医疗物联网和可穿戴设备的安全设计
目前对互联医疗设备的网络攻击日益增加,而且与医疗系统黑客攻击相比,这种攻击甚至更为严峻。正如《哈佛商业评论》(HBR) 指出:“虽然攻击医疗系统的黑客令人恐惧,但攻击医疗设备的黑客可能更糟糕。”另外,《连线》杂志写道:“医疗设备是下一个安全噩梦。”
为了确保医疗设备的安全性万无一失,必须满足食品药品管理局 (FDA) 的要求和其他安全标准。但是当设计医疗可穿戴设备和物联网 (IoT) 设备时,做起来要比说起来困难得多。
医疗可穿戴设备的安全性可能更具挑战性
固定位置的端点设备的安全性挑战难度很高。但是,可穿戴设备的安全性挑战难度更高。以下是主要原因:
设备可能不是正确的设备
佩戴者可以四处走动,可以身处任何地方
设备也可能被错误的人使用
然而,我们可以采取安全措施来确定设备发送数据是否经过授权。以 Apple Watch 为例。除跌倒检测功能外,Apple Watch 的 API 要求其执行以下操作:
让用户知道他们需要在 iPhone 上授予该权限
在 iPhone 上向用户显示健康授权对话框
在 iPhone 上完成授权后拨打电话
在 Apple Watch 上处理 iPhone 的授权结果
让用户知道他们需要在 iPhone 上授予该权限
在 iPhone 上向用户显示健康授权对话框
在 iPhone 上完成授权后拨打电话
在 Apple Watch 上处理 iPhone 的授权结果
除了要知道设备是否经授权发送数据之外,还需要确定设备是否被欺骗,是否有其他设备在发送数据,以及设备是否在发送正确的数据。另外还要加以检查,了解设备是否在准确地发送数据,以及获取数据的时间是否正确。
医疗器械安全法规
若要满足 FDA 和其他安全要求,第一步是要知道这些要求。为避免出现尴尬和代价高昂的安全漏洞,需要满足以下数字健康要求:
FDA 建议 – 在 2018 年指南草案中,FDA 将网络安全风险分为 1 级(较高网络安全风险)和 2 级(标准网络安全风险)。1 级有两个条件:(i) 设备连接到其他产品或网络(有线或无线),(ii) 网络安全事件可能直接对多名患者造成伤害。指南建议采取以下安全措施:身份验证、加密、标识、授权和纠正。尽管指南不是强制性的,但需要予以重视。截至 2020 年中,该指南仍为草案,但随时可能被正式采纳。建议将该指南用于新设备。它类似于早先出现且仍然有效的 2014 年指南,但内容更详细。
NIST 网络安全框架 – FDA 建议基于 NIST 网络安全框架。1 级建议如下:
1 级设计还建议实施弹性措施,例如加密验证和身份验证、安全配置、网络安全 BOM (CBOM)。
2 级的建议相同,但如果基于风险的理由表明某些项目不合适,则可以将其忽略。
只有受信任的用户和设备能获得访问权,而且要对安全关键型命令进行身份验证和授权检查,从而防止未经授权的使用。
维护代码、数据和执行的完整性,确保内容可信。
维护数据机密性。
设计设备时就能让其及时检测网络安全威胁。
设计设备时使之能响应潜在网络安全事件并控制其影响。
设计设备时使之能恢复因网络安全事件而受损的功能或服务。
HIPAA(患者数据隐私)–《健康保险流通与责任法案》(HIPAA) 独立于安全性。但是,要满足 HIPAA,安全措施必须到位。其要求如下:
确保安全设计以用户为中心
实现从设备到数据库的端到端安全性以及数据库的物理访问控制
如果传输的数据没有患者 ID,则不涉及隐私问题。在数据库中将代码与患者姓名匹配。
CE 安全要求 – CE 要求不像 FDA 指南那样具体,但有相似性:设备必须安全有效。有个重点是关于数据保护(请参阅 GDPR),比美国患者数据要求更为严格。
适用的文件包括《医疗设备法规》(MDR) 附件 I、关于软件的 EN62304 和关于危害分析的 EN14971。要求的规范如下:
规范 1:安全管理
规范 2:安全要求规范
规范 3:安全设计
规范 4:安全实现
规范 5:安全验证和确认测试
规范 6:安全相关问题的管理
