近日，阿里巴巴達(dá)摩院正式發(fā)布2022十大科技趨勢(shì)，涵蓋范式充值、場(chǎng)景變革和未來(lái)互聯(lián)三大領(lǐng)域。其中，達(dá)摩院認(rèn)為，預(yù)計(jì)未來(lái)三年，以人為中心的精準(zhǔn)醫(yī)療將成為主要方向，人工智能將全面滲透在疾病預(yù)防和診療的各個(gè)環(huán)節(jié)，成為疾病預(yù)防和診療的高精度導(dǎo)航協(xié)同。

智能醫(yī)療設(shè)備的安全威脅

近年來(lái)，醫(yī)療衛(wèi)生行業(yè)一直在推進(jìn)數(shù)字化，如物聯(lián)網(wǎng)在醫(yī)療設(shè)備中的使用，醫(yī)療設(shè)備的自動(dòng)化、人工智能在醫(yī)療場(chǎng)景中的應(yīng)用等等。

因此，未來(lái)，隨著人工智能在醫(yī)療衛(wèi)生行業(yè)的滲透、融合，將會(huì)有越來(lái)越多的智能醫(yī)療設(shè)備被使用。艾媒咨詢分析師認(rèn)為，隨著產(chǎn)業(yè)發(fā)展環(huán)境持續(xù)優(yōu)化，以及公眾對(duì)醫(yī)療器械診斷精準(zhǔn)化的需求日趨強(qiáng)烈，未來(lái)中國(guó)醫(yī)療器械行業(yè)的市場(chǎng)規(guī)模，將會(huì)保持穩(wěn)定增長(zhǎng)態(tài)勢(shì)。

據(jù)了解，當(dāng)今的智能醫(yī)療設(shè)備將會(huì)收集大量數(shù)據(jù)并將其保存在云平臺(tái)上。這些數(shù)據(jù)包括患者的個(gè)人數(shù)據(jù)，例如健康信息、產(chǎn)品性能，甚至來(lái)自設(shè)備本身的一些重要數(shù)據(jù)。

但在智能醫(yī)療設(shè)備更加方便快捷的同時(shí)，其所存儲(chǔ)的大量數(shù)據(jù)也面臨著巨大的網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)，尤其是個(gè)人數(shù)據(jù)和敏感性質(zhì)類數(shù)據(jù)。而且網(wǎng)絡(luò)攻擊者通常以醫(yī)療行業(yè)領(lǐng)域?yàn)槟繕?biāo)，因此醫(yī)療設(shè)備的安全性需要更加關(guān)注以保護(hù)數(shù)據(jù)及用戶隱私安全。

另外，網(wǎng)絡(luò)犯罪分子還能從醫(yī)療設(shè)備竊取許多機(jī)密數(shù)據(jù)，甚至更改或操縱這些數(shù)據(jù)，發(fā)出可能危及患者健康的錯(cuò)誤命令。例如，一個(gè)研究團(tuán)隊(duì)在2019年開(kāi)發(fā)了一種惡意軟件，可以將腫瘤圖像添加到計(jì)算機(jī)斷層掃描(CT)或磁共振(MRI)掃描圖像中，它甚至可以去除圖片中的腫瘤圖像。這項(xiàng)研究揭示了醫(yī)療領(lǐng)域可能面臨的此類網(wǎng)絡(luò)攻擊威脅的嚴(yán)重性。

總之，醫(yī)療數(shù)據(jù)有著極大的利用價(jià)值，若是不法分子竊取了大量醫(yī)療數(shù)據(jù)，將其出售給不可信的來(lái)源。這將在很大程度上危及受害者的人身安全和隱私。

醫(yī)療器械企業(yè)為什么要重視網(wǎng)絡(luò)安全?

