美國政府法律、法規和指導方針通常無法像技術社區那樣迅速發展,在很多時候,甚至遲遲未能及時響應人們期望已久的緊迫的需求。因為政府需要考慮很多不同的利益相關者(包括國際社會)以及新指導方針可能對他們帶來的影響,例如對行業以及對整個產品生命周期的影響。
在預防和防止數據泄露方面,以及確保復雜業務和醫療系統和設備方面,醫療行業面臨巨大壓力。在本文中,我們將討論美國食品和藥物管理局(FDA)制造商醫療器械網絡安全指南以及企業應如何將其納入信息安全計劃。
FDA醫療器械網絡安全指南
2016年12月,FDA發布新的醫療器械指南《醫療器械網絡安全市場管理》。該指南具有相當高的水平,構建在NIST和其他機構的研究之上。它涵蓋一般原則、風險管理、修補和報告漏洞、報告要求、參與信息共享和分析組織,以及有效市場安全計劃的要素。所有這些方面都旨在涵蓋設備的整個軟件開發生命周期,以及硬件開發,并提供建議指導如何將安全納入設備開發一直到患者護理環境中設備部署--這涉及監控和更新設備。
FDA制造商醫療器械指南中的一個章節列舉了不受控制設備危害以及補救措施。其中的一個例子是未經授權用戶重新編程心臟起搏器的風險,這在此前報道的St.Jude Medical的設備中出現。
如何將該指南納入企業安全計劃
為了充分發揮FDA醫療器械指南的作用,企業需要將其納入到信息安全計劃中,作為設備制造商需要滿足的要求。否則,考慮到該指南的約束性,很少醫療器械制造商會采取實際行動來確保醫療IT器械的安全性。個人可能會想要調查他們使用的某些醫療器械,并查看它們是否遵守FDA指南。
該指南實際的另一個領域是額外的部署細節或硬要求,例如要求參與信息共享和分析組織。
FDA醫療器械指南提供了很多好建議,包括企業應該將具有IT組件的醫療器械作為其IT基礎設施的重要部分。企業應該開始在其信息安全和IT風險管理計劃中涵蓋醫療器械,并適當地對這些設備實施標準安全控制。企業可測試這些設備的安全性,通過漏洞掃描、網絡監控等。
FDA還建議從漏洞利用的角度評估對患者的風險危害。該評估應包括評估特定醫療器械的網絡停機時間的風險,以及確保企業連續性和災難恢復計劃部署到位,讓企業知道如何在此類事件中做出響應。企業還應確保只有授權用戶可對設備的設置(例如起搏器)進行更改,以讓患者在植入設備時感到放心。
結論
醫療保健網絡和生態系統多樣且復雜,包含很多不同類型的設備,包括需要高水平安全來保護人們和敏感數據的傳統系統。健康保險可攜性與責任法案已經是20多年的立法標準,但我們還需要更加具體的指導方針來跟上快速變化的環境。
京公網安備 11010502049343號