目前對互聯(lián)醫(yī)療設(shè)備的網(wǎng)絡(luò)攻擊日益增加，而且與醫(yī)療系統(tǒng)黑客攻擊相比，這種攻擊甚至更為嚴峻。正如《哈佛商業(yè)評論》(HBR)指出：“雖然攻擊醫(yī)療系統(tǒng)的黑客令人恐懼，但攻擊醫(yī)療設(shè)備的黑客可能更糟糕?！绷硗猓哆B線》雜志寫道：“醫(yī)療設(shè)備是下一個安全噩夢?！? 為了確保醫(yī)療設(shè)備的安全性萬無一失，必須滿足食品藥品管理局 (FDA) 的要求和其他安全標準。但是當設(shè)計醫(yī)療可穿戴設(shè)備和物聯(lián)網(wǎng) (IoT) 設(shè)備時，做起來要比說起來困難得多。

醫(yī)療可穿戴設(shè)備的安全性可能更具挑戰(zhàn)性

固定位置的端點設(shè)備的安全性挑戰(zhàn)難度很高。但是，可穿戴設(shè)備的安全性挑戰(zhàn)難度更高。以下是主要原因：

設(shè)備可能不是正確的設(shè)備

佩戴者可以四處走動，可以身處任何地方

設(shè)備也可能被錯誤的人使用

然而，我們可以采取安全措施來確定設(shè)備發(fā)送數(shù)據(jù)是否經(jīng)過授權(quán)。以 Apple Watch 為例。除跌倒檢測功能外，Apple Watch 的 API 要求其執(zhí)行以下操作：

讓用戶知道他們需要在 iPhone 上授予該權(quán)限

在 iPhone 上向用戶顯示健康授權(quán)對話框

在 iPhone 上完成授權(quán)后撥打電話

在 Apple Watch 上處理 iPhone 的授權(quán)結(jié)果

除了要知道設(shè)備是否經(jīng)授權(quán)發(fā)送數(shù)據(jù)之外，還需要確定設(shè)備是否被欺騙，是否有其他設(shè)備在發(fā)送數(shù)據(jù)，以及設(shè)備是否在發(fā)送正確的數(shù)據(jù)。另外還要加以檢查，了解設(shè)備是否在準確地發(fā)送數(shù)據(jù)，以及獲取數(shù)據(jù)的時間是否正確。

醫(yī)療器械安全法規(guī)

若要滿足 FDA 和其他安全要求，第一步是要知道這些要求。為避免出現(xiàn)尷尬和代價高昂的安全漏洞，需要滿足以下數(shù)字健康要求：

FDA 建議 –在 2018 年指南草案中，F(xiàn)DA 將網(wǎng)絡(luò)安全風(fēng)險分為 1 級（較高網(wǎng)絡(luò)安全風(fēng)險）和 2 級（標準網(wǎng)絡(luò)安全風(fēng)險）。1 級有兩個條件：(i) 設(shè)備連接到其他產(chǎn)品或網(wǎng)絡(luò)（有線或無線），(ii) 網(wǎng)絡(luò)安全事件可能直接對多名患者造成傷害。指南建議采取以下安全措施：身份驗證、加密、標識、授權(quán)和糾正。盡管指南不是強制性的，但需要予以重視。截至 2020 年中，該指南仍為草案，但隨時可能被正式采納。建議將該指南用于新設(shè)備。它類似于早先出現(xiàn)且仍然有效的 2014 年指南，但內(nèi)容更詳細。

NIST 網(wǎng)絡(luò)安全框架 – FDA 建議基于 NIST 網(wǎng)絡(luò)安全框架。1 級建議如下： 1 級設(shè)計還建議實施彈性措施，例如加密驗證和身份驗證、安全配置、網(wǎng)絡(luò)安全 BOM (CBOM)。 2 級的建議相同，但如果基于風(fēng)險的理由表明某些項目不合適，則可以將其忽略。

只有受信任的用戶和設(shè)備能獲得訪問權(quán)，而且要對安全關(guān)鍵型命令進行身份驗證和授權(quán)檢查，從而防止未經(jīng)授權(quán)的使用。

維護代碼、數(shù)據(jù)和執(zhí)行的完整性，確保內(nèi)容可信。

維護數(shù)據(jù)機密性。

設(shè)計設(shè)備時就能讓其及時檢測網(wǎng)絡(luò)安全威脅。

設(shè)計設(shè)備時使之能響應(yīng)潛在網(wǎng)絡(luò)安全事件并控制其影響。

設(shè)計設(shè)備時使之能恢復(fù)因網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

HIPAA（患者數(shù)據(jù)隱私）–《健康保險流通與責(zé)任法案》(HIPAA) 獨立于安全性。但是，要滿足 HIPAA，安全措施必須到位。其要求如下：

