目前對互聯(lián)醫(yī)療設備的網(wǎng)絡攻擊日益增加，而且與醫(yī)療系統(tǒng)黑客攻擊相比，這種攻擊甚至更為嚴峻。正如《哈佛商業(yè)評論》(HBR)指出：“雖然攻擊醫(yī)療系統(tǒng)的黑客令人恐懼，但攻擊醫(yī)療設備的黑客可能更糟糕?！绷硗?，《連線》雜志寫道：“醫(yī)療設備是下一個安全噩夢?！? 為了確保醫(yī)療設備的安全性萬無一失，必須滿足食品藥品管理局 (FDA) 的要求和其他安全標準。但是當設計醫(yī)療可穿戴設備和物聯(lián)網(wǎng) (IoT) 設備時，做起來要比說起來困難得多。

醫(yī)療可穿戴設備的安全性可能更具挑戰(zhàn)性

固定位置的端點設備的安全性挑戰(zhàn)難度很高。但是，可穿戴設備的安全性挑戰(zhàn)難度更高。以下是主要原因：

設備可能不是正確的設備

佩戴者可以四處走動，可以身處任何地方

設備也可能被錯誤的人使用

然而，我們可以采取安全措施來確定設備發(fā)送數(shù)據(jù)是否經過授權。以 Apple Watch 為例。除跌倒檢測功能外，Apple Watch 的 API 要求其執(zhí)行以下操作：

讓用戶知道他們需要在 iPhone 上授予該權限

在 iPhone 上向用戶顯示健康授權對話框

在 iPhone 上完成授權后撥打電話

在 Apple Watch 上處理 iPhone 的授權結果

除了要知道設備是否經授權發(fā)送數(shù)據(jù)之外，還需要確定設備是否被欺騙，是否有其他設備在發(fā)送數(shù)據(jù)，以及設備是否在發(fā)送正確的數(shù)據(jù)。另外還要加以檢查，了解設備是否在準確地發(fā)送數(shù)據(jù)，以及獲取數(shù)據(jù)的時間是否正確。

醫(yī)療器械安全法規(guī)

若要滿足 FDA 和其他安全要求，第一步是要知道這些要求。為避免出現(xiàn)尷尬和代價高昂的安全漏洞，需要滿足以下數(shù)字健康要求：

FDA 建議 –在 2018 年指南草案中，F(xiàn)DA 將網(wǎng)絡安全風險分為 1 級（較高網(wǎng)絡安全風險）和 2 級（標準網(wǎng)絡安全風險）。1 級有兩個條件：(i) 設備連接到其他產品或網(wǎng)絡（有線或無線），(ii) 網(wǎng)絡安全事件可能直接對多名患者造成傷害。指南建議采取以下安全措施：身份驗證、加密、標識、授權和糾正。盡管指南不是強制性的，但需要予以重視。截至 2020 年中，該指南仍為草案，但隨時可能被正式采納。建議將該指南用于新設備。它類似于早先出現(xiàn)且仍然有效的 2014 年指南，但內容更詳細。

NIST 網(wǎng)絡安全框架 – FDA 建議基于 NIST 網(wǎng)絡安全框架。1 級建議如下： 1 級設計還建議實施彈性措施，例如加密驗證和身份驗證、安全配置、網(wǎng)絡安全 BOM (CBOM)。 2 級的建議相同，但如果基于風險的理由表明某些項目不合適，則可以將其忽略。

只有受信任的用戶和設備能獲得訪問權，而且要對安全關鍵型命令進行身份驗證和授權檢查，從而防止未經授權的使用。

維護代碼、數(shù)據(jù)和執(zhí)行的完整性，確保內容可信。

維護數(shù)據(jù)機密性。

設計設備時就能讓其及時檢測網(wǎng)絡安全威脅。

設計設備時使之能響應潛在網(wǎng)絡安全事件并控制其影響。

設計設備時使之能恢復因網(wǎng)絡安全事件而受損的功能或服務。

HIPAA（患者數(shù)據(jù)隱私）–《健康保險流通與責任法案》(HIPAA) 獨立于安全性。但是，要滿足 HIPAA，安全措施必須到位。其要求如下：

確保安全設計以用戶為中心

實現(xiàn)從設備到數(shù)據(jù)庫的端到端安全性以及數(shù)據(jù)庫的物理訪問控制

如果傳輸?shù)臄?shù)據(jù)沒有患者 ID，則不涉及隱私問題。在數(shù)據(jù)庫中將代碼與患者姓名匹配。

CE 安全要求 – CE 要求不像 FDA 指南那樣具體，但有相似性：設備必須安全有效。有個重點是關于數(shù)據(jù)保護（請參閱 GDPR），比美國患者數(shù)據(jù)要求更為嚴格。

