美国食品和药物管理局(FDA)在两年内第二次提出了提高联网医疗设备安全性的建议。不是命令,而是建议。
这立即引发了一个问题:任何不具有约束力的东西会给制造商带来足够的压力,迫使他们花费时间和金钱来提高设备的安全性吗?
正如人们经常说的那样,这还有待观察。
FDA发布了它所谓的“指导”《医疗设备的网络安全后市场管理》在去年年底。
在此之前“上市前的指导是该机构两年前发布的。
虽然没有法律要求实施这些规定,但一些专家说,它们仍有权力推动变革。他们指出,这些规定不是强制执行的,并不意味着它们不能产生重大的法律影响。要证实这一点,只需与律师谈谈,在一场因安全性差而遭黑客攻击的设备对病人造成伤害的诉讼中,“最佳实践”建议的含义。
但是,有Bruce Schneier,弹性系统公司的首席技术官,同时也是隐私和加密专家,在上市后指引发布后不久,他在一篇博客中提出了疑问重点是什么。
Schneier曾呼吁政府对整个物联网(IoT)行业进行监管,他在书中写道:“没有什么特别新的或有趣的东西;它读起来像是标准的安全建议:编写安全软件,修补漏洞,等等。请注意,这些都是‘非约束性建议’,所以我真的不知道他们为什么要为此烦恼。”
但这立即在他的读者评论区引起了一些反响。他说,他已经在器械行业工作了30年,虽然监管医疗器械的法律不会改变,但“解释和执行会改变”。
“通过了解FDA的想法,我们可以调整我们的设计、验证和生产努力,以满足这些期望。指导性文件推动了我们所做的大部分工作。
该机构在给CSO的一份声明中表示,如果不遵守指导,设备就会“掺假”,可能会导致“没收或强制令”。
几位专家一致认为,这种指导是值得的,应该把制造商推向正确的方向。但他们都不认为现在是,或者很快就会是这些设备的用户放松的时候了。显然,风险很高——对可植入设备或其他连接设备的黑客攻击所造成的危害要远远大于对数据或身份的盗窃。它可以杀死。
虽然目前还没有关于它导致死亡的报告,但这种风险是真实存在的。多年来,医疗设备一直被严格设计以保证其正常工作。但大多数有设计时并没有考虑到网络安全2014年,一家卫生组织的审计显示,其中许多安全隐患已经到了可能酿成灾难的地步,比如“缺乏认证……;弱密码或默认和硬编码的供应商密码,如“admin”或“1234”;嵌入式web服务器和管理接口一旦攻击者在网络上发现设备,就很容易识别和操作它们”。
Vulsec联合创始人、首席安全工程师安德鲁奥斯塔申(Andrew Ostashen)说,一个新生儿系统“从发现扫描到评估就离线了,原因是该组织不知道该设备在网络中的位置”,当时他在医院。
他说,这意味着黑客如果进入该组织内部,就可以让同一个系统下线。在这种情况下,“幸运的是,该设备在评估时没有使用。否则,这将是灾难性的。”
虽然对患者的身体伤害显然是需要减轻的最关键风险,但攻击者劫持设备以进入医疗组织的网络也存在风险。
网络安全防御供应商TrapX Labs在去年底的一份泄露报告中说被劫持的医疗设备被用作医院网络的后门。
“不幸的是,医院似乎不能发现或补救它,”Moshe Ben-Simon说,他是服务的联合创始人和副总裁。
那么,FDA最近的指导将在多大程度上推动安全指针?它不需要太大的变动就能产生影响。
正如Schneier所指出的,新的指导方针并没有突破重大的新领域。它涵盖了大多数专家所说的良好风险管理和安全“卫生”。FDA在声明中表示,其建议“包含在质量体系法规(QSR)中”,包括处理投诉的要求、审核标准、纠正和预防措施、软件验证、风险分析和服务。
该机构还呼吁制造商“应用NIST(国家标准与技术研究所)自愿网络安全框架,其中包括‘识别、保护、检测、响应和恢复’的核心原则。”
但总体重点(要求制造商在设备的整个生命周期中维护其安全性)非常重要,因为正如广泛报道的那样,这些设备的开发周期往往为5年或更长,然后使用寿命为10至20年。
补丁头痛
因此,遵循建议显然意味着从一开始就设计出在整个生命周期中修补和更新漏洞的能力。
食品和药物管理局还处理了制造商的投诉——一些批评家称之为借口如果他们更新了设备,他们必须再次通过认证程序。
