新的医疗器械网络安全指南应对不断演变的威胁

今天，美国食品和药物管理局发布了医疗器械制造商应如何维护互联网连接设备的安全性的建议，即使这些设备已经进入医院、患者家庭或患者身体。不安全的设备可以让黑客篡改多少药物是由设备提供-潜在的致命后果。...

今天，美国食品和药物管理局发布了医疗器械**商应如何维护互联网连接设备的安全性的建议，即使这些设备已经进入医院、患者家庭或患者身体。不安全的设备可以让黑客篡改多少药物是由设备提供-潜在的致命后果。

该指南于去年1月以草案形式首次发布，历时一年多。这份长达30页的文件鼓励**商监控他们的医疗设备和相关软件的缺陷，并修补出现的任何问题。但是这些建议在法律上是不可执行的，所以它们基本上没有牙齿。

FDA多年来一直警告医疗保健行业，医疗设备容易受到网络攻击。这是一个合理的担忧：研究人员已经设法远程篡改除颤器、起搏器和胰岛素泵等设备。2015年，FDA警告医院，Hospira输液泵可以通过医院网络访问和控制，它可以缓慢地将营养物质和药物释放到患者体内。这对病人来说是危险的，他们可能会被改变过多或过少的药物直接伤害到。这也意味着，安全性差的设备可能会让黑客进入存储病人信息的医院网络——这种情况下，身份盗窃的时机已经成熟。

“事实上，医院网络不断遭受入侵和攻击，这可能对患者安全构成威胁，”FDA负责科学和战略伙伴关系的副主任苏珊施瓦茨（Suzanne Schwartz）在一篇有关新指南的博客文章中说而随着黑客越来越老练，这些网络安全风险也将不断演变。”

FDA在2014年10月发布了一套早期的建议，建议**商在设计和开发医疗设备时，为其提供网络安全保护。今天的指导重点是设备出厂后如何维护医疗设备网络安全。这些准则规定了识别和解决当前脆弱性的步骤。他们还建议**商联合起来，成立一个信息共享和分析组织（ISAO），在安全风险发生时，分享有关安全风险和应对措施的详细信息。

大多数旨在解决安全漏洞的补丁和更新都将被视为常规增强，这意味着**商不必在每次发布补丁和更新时都向FDA发出警告。也就是说，除非有人死亡或受到严重伤害，因为一个错误-然后**商需要报告它。只要**商在30天内告知客户和设备用户该漏洞，在60天内修复该漏洞，并与ISAO共享该漏洞的信息，在危害或杀死任何人之前发现的危险漏洞就不必向FDA报告。

网络安全研究员、范德比尔特大学商学院院长埃里克·约翰逊（ericjohnson）在给《边缘》（the Verge）的一封电子邮件中说，这一保护医疗设备的尝试只是一个开始。FDA的Schwartz也同意这一观点，他在博客中写道：“这显然不是FDA解决网络安全问题的最后一步。”