近年来医疗设备数字化发展迅速,无论是用于症状监测的信息采集、诊断检查的数据处理,以及用于手术操作的自动控制等临床辅助功能,都得益于数字化赋能,使其做得更好。然而,数字化在带来好处的同时,也带来了网络安全风险。尽管当前世界各国已经意识到这个问题,并在不断地完善相关法律、规章和管理体系,但是仍未能覆盖医疗设备网络安全管控的各个方面。为此,对于设备的管理者和使用者而言,必须主动作为,以应对医疗设备网络安全的新挑战。作者强调,医疗卫生机构应注重以“治理”为手段,多方协同,主动作为,共同应对医疗设备网络安全新风险。为此,译者翻译了这篇文章,Advancing Medical Device Cybersecurity Beyond Compliance: Managing Risk with Governance 。文章的作者是TRIMEDX网络安全高级副总裁。TRIMEDX是一家美国的临床资产管理公司,公司为医疗卫生机构提供临床工程服务、临床资产信息技术和医疗设备网络安全服务。
当今,数字技术已经融入医疗系统各领域全过程,网络已成为医院运营的必要支撑,数字技术也快速融入医疗设备。新兴信息技术对于改善治疗效果、提升工作效率发挥出越来越大的作用,但与此同时,也带来了网络安全问题。数字化医疗设备,以及这些设备所实现的功能,都面临网络安全的威胁。为此,政府和医疗行业不断完善相关法律法规和防护标准,健全安全监管框架,降低网络安全风险的威胁。然而由于数字化过程发展速度快、势头猛,试图全面化解医疗设备网络安全风险,仍是一项艰巨的任务。
对于医疗卫生机构而言,应遵循各种法规和标准要求,做好安全防护工作。但是人们发现,仅仅做到这个层次的防护水平,还是不够的。医疗设备自身技术手段具有特异性和多样性,各种设备功能和安全防护能力也存在差异。为此,医疗卫生机构须在遵循通用的安全标准基础之上,进一步根据其特定的风险场景,有针对性地选择和采取安全防护手段和措施。
医疗卫生机构的医疗设备数字化进程,正在发生重大转变:74%的医疗卫生机构报告,他们一半以上的医疗设备必须在线联网使用。¹
基于网络的医疗设备应用将会进一步的发展。设备网络化,在提高诊疗水平方面取得了明显的成效。但是如果不采取安全稳健的安全防护措施,将会面临各种意想不到的风险和挑战。随着医疗卫生机构内部联网设备数量越来越多,医疗卫生机构也必须认识到医疗设备网络安全工作越来越重要,要求在接受新的立法、法规和指南来制定和实施强大而有效的网络安全计划时,还要更全面地去管控风险,而不仅仅做到“合规”。
医疗数据安全保护工作相比医疗设备网络化应用开展得要早,但是,面对快速普及的数字化应用和由此产生的安全风险而言,法规和制度建设是相对滞后的。
2.1 健康保险流通与责任法案 (HIPAA) - 1996年
1996年签署HIPAA法案以来(Health Insurance Portability and Accountability Act),它一直是作为医疗数据保护的基石。HIPAA的重要性在于它扮演了患者信息守护者的角色。随着时间的推移,政府不断地进行更新升级,以应对不断增长的技术和医疗数据安全风险。HIPAA安全规则中,除了数据安全之外,涵盖的安全对象还包括ePHI的保护(electronic Protected Health Information电子化的受保护的健康信息,HIPAA法案中对属于ePHI的18个数据项给出了具体定义,包括:姓名、地址、电话、生物识别特征等“个人信息”)。本安全法案表明,政府对医疗网络安全日益关注,要求医疗卫生机构采取措施,确保ePHI的机密性、完整性和可用性,包括采用防火墙、加密和数据备份等措施。
虽然HIPAA是一个强制性标准,提出了严格的安全工作规范。但HIPAA主要侧重于数据保护,并没有考虑设备安全问题。一般而言,医疗设备是ePHI数据的收集和传输节点。我们应进一步关注这方面的问题,医疗设备通常会存储和传输大量的ePHI数据。这些数据在诊断、监测和治疗方面发挥着至关重要的作用。但是,每个存储和处理ePHI数据的联网设备,都可能存在不能满足HIPAA要求的情况。医疗设备安全风险是复杂的,超出了现有HIPAA法规所覆盖的范围,为此应该对法案进一步升级,使其要求更加全面。
2.2 经济刺激和临床健康信息技术 (HITECH) 法案 - 2009年