確保安全設(shè)計以用戶為中心

實現(xiàn)從設(shè)備到數(shù)據(jù)庫的端到端安全性以及數(shù)據(jù)庫的物理訪問控制

如果傳輸?shù)臄?shù)據(jù)沒有患者 ID，則不涉及隱私問題。在數(shù)據(jù)庫中將代碼與患者姓名匹配。

CE 安全要求 – CE 要求不像 FDA 指南那樣具體，但有相似性：設(shè)備必須安全有效。有個重點是關(guān)于數(shù)據(jù)保護（請參閱 GDPR），比美國患者數(shù)據(jù)要求更為嚴格。

適用的文件包括《醫(yī)療設(shè)備法規(guī)》(MDR) 附件 I、關(guān)于軟件的 EN62304 和關(guān)于危害分析的 EN14971。要求的規(guī)范如下：

規(guī)范 1：安全管理

規(guī)范 2：安全要求規(guī)范

規(guī)范 3：安全設(shè)計

規(guī)范 4：安全實現(xiàn)

規(guī)范 5：安全驗證和確認測試

規(guī)范 6：安全相關(guān)問題的管理

規(guī)范 7：安全更新管理

規(guī)范 8：安全準則 - 文檔

針對涉及 IT 網(wǎng)絡(luò)特征的工作環(huán)境以及無法通過產(chǎn)品設(shè)計實現(xiàn)的 IT 安全措施，制造商有責(zé)任確定相應(yīng)的最低要求。這意味著，制造商即使不提供網(wǎng)絡(luò)，也有責(zé)任提供相關(guān)信息，指導(dǎo)用戶在安全網(wǎng)絡(luò)中操作設(shè)備。

采用安全設(shè)計方法

醫(yī)療設(shè)備安全標準對于醫(yī)療物聯(lián)網(wǎng)和可穿戴設(shè)備設(shè)計至關(guān)重要，但要滿足這些要求并非易事。若要滿足安全要求，唯一辦法就是采用安全設(shè)計方法。該方法有諸多優(yōu)點，其中包括以下幾項：

有效并盡早消除安全漏洞

內(nèi)置而不是外加的安全性

降低責(zé)任風(fēng)險

更具彈性的系統(tǒng)

降低成本

如何實現(xiàn)安全設(shè)計

首先要了解法規(guī)要求。在開始產(chǎn)品設(shè)計之前確定產(chǎn)品要求。在產(chǎn)品設(shè)計中納入安全性并進行測試，確保滿足所有要求。

了解并確定法規(guī)要求只是成功的一半

在設(shè)計醫(yī)療設(shè)備時，還應(yīng)考慮以下要素：

技術(shù)選擇。設(shè)備是否建立在經(jīng)過驗證的技術(shù)之上？

技術(shù)弱點。技術(shù)平臺是否有已知漏洞？

系統(tǒng)設(shè)計。系統(tǒng)中的風(fēng)險在哪里？靜態(tài)數(shù)據(jù)的漏洞與動態(tài)數(shù)據(jù)的漏洞不同。

風(fēng)險評估?？傮w風(fēng)險應(yīng)細分為具體項目，每個項目都應(yīng)包含風(fēng)險和所需的應(yīng)對辦法。

密碼技術(shù)。需要何種等級的密碼？等級太高的話，將需要更多的功耗和時間。

加密。加密不僅僅是用加密算法保護數(shù)據(jù)。安全密鑰的管理更為重要。

威脅檢測。如何在造成損害之前發(fā)現(xiàn)威脅？

滲透測試。雇用文明黑客嘗試攻擊系統(tǒng)。

開發(fā)人員。他們是否參與威脅建模？他們是否了解設(shè)計組織的安全設(shè)計規(guī)范？

可維護性。是否存在對可維護性及其衡量工具的要求？

隱私設(shè)計。設(shè)計方法中是否包含隱私考慮因素（HIPAA 和 GDPR）？

進一步改善。如何實現(xiàn)持續(xù)改進和設(shè)備開發(fā)？在產(chǎn)品生命周期中，安全性會變得越來越有挑戰(zhàn)性。

為了成功實施所有這些措施，須雇用內(nèi)部物聯(lián)網(wǎng)工程師或可靠的第三方顧問。例如，Voler 曾被委托開發(fā) XEEDA 錢包——世界上第一個用于智能手機的加密貨幣硬件錢包。Voler 在產(chǎn)品開發(fā)的每一步都實施了安全設(shè)計，并使用多因素身份驗證、內(nèi)置生物特征安全特性和其他關(guān)鍵安全措施，使設(shè)備達到非常高的安全性（EAL 5 級）。Voler 按時并在預(yù)算內(nèi)完成了這項具挑戰(zhàn)性的設(shè)計。

總結(jié)

隨著醫(yī)療保健領(lǐng)域中網(wǎng)絡(luò)安全和隱私問題的日益增加，安全性應(yīng)成為設(shè)計的重中之重。設(shè)計必須滿足 FDA、CE 和其他安全要求，確保設(shè)備萬無一失，避免安全漏洞造成代價高昂且令人尷尬的后果。
責(zé)任編輯人：CC