规范 7:安全更新管理
规范 8:安全准则 - 文档
FDA 建议 – 在 2018 年指南草案中,FDA 将网络安全风险分为 1 级(较高网络安全风险)和 2 级(标准网络安全风险)。1 级有两个条件:(i) 设备连接到其他产品或网络(有线或无线),(ii) 网络安全事件可能直接对多名患者造成伤害。指南建议采取以下安全措施:身份验证、加密、标识、授权和纠正。尽管指南不是强制性的,但需要予以重视。截至 2020 年中,该指南仍为草案,但随时可能被正式采纳。建议将该指南用于新设备。它类似于早先出现且仍然有效的 2014 年指南,但内容更详细。
NIST 网络安全框架 – FDA 建议基于 NIST 网络安全框架。1 级建议如下:
1 级设计还建议实施弹性措施,例如加密验证和身份验证、安全配置、网络安全 BOM (CBOM)。
2 级的建议相同,但如果基于风险的理由表明某些项目不合适,则可以将其忽略。
只有受信任的用户和设备能获得访问权,而且要对安全关键型命令进行身份验证和授权检查,从而防止未经授权的使用。
维护代码、数据和执行的完整性,确保内容可信。
维护数据机密性。
设计设备时就能让其及时检测网络安全威胁。
设计设备时使之能响应潜在网络安全事件并控制其影响。
设计设备时使之能恢复因网络安全事件而受损的功能或服务。
只有受信任的用户和设备能获得访问权,而且要对安全关键型命令进行身份验证和授权检查,从而防止未经授权的使用。
维护代码、数据和执行的完整性,确保内容可信。
维护数据机密性。
设计设备时就能让其及时检测网络安全威胁。
设计设备时使之能响应潜在网络安全事件并控制其影响。
设计设备时使之能恢复因网络安全事件而受损的功能或服务。
HIPAA(患者数据隐私)–《健康保险流通与责任法案》(HIPAA) 独立于安全性。但是,要满足 HIPAA,安全措施必须到位。其要求如下:
确保安全设计以用户为中心
实现从设备到数据库的端到端安全性以及数据库的物理访问控制
如果传输的数据没有患者 ID,则不涉及隐私问题。在数据库中将代码与患者姓名匹配。
确保安全设计以用户为中心
实现从设备到数据库的端到端安全性以及数据库的物理访问控制
如果传输的数据没有患者 ID,则不涉及隐私问题。在数据库中将代码与患者姓名匹配。
CE 安全要求 – CE 要求不像 FDA 指南那样具体,但有相似性:设备必须安全有效。有个重点是关于数据保护(请参阅 GDPR),比美国患者数据要求更为严格。
适用的文件包括《医疗设备法规》(MDR) 附件 I、关于软件的 EN62304 和关于危害分析的 EN14971。要求的规范如下:
规范 1:安全管理
规范 2:安全要求规范
规范 3:安全设计
规范 4:安全实现
规范 5:安全验证和确认测试
规范 6:安全相关问题的管理
规范 7:安全更新管理
规范 8:安全准则 - 文档
规范 1:安全管理
规范 2:安全要求规范
规范 3:安全设计
规范 4:安全实现
规范 5:安全验证和确认测试
规范 6:安全相关问题的管理
规范 7:安全更新管理
规范 8:安全准则 - 文档
针对涉及 IT 网络特征的工作环境以及无法通过产品设计实现的 IT 安全措施,制造商有责任确定相应的最低要求。这意味着,制造商即使不提供网络,也有责任提供相关信息,指导用户在安全网络中操作设备。
采用安全设计方法
医疗设备安全标准对于医疗物联网和可穿戴设备设计至关重要,但要满足这些要求并非易事。若要满足安全要求,唯一办法就是采用安全设计方法。该方法有诸多优点,其中包括以下几项:
有效并尽早消除安全漏洞
内置而不是外加的安全性
降低责任风险
更具弹性的系统
降低成本
有效并尽早消除安全漏洞
内置而不是外加的安全性
降低责任风险
更具弹性的系统
降低成本
如何实现安全设计
首先要了解法规要求。在开始产品设计之前确定产品要求。在产品设计中纳入安全性并进行测试,确保满足所有要求。
了解并确定法规要求只是成功的一半
在设计医疗设备时,还应考虑以下要素:
技术选择。设备是否建立在经过验证的技术之上?
