FeaturedNewsPharmaPQE

为什么医疗器械的网络安全如此重要?

破坏性技术的隐藏风险

网络安全对医疗器械重要吗?答案是肯定的。先让我们了解一下,当今网络安全已成为所有医疗器械生产商主要关注点的原因。

最新的技术手段已经从根本上改变了我们的生活,甚至有时候被认为具有“破坏性”:它改变了我们的沟通方式,我们获取信息的方式,我们购买和使用产品与服务的方式,我们定义生活的方式。在这种情况下,医学领域不仅没有例外,它还被认为是资本投入最多的行业之一,随着ICT的创新,能提高治疗效果的新技术和新手段陆续出现。

这种创新并非只有积极的一面。随着创新手段的发展,许多新的潜在漏洞使得医疗器械的功能及患者的健康收到威胁。

联网医疗器械:利用ICT和云技术来治疗复杂疾病

在整个医疗领域中,医疗器械的创新研发扮演着重要的角色,因为其可用于治疗人类疾病,例如糖尿病、心脏病、神经系统疾病,探索为人类健康服务的新道路。

根据EU 2017/745-746[1]中所定义的,“医疗器械”指任何“仪器、设备、器具、软件、材料或其他物品,无论是单独使用还是组合使用,包括制造商打算专门用于诊断和/或治疗目的以及正确应用所必需的软件、和制造商打算因以下目的而用于人类使用的软件”:

  • 诊断、预防、监测、治疗或缓解疾病
  • 诊断、监视、治疗、减轻或补偿伤害或残障
  • 解剖或生理过程的研究,替换或修改
  • 怀孕控制

和那些并非通过药理、免疫或代谢手段在人体中或对人体实现其主要预期作用的药物不同,医疗器械是通过功能性手段起到辅助作用。

当今最重要的创新之一是“联网医疗器械”,它利用互联网的互联性和基础设施,以最先进的软件、硬件技术和物联网计算能力,通过分析和了解患者的需求并实时进行监测,来改善它们的医疗能力。

让我们考虑一下与医疗器械相关的所有三种类型的软件:不仅有用于管理医疗器械生产的软件,还包括集成到医疗器械中的软件(“医疗器械中的软件”),以及本身就作为一种医疗器械(“作为医疗器械的软件SaMD”:据国际医疗器械监管者论坛IMDRF[2]的定义),用于医疗使用但还未被整合到其他医疗器械中。

严重危害生命和健康的漏洞

与我们通常使用的所有其他联网设备一样,它们总是有遭受网络攻击和未授权访问漏洞的风险。Medjack(I,II,III)危机证明了联网的医院用医疗器械(如心脏监护仪、CT、和MRI机器以及PAC系统)可能受到攻击,并且其功能遭到劫持或破坏[3],稍不留意,它们就利用漏洞将“感染”传播到整个本地医疗系统。

因此,所有医疗器械生产商都应意识到其设备中的漏洞可能会被利用,并且其后果可能是无法想象的,足以危及患者的生命。例如胰岛素泵——一种可以保持2型糖尿病患者正常胰岛素水平的医疗器械,可以无线连接到服务器,该服务器可以与智能手机app进行联通,他/她或医生可以通过该服务器跟踪他/她体内的胰岛素水平变化。

该无线连接可以被某些软件利用,劫持胰岛素泵的软件和硬件控制。很明显,这种攻击不仅可能直接影响患者的健康状况,而且还可能危机他/她的生命,比如胰岛素泵可能突然停止或改变运行。早在2012年,McAfee的专业黑客就宣布[4]有可能劫持几台Medtronic Heart心脏检测仪。

另一种易受攻击的类别是可植入式医疗器械(IMD)[5],例如神经刺激器,用于通过深层脑部刺激来治疗帕金森等疾病:由于它们具有更复杂、更强大的计算能力,并且与患者的大脑有深层的作用,其软件中的漏洞可能会严重损害患者的健康。

当局提高对医疗器械网络安全的监管意识和要求

因此,我们必须将网络安全视为所有联网医疗器械的强制要求:此类入侵漏洞可能意味着严重的负面影响,例如诊断和/或治疗错误,对临床操作产生负面影响,甚至违反C.I.A.协议,甚至威胁患者的数据、健康、和生命。

最重要的监管机构,例如FDA,和欧盟委员会(MDR 2017/745和IVDR 2017/746)已经更新了对“安全医疗器械”的定义和要求,不仅涉及对医疗器械本身的要求,还有其组件及与其他设备和工具的交互,以确保其在各个层面上的短期、中期、长期的安全性。

根据所有这些前提,PQE Group制定了具体的方法来验证和确保我们的客户具有最高水平的网络安全、分析和解决漏洞的能力,防止将来出现违规行为:如果您想进一步了解医疗器械网络安全,获得更多监管机构如何针对这一主题制定法规的知识,以及PQE Group如何为医疗器械公司提供支持,以最大程度降低可能导致高额意外成本的风险,欢迎免费下载我们的电子书指南。

references.

[1]Regulation (EU) 2017/745-746

[2]IMDRF Definitions (Software as Medical Device)

[3]Article about MedJack 3 Malware attacks by Data Privacy Security Insider

[4]Article about Medtronic MD vulnerabilities by Bloomberg.com

[5]“Security and privacy issues in implantable medical devices: A comprehensive survey.”(Camara, Peris-Lopez , Tapiador.) – Abstract.