在很多醫(yī)療數(shù)據(jù)泄露的案例中，網(wǎng)絡(luò)犯罪分子往往從攻擊醫(yī)療設(shè)備開(kāi)始。醫(yī)療器械成為網(wǎng)絡(luò)犯罪分子的關(guān)鍵切入點(diǎn)。

不難想象，如果連接網(wǎng)絡(luò)的一些醫(yī)療器械采用比較簡(jiǎn)單的網(wǎng)關(guān)，網(wǎng)絡(luò)犯罪分子不僅可以訪問(wèn)設(shè)備中的數(shù)據(jù)，還可以訪問(wèn)所有連接的設(shè)備。

例如，2017年的WannaCry勒索軟件攻擊事件中，最引人注目的受害者之一就是英國(guó)國(guó)家衛(wèi)生服務(wù)系統(tǒng)(NHS)，該系統(tǒng)運(yùn)行著大量易受攻擊的機(jī)器，因此受到的打擊極大，三分之一的NHS醫(yī)院信托機(jī)構(gòu)遭受了攻擊。

根據(jù)Ordr的相關(guān)報(bào)告顯示，“使用醫(yī)療設(shè)備進(jìn)行上網(wǎng)可能會(huì)使機(jī)構(gòu)面臨著更高的安全風(fēng)險(xiǎn)，很容易受到勒索軟件和其他惡意軟件的攻擊”。

如2020年，F(xiàn)DA發(fā)布了一連串的警告，敦促醫(yī)療設(shè)備制造商和醫(yī)院針對(duì)一系列的含有漏洞的硬件進(jìn)行修復(fù)，包括Sweyn Tooth，URGENT/11，Ripple20和SigRed。其中，Ripple20是2020年6月發(fā)現(xiàn)的一組bug，該漏洞影響了5.3萬(wàn)個(gè)醫(yī)療設(shè)備。根據(jù)Forescout的研究，這些漏洞可以讓攻擊者執(zhí)行遠(yuǎn)程代碼。

另外，根據(jù)Ordr的數(shù)據(jù)，通過(guò)對(duì)500萬(wàn)臺(tái)醫(yī)療物聯(lián)網(wǎng)(IoMT)設(shè)備進(jìn)行了為期一年的分析，發(fā)現(xiàn)有86%的醫(yī)療軟件部署在內(nèi)網(wǎng)的被召回的醫(yī)療設(shè)備上。被召回的IoMT設(shè)備可以認(rèn)為是有漏洞的，或者是會(huì)造成安全風(fēng)險(xiǎn)的設(shè)備。

可見(jiàn)，醫(yī)療器械的網(wǎng)絡(luò)安全的重要性無(wú)可爭(zhēng)辯。

醫(yī)療設(shè)備的網(wǎng)絡(luò)安全需要生產(chǎn)者(企業(yè))與使用者(醫(yī)院等醫(yī)療機(jī)構(gòu))的共同維護(hù)。使用者對(duì)于醫(yī)療設(shè)備網(wǎng)絡(luò)安全的維護(hù)，除了機(jī)構(gòu)內(nèi)的信息運(yùn)維部門，醫(yī)護(hù)只能在病人監(jiān)護(hù)、通氣、麻醉、輸液泵等方面起到關(guān)鍵作用。

但是，醫(yī)療設(shè)備在遭到網(wǎng)絡(luò)攻擊時(shí)，需要敏捷的示警以提醒醫(yī)務(wù)人員、醫(yī)療部門的信息科。如實(shí)驗(yàn)室和放射設(shè)備在面臨網(wǎng)絡(luò)攻擊時(shí)，可能會(huì)產(chǎn)生嚴(yán)重影響。而其中的無(wú)線標(biāo)簽、聯(lián)網(wǎng)墊圈、門禁和其他作用不大的設(shè)備也會(huì)影響醫(yī)務(wù)人員的響應(yīng)時(shí)間。

醫(yī)療器械企業(yè)在保護(hù)設(shè)備的網(wǎng)絡(luò)安全中，承擔(dān)著至關(guān)重要的一環(huán)，如醫(yī)療設(shè)備在遭到網(wǎng)絡(luò)攻擊時(shí)，需要及時(shí)預(yù)警。因此，醫(yī)療器械企業(yè)在設(shè)備開(kāi)發(fā)的最初階段，就應(yīng)重視設(shè)備的網(wǎng)絡(luò)安全防護(hù)能力。