技术弱点。技术平台是否有已知漏洞?
系统设计。系统中的风险在哪里?静态数据的漏洞与动态数据的漏洞不同。
风险评估。总体风险应细分为具体项目,每个项目都应包含风险和所需的应对办法。
密码技术。需要何种等级的密码?等级太高的话,将需要更多的功耗和时间。
加密。加密不仅仅是用加密算法保护数据。安全密钥的管理更为重要。
威胁检测。如何在造成损害之前发现威胁?
渗透测试。雇用文明黑客尝试攻击系统。
开发人员。他们是否参与威胁建模?他们是否了解设计组织的安全设计规范?
可维护性。是否存在对可维护性及其衡量工具的要求?
隐私设计。设计方法中是否包含隐私考虑因素(HIPAA 和 GDPR)?
进一步改善。如何实现持续改进和设备开发?在产品生命周期中,安全性会变得越来越有挑战性。
技术选择。设备是否建立在经过验证的技术之上?
技术弱点。技术平台是否有已知漏洞?
系统设计。系统中的风险在哪里?静态数据的漏洞与动态数据的漏洞不同。
风险评估。总体风险应细分为具体项目,每个项目都应包含风险和所需的应对办法。
密码技术。需要何种等级的密码?等级太高的话,将需要更多的功耗和时间。
加密。加密不仅仅是用加密算法保护数据。安全密钥的管理更为重要。
威胁检测。如何在造成损害之前发现威胁?
渗透测试。雇用文明黑客尝试攻击系统。
开发人员。他们是否参与威胁建模?他们是否了解设计组织的安全设计规范?
可维护性。是否存在对可维护性及其衡量工具的要求?
隐私设计。设计方法中是否包含隐私考虑因素(HIPAA 和 GDPR)?
进一步改善。如何实现持续改进和设备开发?在产品生命周期中,安全性会变得越来越有挑战性。
为了成功实施所有这些措施,须雇用内部物联网工程师或可靠的第三方顾问。例如,Voler 曾被委托开发 XEEDA 钱包——世界上第一个用于智能手机的加密货币硬件钱包。Voler 在产品开发的每一步都实施了安全设计,并使用多因素身份验证、内置生物特征安全特性和其他关键安全措施,使设备达到非常高的安全性(EAL 5 级)。Voler 按时并在预算内完成了这项具挑战性的设计。
总结
随着医疗保健领域中网络安全和隐私问题的日益增加,安全性应成为设计的重中之重。设计必须满足 FDA、CE 和其他安全要求,确保设备万无一失,避免安全漏洞造成代价高昂且令人尴尬的后果。
作者:Walter N. Maclay
来源:Voler Systems
声明:本文由作者,文章内容系作者个人观点,转载仅作为传达一种不同的观点,不代表对该观点的赞同或支持,如有异议,欢迎联系。
- 标签:开心超人
- 编辑:郭晓刚
- 相关文章
-
厦门第二轮集中供地前发生了什么?新房成交面积同比上涨165.7%
黄婉银 魏文艺 孙志成 今年22城首批集中供地尚未结束,厦门就已率先开启了今年第二次集中供地的…
-
有了数字人民币,支付宝还能用吗 ?相关人士回应;15连板大妖股遭停牌核查!沾酒就火,交易所紧急出手!
赵庆 1丨机构:猪价将持续探底,消费旺季将出现季节性反弹 对于猪价后期走势,浙商证券首席经济学家…
- 公告的没有,悄悄地套现29亿巨款!4300亿医药巨头股东违背承诺,14万股民很生气
- 75岁“燕郊首富”被立案调查!身家40亿,却因21万蝇头小利栽了跟头
- BOSS直聘上市暴涨95%,北大毕业创始人身家200亿!总市值已超前程无忧+猎聘,“风投女王”又押对了?
- 中国科学院:上海光机所计算光刻技术研究取得进展
- 现实版“驴得水”?15年没来上班,仍被“发工资”超46万元…单位领导竟称无奈:“上班或办理辞职,他都不配合”