新的指南明确指出,常规补丁和更新不需要FDA报告或审查。弱点不需要报告,除非它们导致死亡或其他不良事件,或不能在60天内修补。
独立安全评估公司(Independent Security Evaluators)的执行合伙人泰德•哈林顿(Ted Harrington)指出,此类设备的长期开发周期主要关注的是其机械部件的性能和安全性,而不是软件。
他说:“软件本身可以而且应该在整个审批过程中不断发展,而且必须有一个更新机制,以说明攻击技术的发展,发现以前未知的操作系统和通信协议的缺陷,以及其他性能增强。”
当然,即使是常规的安全更新过程也需要内置安全性。Batelle DeviceSecure Services的首席医疗安全工程师Stephanie Domas说:“更新机制本质上接受某种格式的新代码,并将其保存到设备中执行。这使得它们成为恶意行为者的诱人目标——已经有好几次软件更新被劫持以达到邪恶的目的。”
FDA还建议该行业的所有利益相关者加入信息共享分析组织(ISAO),以促进私营部门内部以及与政府之间的威胁信息共享。
报告说,ISAOs有足够的隐私保护条款,可以帮助“检测、减轻或从网络威胁的影响中恢复……”
最后一条建议遭到了维尔塔实验室(Virta Labs)首席执行官、密歇根大学(University of Michigan)副教授傅凯文(Kevin Fu)的批评关于艾萨克斯的“谨慎和怀疑”在去年4月的一封关于指导方针草案的信中。
“如果数据质量不高,共享数据就没有用处,”他写道,并引用了一个案例,在该案例中,一家医院报告某台服务器存在漏洞,于是使用了更不安全的服务器。
关于政府参与制定医疗器械安全标准的总体概念,存在一些争论。独立安全研究员肖恩·莫丁格(Shawn Merdinger)表示,在改善安全方面,市场可能比政府监管更有力。
他提到了做空投资公司浑水(Muddy Waters)去年秋天公布MedSec Holdings公司的研究结果,该研究发现St. Jude Medical Inc.生产的心脏起搏器和除颤器存在缺陷,导致该公司股价下跌。
那合作受到尖锐批评在一些IT媒体,和圣犹大起诉了Muddy Waters和MedSec,但Merdinger指出,“在这一点上,底线似乎是圣犹大正在发布补丁,ICS-CERT正在发布劝告,没有人被逮捕或以其他方式关闭业务方面。”
他说,关键在于,如果一家公司的股价受到威胁,“就意味着高管奖金和股东价值受到影响。”一旦你开始取消人们的船费,那就完全是另一回事了。”
哈林顿说,出于几个原因,他不支持政府对网络安全进行监管。他说:“它需要太长的时间来发展,在实施的时候就已经过时了,它充斥着太多的妥协,它试图将统一的安全模型应用于那些正在创新的组织,因此从定义上来说,这些组织并不统一。”
但是,他并不认为FDA的指导是无用的。他说,它可以“帮助各种利益相关者——从设备制造商、医院、患者到政府——在什么是重要的问题上保持一致。它提供了一种共同语言,可以围绕安全问题展开讨论。”
奥斯塔申说,政府应该发挥作用,发挥更积极的作用。“FDA必须建立法规那样严格的HIPAA(健康信息可移植性责任法案,该法案规定保护个人健康信息),”他说,补充说他看到网络责任保险公司拒绝赔偿,如果他们认为一个组织是疏忽没有遵循最佳实践。
他说:“医疗设备制造商需要为他们的疏忽负责。”“是的,这些设备的开发可能需要5年时间,但安全架构和开发必须是产品初始阶段的一个有意识的想法。”
总的来说,Domas称赞FDA“认真对待医疗设备的安全问题”。她指出,工程处积极参与医学会议和指导工作组。
“他们一直在征求反馈,并从整个医疗生态系统中购买,包括医疗制造商、医院和安全研究人员,”她说。
哈林顿说,虽然这还需要很长时间,“终端用户可以完全放松和自信的医疗设备的安全姿态,我乐观地认为,这将随着时间的推移而改善。”
FDA表示,“我们开始看到所有利益相关者心态的转变——制造商开始意识到在产品的整个使用寿命期间实施全面的网络安全控制的重要性。”
这篇文章,“FDA指导医疗设备安全之路”,最初发表于方案 。