全部商品分類
近期,留意到了一則關(guān)于BD醫(yī)療收到美國FDA(食品藥品監(jiān)督管理局)警告信的舊聞。盡管這一事件已隨時間淡出公眾視野,但從網(wǎng)絡(luò)安全的視角審視,它依舊極具探討價值。今天就來和大家聊聊。
該封由美國FDA發(fā)出的警告信,其簽發(fā)日期標(biāo)記為2024年11月22日,并于12月17日正式公之于眾。該警告的核心內(nèi)容聚焦于2024年5月對位于圣地亞哥的、原屬于CareFusion的生產(chǎn)基地所進(jìn)行的一次深度審查。審查結(jié)果揭示了該生產(chǎn)基地在質(zhì)量管理體系上存在顯著短板,未能嚴(yán)格遵循關(guān)于問題報告、產(chǎn)品更正及召回的相關(guān)法律規(guī)定。
檢查發(fā)現(xiàn),系統(tǒng)中存在544個未解決的軟件缺陷工單,其中111個被歸類為"災(zāi)難性或嚴(yán)重性傷害級別",包括4個直接關(guān)乎網(wǎng)絡(luò)安全的漏洞.
這些漏洞并非紙面游戲,據(jù)患者案例顯示,系統(tǒng)因網(wǎng)絡(luò)攻擊導(dǎo)致藥物閥門錯誤開啟,甚至因延遲響應(yīng)造成心臟驟停搶救失敗。FDA對此提出了嚴(yán)厲的批評,指出企業(yè)未能充分評估這些漏洞的可利用性以及它們對患者可能造成的傷害風(fēng)險。
事實上,BD醫(yī)療的案例只是冰山一角。近年來,醫(yī)療設(shè)備領(lǐng)域正以前所未有的速度邁向智能化與互聯(lián)化,然而,這一進(jìn)程中伴隨的網(wǎng)絡(luò)安全漏洞問題卻日益凸顯,成為監(jiān)管機構(gòu)高度關(guān)注的焦點。
據(jù)美國食品藥品監(jiān)督管理局(FDA)發(fā)布的警告信統(tǒng)計數(shù)據(jù)顯示,過去兩年內(nèi),全球范圍內(nèi)因網(wǎng)絡(luò)安全隱患所引發(fā)的醫(yī)療設(shè)備合規(guī)風(fēng)險急劇上升,直接對患者的生命安全構(gòu)成了嚴(yán)峻威脅。
諸如某美國知名胰島素泵制造商,因其產(chǎn)品存在遠(yuǎn)程攻擊漏洞而遭到了FDA的正式警告;另有一國產(chǎn)CT設(shè)備制造商,因未能充分識別DICOM協(xié)議中的潛在攻擊面,導(dǎo)致數(shù)十萬臺已部署設(shè)備不得不緊急進(jìn)行安全升級,以防范潛在的網(wǎng)絡(luò)威脅。
這些警告信的頻發(fā),也深刻的告誡我們:"網(wǎng)絡(luò)安全設(shè)計盲區(qū)"已不僅是技術(shù)缺陷,更是系統(tǒng)性風(fēng)險"。
那么,如何避開這些"致命陷阱"呢?
1.打破漏洞評估靜態(tài)化的傳統(tǒng)觀念,建立持續(xù)、動態(tài)的威脅評估機制。企業(yè)不能僅依賴上市前的"一次性"安全測試,而應(yīng)時刻關(guān)注動態(tài)威脅環(huán)境,及時發(fā)現(xiàn)并修復(fù)漏洞。
2.執(zhí)行安全更新機制。企業(yè)應(yīng)制定并執(zhí)行嚴(yán)格的安全更新計劃,確保產(chǎn)品的安全性和可靠性。
3.對于外包生產(chǎn)的醫(yī)療設(shè)備,企業(yè)應(yīng)加強對第三方供應(yīng)商的監(jiān)督和管理,確保供應(yīng)鏈的安全性和可控性。
4.網(wǎng)絡(luò)安全設(shè)計須直接關(guān)聯(lián)臨床后果,否則無法保障患者的生命安全。如BD醫(yī)療的Pyxis系統(tǒng)就因未評估網(wǎng)絡(luò)攻擊對藥物分發(fā)的直接影響而導(dǎo)致了災(zāi)難性事件。
如何破解,建議一二:
? 實現(xiàn)全生命周期安全設(shè)計。從研發(fā)階段開始嵌入安全架構(gòu),參考FDA《醫(yī)療設(shè)備網(wǎng)絡(luò)安全指南》等標(biāo)準(zhǔn)要求,確保產(chǎn)品在整個生命周期內(nèi)的安全性和可靠性。
?建立網(wǎng)絡(luò)攻擊應(yīng)急預(yù)案。企業(yè)應(yīng)制定詳細(xì)的應(yīng)急預(yù)案,明確各部門職責(zé)和應(yīng)急流程,并在事件發(fā)生時迅速響應(yīng)、有效處置。
寫在最后
合規(guī)只是起點,安全才是終點。在醫(yī)療設(shè)備智能化與互聯(lián)化的浪潮中,我們必須將網(wǎng)絡(luò)安全視為產(chǎn)品的核心功能而非附加選項。
在此也建議械企應(yīng)積極與第三方網(wǎng)絡(luò)安全測試公司合作,借助專業(yè)力量提升產(chǎn)品的網(wǎng)絡(luò)安全水平,避免"技術(shù)孤島"現(xiàn)象的發(fā)生。
注:文章來源于網(wǎng)絡(luò),如有侵權(quán),請聯(lián)系刪除