2009 年国会通过了《经济刺激和医疗领域卫生信息技术法案》 (HITECH --Health Information Technology for Economic and Clinical Health Act)。HITECH法案是2009年《美国经济复苏和再投资法案(American Recovery and Reinvestment Act )》的一部分。HITECH法案鼓励医疗卫生机构使用电子健康记录,也加强了对医疗服务数据的隐私和安全保护,并增加了应用和执法监督要求。HITECH扩展了HIPAA范畴,要求设备厂商必须报告安全风险防御不符合法规要求的情况。与HIPAA一样,HITECH法案授权政府对某些违规行为进行处罚和罚款,但是并没有对医疗设备的网络安全提出有针对性的要求。
2.3 综合拨款法案,第3305条:“确保医疗设备的网络安全” - 2023年
2022年,国会通过了对《联邦食品、药品和化妆品法案 (Federal Food, Drug, and Cosmetic (FD&C) Act)》的修改,以加强FDA医疗设备审批过程中对网络安全的要求。²
从2023年开始,医疗设备制造商必须向FDA提交应对其新产品中处置网络安全漏洞的计划。设备制造商还必须制定相关工作流程,提供关于对嵌入式软件的升级和安全加固服务。法案要求设备厂商对其产品的网络安全保障措施情况,在其申报材料中进行说明。但是,对于那些在新规则实施之前已经上市的设备,尚未做出如何处置的要求。
2.4 HHS 405(d) 项目 - 2015年
HHS 405(d)是卫生与公众服务部 (HHS)与联邦政府之间的一个合作项目。该项目是为了落实2015年美国《网络安全法》的要求,通过部门之间的合作,为医疗服务和公共卫生机构的网络安全工作提供更有价值的技术指导和参考信息。然而,这个项目缺乏执行和处罚机制,因而难以推动医疗卫生机构层面各项工作的落实。
3.1 2021年,勒索病毒软件攻击给美国的医疗卫生机构造成了78亿美元的损失。⁵
医疗服务领域的网络安全环境在不断变化,所带来的新挑战超出了立法和监管规章的升级速度。为此,应该看到医疗服务数据泄露主要原因为信息技术能力不足所致。黑客攻击和信息技术问题占报告事件的很大一部分。2023年8月,向民权办公室(OCR)报告的事件中,有83.8%被确定为黑客或信息技术事件。³
近年来,勒索病毒软件给医疗卫生机构造成了重大损失。勒索病毒软件攻击与其他类型的数据泄露事件不同,因为它们通常不会寻求获取ePHI数据或其他敏感信息。相反,攻击者会将个人或组织的数据记录锁定。在医疗服务领域,意味着无法访问患者记录或医疗设备被禁用。个人勒索病毒软件攻击已使医疗卫生机构损失了数十亿美元的罚款和诉讼,并影响了数月时间的临床业务运营。⁴
3.2 技术支持方面存在差距
3.3 网络安全监管框架之外的风险挑战 HIPAA和HITECH等立法主要侧重于保护患者数据。然而,在临床环境中,医疗设备与患者连接时,网络安全风险有可能诱发医疗安全问题,甚至可能对患者生命安全造成威胁。当发生不良事故的结果或死亡原因与网络攻击有关时,相关处置规则尚不完全能从现行立法规则中找到处置依据。像阿拉巴马州这样的诉讼,勒索病毒对医疗设备的攻击导致了刚出生的婴儿死亡,这意味着未来的网络安全风险可能会给医疗卫生机构带来更大的损失。⁶ 网络攻击还威胁到医疗卫生机构难以衡量但又非常宝贵的资源:医院的声誉。人们对网络安全事件的记忆可能会持续很长时间,尤其是在广为人知的情况下,无论是对医疗业务开展,还是对行使拯救患者的使命,对医疗卫生机构所造成的社区信任损害,都是无法承受的。 -美联社" 虽然法律法规在制定网络安全标准方面发挥着关键作用,但它们往往是被动的,迟缓的,不可能是积极主动的。对于利润微薄的医疗卫生机构来说,仅仅依靠处罚和罚款是难以持续做好网络安全工作的。医疗卫生机构必须在法律要求基础上,主动地去应对网络安全的挑战。 4.1 建设更强壮的安全框架 做好医疗设备网络安全工作,一种有效的方法是严格采用行业的安全标准,例如,美国国家标准与技术研究院 (NIST——National Institute of Standards and Technology) 开发的网络安全框架。