適用的文件包括《醫(yī)療設備法規(guī)》(MDR) 附件 I、關于軟件的 EN62304 和關于危害分析的 EN14971。要求的規(guī)范如下：

規(guī)范 1：安全管理

規(guī)范 2：安全要求規(guī)范

規(guī)范 3：安全設計

規(guī)范 4：安全實現(xiàn)

規(guī)范 5：安全驗證和確認測試

規(guī)范 6：安全相關問題的管理

規(guī)范 7：安全更新管理

規(guī)范 8：安全準則 - 文檔

針對涉及 IT 網(wǎng)絡特征的工作環(huán)境以及無法通過產品設計實現(xiàn)的 IT 安全措施，制造商有責任確定相應的最低要求。這意味著，制造商即使不提供網(wǎng)絡，也有責任提供相關信息，指導用戶在安全網(wǎng)絡中操作設備。

采用安全設計方法

醫(yī)療設備安全標準對于醫(yī)療物聯(lián)網(wǎng)和可穿戴設備設計至關重要，但要滿足這些要求并非易事。若要滿足安全要求，唯一辦法就是采用安全設計方法。該方法有諸多優(yōu)點，其中包括以下幾項：

有效并盡早消除安全漏洞

內置而不是外加的安全性

降低責任風險

更具彈性的系統(tǒng)

降低成本

如何實現(xiàn)安全設計

首先要了解法規(guī)要求。在開始產品設計之前確定產品要求。在產品設計中納入安全性并進行測試，確保滿足所有要求。

了解并確定法規(guī)要求只是成功的一半

在設計醫(yī)療設備時，還應考慮以下要素：

技術選擇。設備是否建立在經過驗證的技術之上？

技術弱點。技術平臺是否有已知漏洞？

系統(tǒng)設計。系統(tǒng)中的風險在哪里？靜態(tài)數(shù)據(jù)的漏洞與動態(tài)數(shù)據(jù)的漏洞不同。

風險評估?？傮w風險應細分為具體項目，每個項目都應包含風險和所需的應對辦法。

密碼技術。需要何種等級的密碼？等級太高的話，將需要更多的功耗和時間。

加密。加密不僅僅是用加密算法保護數(shù)據(jù)。安全密鑰的管理更為重要。

威脅檢測。如何在造成損害之前發(fā)現(xiàn)威脅？

滲透測試。雇用文明黑客嘗試攻擊系統(tǒng)。

開發(fā)人員。他們是否參與威脅建模？他們是否了解設計組織的安全設計規(guī)范？

可維護性。是否存在對可維護性及其衡量工具的要求？

隱私設計。設計方法中是否包含隱私考慮因素（HIPAA 和 GDPR）？

進一步改善。如何實現(xiàn)持續(xù)改進和設備開發(fā)？在產品生命周期中，安全性會變得越來越有挑戰(zhàn)性。

為了成功實施所有這些措施，須雇用內部物聯(lián)網(wǎng)工程師或可靠的第三方顧問。例如，Voler 曾被委托開發(fā) XEEDA 錢包——世界上第一個用于智能手機的加密貨幣硬件錢包。Voler 在產品開發(fā)的每一步都實施了安全設計，并使用多因素身份驗證、內置生物特征安全特性和其他關鍵安全措施，使設備達到非常高的安全性（EAL 5 級）。Voler 按時并在預算內完成了這項具挑戰(zhàn)性的設計。

總結

隨著醫(yī)療保健領域中網(wǎng)絡安全和隱私問題的日益增加，安全性應成為設計的重中之重。設計必須滿足 FDA、CE 和其他安全要求，確保設備萬無一失，避免安全漏洞造成代價高昂且令人尷尬的后果。
責任編輯人：CC