医疗设备和医院网络的网络安全

许多医疗设备包含可配置的嵌入式计算机系统，这些系统容易受到网络安全漏洞的攻击. 除了, 随着医疗设备越来越多地通过互联网互联, 医院网络, 其他医疗设备或智能手机, 网络安全漏洞风险增加, 哪些因素会影响医疗设备的运行.

美国食品和药物管理局(FDA)最近意识到网络安全漏洞和事件可能直接影响医疗设备或医院网络运营, 例如:

• 网络连接/配置的医疗设备被恶意软件感染或禁用
• 医院电脑中存在恶意软件, 智能手机和平板电脑, 针对使用无线技术访问患者数据的移动设备, 监测系统和植入病人设备
• 不受控制的密码分发, 禁用密码, 用于特权设备访问的软件的硬编码密码.g.，发给行政、技术及维修人员)
• 未能及时向医疗设备和网络提供安全软件更新和补丁，未能解决旧医疗设备模型(遗留设备)中的相关漏洞
• 为防止未经授权的设备或网络访问而设计的现成软件中的安全漏洞, 例如明文认证或不认证, 硬编码的密码, 在服务手册中记录的服务帐户和糟糕的编码/SQL注入.

FDA建议/行动

FDA有一些建议，以减轻技术可能对卫生保健组织造成的风险.

所有设备制造商:

制造商有责任保持警惕，识别与其医疗设备相关的风险和危害, 包括网络安全相关风险, 并负责实施适当的缓解措施，以解决患者安全问题，并确保适当的设备性能.

FDA希望医疗设备制造商采取适当措施，限制未经授权访问医疗设备的机会. 具体地说, 建议制造商审查他们的网络安全实践和政策，以确保适当的保障措施到位，以防止未经授权的访问或修改他们的医疗设备，或危及可能连接到设备的医院网络的安全. 需要多大程度的安全控制将取决于医疗设备, 使用环境, 它所暴露的风险的类型和可能性, 以及安全漏洞可能给病人带来的风险.

在评估你的设备时，请考虑以下几点:

• 采取步骤限制未经授权的设备访问仅受信任的用户, 特别是对于那些维持生命的设备或者可以直接连接到医院网络的设备.
• 适当的安全控制可能包括用户身份验证, 例如用户ID和密码, 智能卡, or biometrics; strengthening password protection by avoiding 硬编码的密码 and limiting public access to passwords used for technical device access; physical locks; card readers; and guards.
• 保护单个组件不被利用，并制定适合设备使用环境的主动安全保护策略. 这些策略应包括及时部署日常工作, 验证的安全补丁和方法，以限制软件或固件更新认证的代码. FDA通常不需要审查或批准仅仅为了加强网络安全而进行的医疗设备软件更改.
• 使用维护设备关键功能的设计方法, 即使在安全受到威胁的情况下, 这被称为“故障安全模式”.”
• 在安全受到损害的事件发生后，提供保留和恢复的方法.
• 网络安全事件发生的可能性越来越大，制造商应该考虑事故响应计划，以解决降级运行的可能性和高效的恢复和恢复.

对于保健设施:

FDA建议您采取措施评估您的网络安全并保护您的医院系统. 在评估网络安全性时, 医院和保健设施应考虑采取以下措施:

• 限制非法访问网络和联网的医疗设备
• 确保适当的防病毒软件和防火墙是最新的
• 监视网络活动以防止未经授权的使用
• 通过日常和定期的评估保护单个网络组件, 包括更新安全补丁，禁用所有不必要的端口和服务
• 如果您认为您可能有与医疗设备相关的网络安全问题，请联系特定的设备制造商
  • 如果您无法确定制造商或无法与制造商联系, FDA可能会协助漏洞报告和解决.
• 开发和评估在不利条件下保持关键功能的策略

向FDA报告问题 

及时报告不良事件可以帮助FDA识别和更好地理解与医疗器械相关的风险. 如果您怀疑某个网络安全事件影响了医疗设备的性能或影响了医院网络系统, 通过医疗观察组织自愿提交报告, FDA安全信息和不良事件报告项目. 

受FDA用户设施报告要求约束的设施雇用的卫生保健人员应遵循其设施制定的报告程序.

设备制造商必须遵守医疗设备报告(MDR)法规.

本《美高美集团4688》不打算详尽无遗，任何讨论或意见也不应被视为法律建议. 读者应联系法律顾问或保险专业人士以获得适当的建议. 设计©2013 Zywave, Inc. 保留所有权利.