NIST的框架包括五大支柱: 1.识别:培养组织有效管理网络安全风险的识别能力。 2.保护:实施安全保障措施,确保能提供关键的医疗服务。 3.检测:开展检测活动以及时识别网络安全事件。 4.响应:制定应急响应预案,以便在检测或遇到网络安全事件时采取行动。 5.恢复:制定恢复工作预案,及时恢复因网络安全事件而受损的功能或服务。 2023年,NIST又引入了一个新的支柱——“治理”,它强调组织的内部治理体系建设,以指导组织有效地执行框架中规定的行动。⁷ 乍一看,对于已经建立的框架来说,这似乎是多余的。然而,治理具有一致性、协调性,让网络安全流程上各个环节主动发挥作用的动力,这样可以提升机构整体防护水平。对于面临巨大财务和运营压力的医疗卫生机构来说,基于网络安全治理体系建设的方法,是有效应对意外风险的唯一途径。 NIST安全框架的价值在于,它一方面要遵循国家法律法规要求,另一方面要专注于机构内部的安全需求的最佳实践。这样做的目的是,让医疗卫生机构形成一种安全文化,即医疗设备网络安全是除监管之外最优先的事项,需要所有相关者共同承担责任和协同工作,这是防范网络安全风险的关键所在。 4.2 从多方位视角去认识网络安全风险 为了采用更强有力的网络安全政策,医疗卫生机构需要全面了解其设备网络安全风险情况。医疗设备很复杂,与之相关的风险同样错综复杂。医疗卫生机构在评估数字化医疗设备网络安全风险时应考虑多方面的因素: 设备是否能够连接到网络,当前是否已连接? 意外的设备故障会危及患者生命吗? 设备故障将如何影响提供医疗服务的能力? 设备是否能显示任何异常网络行为? 设备可以存储ePHI数据吗? 设备是否存在已知的软件漏洞? 设备制造商是否提供软件升级补丁支持? 只有认识到这些复杂性,方能让医疗卫生机构中的相关人员自觉地采取行动去应对各种各样的风险。建立数字化医疗设备网络安全治理体系,是从更多视角去认识风险。在技术层面、业务层面和领导层面协同一致地做好安全防护工作,共同维护组织的声誉。 4.3 持续性改进和实现闭环管理 卫生系统即使是考虑了多方面的风险因素,但仍是不足道的,因为安全风险是不断变化的。为此,要定期开展标准化评估,及时识别风险,采取应对措施。建立严格的风险评估标准,意味着可以量化到具体设备上的风险,并确定其安全防范处置的优先级别。建立标准的安全管理工作制度和工作流程,定期开展评估,实现闭环管理,可及时发现存在的问题,为及时采取安全防范措施取得先机。医疗设备网络安全风险会随着时间的推移而变化,持续性评估和闭环管理,可以帮助医疗卫生机构动态跟踪安全风险变化情况。在出现重大风险时,能够快速识别并改善其应对能力。总而言之,定量、闭环的方法可以让医疗卫生机构的安全防护工作保持领先地位,主动破解数字化医疗设备面临的安全风险。 *TRIMEDX是美国一家行业领先的独立临床资产管理公司,提供全面的临床工程服务、临床资产信息和医疗设备网络安全服务,帮助医疗卫生机构将其临床资产转化为战略工具,推动减少运营费用,优化临床资产资本支出,最大限度地利用患者护理资源,并提供更好的安全和保护。TRIMEDX的解决方案来自医疗卫生机构,并为其提供服务,它拥有92%的活跃医疗设备模型的数据。 参考文献: 1.TRIMEDX内部数据。 2.美国食品和药物管理局。(2023年10月4日)网络安全。 3.桤木,S.(2023年9月20日)。2023年8月医疗服务数据泄露报告。HIPAA 期刊。 4.IBM 安全性。(2023年7月24日)。2023年数据泄露成本报告。 5.Bischoff,P.(2022 年10月5日)。2020年,针对美国医疗卫生机构的勒索病毒软件攻击造成208亿美元的损失。比较技术。 6.美联社新闻(2021年10月1日)。Suit将婴儿的死亡归咎于阿拉巴马州医院的网络攻击。美联社新闻。 7.美国国家标准与技术研究院。(2023年8月23日)。NIST起草了对其广泛使用的网络安全框架的重大更新。NIST的。 作者:Scott Trevino,TRIMEDX网络安全高级副总裁 来源:https://www.himss.org/resources/advancing-medical-device-cybersecurity-beyond-compliance-managing-risk-governance
