美國FDA發布醫療裝置網路安全準則草案

美國食品暨藥物管理局（Food and Drug Administration，FDA）上周發布了醫療裝置上市後的網路安全管理安全準則草案，以確保醫療裝置整個生命周期的安全狀態。

該準則主要是用來建議醫療裝置製造商所應採取的措施，以用來解決網路安全的風險，保護病患的安全與公共健康，包括在醫療裝置進入市場之後還能持續監控、辨識及修補這些裝置的安全漏洞。

FDA表示，醫療裝置的網路安全威脅愈來愈受重視，駭客所開採的網路安全漏洞也對醫療裝置的安全性及有效性帶來風險，雖然製造商可在產品設計時就嵌入各種安全控制，但製造商也應負起維護裝置安全的責任，確保醫療裝置整個生命周期的安全。

FDA科學暨策略合作夥伴副主任Suzanne Schwartz表示，所有的醫療裝置都內建了軟體，同時連結到醫院與醫療照護組織，此次的準則草案是希望製造商能夠在產品上市後仍持續監控及解決網路安全問題，以防病患遭受網路威脅。

該草案建議製造商提出主動方案來評估網路安全漏洞，並進行資訊分享，同時建立系統化及結構化的網路安全風險管理方案。

資安業者TrapX在去年曾出版醫療裝置的綁架分析報告，指出醫療裝置為醫院網路鏈中最脆弱的一環，且個人健康保險憑證的資訊在黑市價格可能是信用卡的20倍，導致醫療裝置已成為駭客攻擊的主要目標。

醫療裝置通常執行封閉、老舊且缺乏更新的作業系統，而FDA亦規定醫院不得擅自開啟系統或在裝置上安裝第三方軟體，若駭客繞過防火牆及防毒軟體以在裝置上嵌入惡意程式，通常只能仰賴製造商來解決。TrapX斷言大部份的醫院皆已受到惡意程式的感染，而且已經年累月卻未曾被發現，建議醫院要求製造商提供裝置的偵測、治理與更新服務。

醫療裝置的安全性議題逐漸獲得關注，去年有兩名資安工程師在網路上搜尋到數百個可公開存取的醫療系統，其中一個醫療系統的伺服器上存有6.8萬個醫療裝置的詳細資訊，這兩名工程師還建立了10台偽裝成醫療系統的電腦，總計遭受299次的惡意程式攻擊與24次的漏洞攻擊。