。” “可能有必要实际上在售前市场上拥有一个额外的授权。”

Schwartz强调了与FDA和加拿大卫生部牵头的国际医疗器械监管者论坛工作组合作的努力，该工作组致力于医疗器械网络安全的共识性原则。该小组的目标是为多个监管机构制定指南，涵盖从设备生命周期的开始到结束的最佳实践。

这项努力是在ICS-CERT等组织报告了更多的医疗设备网络安全咨询的同时进行的。ECRI研究所的高级网络安全工程师查德·沃特斯(Chad Waters)在另一个HIMSS小组会议上指出，尽管咨询数量有所增加，但仍有可能没有更多报告。

沃特斯说：“去年，有来自14家不同医疗设备供应商的30项与医疗设备相关的咨询。那里有很多供应商，因此存在许多未公开的漏洞。”Schwartz担心，即将披露漏洞的公司因主动与公众沟通而受到不公平的惩罚，并指出它们经常受到负面新闻周期的抨击。

“我们确实需要颠覆这种说法。实际上，那些行业，那些制造商代表着组织中最成熟的组织。这就是我们希望每个人都在做的事情。信息共享，漏洞披露的透明度”，Schwartz说。Schwartz表示，无论组织采取什么措施来减轻风险，风险始终存在。

“不应期望医疗器械没有风险并且没有与之相关的脆弱性。关键在于能够评估风险是什么—关键在于能够根据其严重性来识别和评估该脆弱性。影响及其可利用性，”施瓦茨说。Leinonen说，迈出的一步，更多的卫生系统应该考虑采取的措施是任命医疗设备网络安全负责人，作为工程师和经常负责解决网络安全问题的IT员工之间的联络人。