2022年3月9日，國(guó)家藥監(jiān)局器審中心發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則(2022年修訂版)》(以下簡(jiǎn)稱《指導(dǎo)原則修訂版》)。《指導(dǎo)原則修訂版》貫徹《中華人民共和國(guó)網(wǎng)絡(luò)安全法》的要求，符合國(guó)家推進(jìn)網(wǎng)絡(luò)安全社會(huì)化服務(wù)體系建設(shè)，鼓勵(lì)有關(guān)企業(yè)、機(jī)構(gòu)開(kāi)展網(wǎng)絡(luò)安全認(rèn)證、檢測(cè)和風(fēng)險(xiǎn)評(píng)估等安全服務(wù)的要求，以及網(wǎng)絡(luò)產(chǎn)品、服務(wù)應(yīng)當(dāng)符合相關(guān)國(guó)家標(biāo)準(zhǔn)的強(qiáng)制性要求。

與舊版的《指導(dǎo)原則》相比較，《指導(dǎo)原則修訂版》對(duì)醫(yī)療器械的網(wǎng)絡(luò)安全全生命周期提出了更高的要求。

例如，《指導(dǎo)原則修訂版》將醫(yī)療器械相關(guān)數(shù)據(jù)明確分為醫(yī)療數(shù)據(jù)和設(shè)備數(shù)據(jù);所述醫(yī)療器械電子接口(含硬件接口、軟件接口)包括網(wǎng)絡(luò)接口、電子數(shù)據(jù)交換接口，若無(wú)明示均指外部接口，分體式醫(yī)療器械各獨(dú)立部分的內(nèi)部接口視為外部接口，如服務(wù)器與客戶端、主機(jī)與從機(jī)的內(nèi)部接口。

考慮到預(yù)期用途、使用場(chǎng)景的限制，《指導(dǎo)原則修訂版》新增了醫(yī)療器械對(duì)于網(wǎng)絡(luò)安全威脅應(yīng)具備必要的識(shí)別、保護(hù)能力和適當(dāng)?shù)奶綔y(cè)、響應(yīng)、恢復(fù)能力。

另外，考慮到醫(yī)療器械面臨日益復(fù)雜嚴(yán)峻的網(wǎng)絡(luò)安全威脅，《指導(dǎo)原則修訂版》新增規(guī)定：注冊(cè)申請(qǐng)人需基于相關(guān)標(biāo)準(zhǔn)和技術(shù)報(bào)告建立網(wǎng)絡(luò)安全事件應(yīng)急響應(yīng)機(jī)制，保證醫(yī)療器械的安全有效性并保護(hù)患者隱私。

簡(jiǎn)而言之，醫(yī)療器械企業(yè)必須要重視、做好醫(yī)療設(shè)備的網(wǎng)絡(luò)安全防護(hù)。否則，將給患者的隱私和安全帶來(lái)巨大的風(fēng)險(xiǎn)，其數(shù)據(jù)泄露也會(huì)給醫(yī)療機(jī)構(gòu)帶來(lái)更多的經(jīng)濟(jì)損失。另外，醫(yī)療機(jī)構(gòu)也要給醫(yī)護(hù)人員做好安全意識(shí)培訓(xùn)，并增強(qiáng)在日常工作過(guò)程中的安全系統(tǒng)防護(hù)。

后記

有一項(xiàng)調(diào)查數(shù)據(jù)顯示，目前53%的醫(yī)療器械企業(yè)沒(méi)有使用二進(jìn)制代碼分析來(lái)驗(yàn)證其代碼的安全性或發(fā)現(xiàn)供應(yīng)鏈中的風(fēng)險(xiǎn)。46%的企業(yè)在設(shè)計(jì)階段就設(shè)定了安全要求，而其余的企業(yè)在開(kāi)發(fā)過(guò)程的早期沒(méi)有適當(dāng)?shù)牧鞒虂?lái)實(shí)現(xiàn)安全左移。近三分之二的企業(yè)依賴每月的設(shè)備固件測(cè)試計(jì)劃。

隨著醫(yī)療設(shè)備對(duì)互聯(lián)和軟件的依賴性不斷增強(qiáng)，其代碼庫(kù)的規(guī)模和復(fù)雜性都在增長(zhǎng)，并且越來(lái)越依賴第三方和開(kāi)源軟件組件，面對(duì)與日俱增的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，醫(yī)療器械企業(yè)做好準(zhǔn)備了嗎?