如何确保医疗器械网络安全性？（一）

随着《医疗器械网络安全注册审查指导原则（2022修订版）》（以下简称指导原则）的发布，越来越多的医疗器械需要进行网络安全测试。

那么，在医疗器械网络安全测试中，究竟要如何选择最适合的测试方式呢？

根据《指导原则》的内容，我们可以明确，网络安全验证与确认作为软件验证与确认的重要组成部分，需在软件验证与确认的框架下，结合产品网络安全特性开展相关质控工作，如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等。但是，渗透测试、代码审计、漏洞扫描这三种测试方式，究竟该如何分辨并选择呢？下面，就由小编为大家详细介绍。

首先，《指导原则》的注册申报适用范围是：适用于具备电子数据交换、远程访问与控制、用户访问三种功能当中一种及以上的功能医疗器械（包括独立软件和软件组件），其中，网络包括无线、有线网络；电子数据交换包括基于网络、存储媒介的单向、双向数据传输；远程访问与控制包括基于网络的实时、非实时的访问与控制；用户（如医务人员、患者、维护人员等）访问包括基于软件用户界面、电子接口的人机交互方式。由此可知，具备电子数据交换的器械都适用（大部分的医疗器械及软件都带有硬件或软件接口，只要有接口就形成了电子数据流交换的条件）。

为充分说明医疗器械在研发过程中网络安全的策略、测试方法，本文将分为两个部分展开：

1. 研发过程中的网络安全策略、验证方法、工具及网络安全研究资料
2. 网络安全测试方法详解

本期先讨论第一部分。

一、研发过程中的网络安全策略、验证方法、工具及网络安全研究资料

1. 漏洞都来自于哪里？

来自研发工程师的疑问：明明我们的软件都经过验证和测试，为什么还会有漏洞？

小编来给大家介绍一下漏洞的主要来源：

1）设计和开发阶段未能充分考虑安全问题，如未进行充分的安全需求分析和威胁建模；

2）开发人员在编写代码存在安全问题，如输入验证不足、未能正确使用加密算法等；

3）开发组件中存在漏洞，如操作系统、数据库文件、第三方组件等；

4）系统集成和配置中存在安全漏洞，如未启用的安全设置；

5）运维人员在系统维护中的疏漏，如未及时更新补丁、未配置安全策略等。

2. 漏洞都会造成什么样的影响？

来自测试人员的疑问：有漏洞怎么了？能用就行了呗~

小编为大家统计了近十年来的医疗器械设备曝光出的漏洞事件：

·2015年：美国FDA发出警告称，一些医疗设备制造商的药物输送泵被曝存在安全漏洞，可能导致患者接受过量药物的注射。同年美国医疗保健公司Anthem遭遇黑客攻击，导致超过8000万人的个人信息被窃取；

·2016年：美国FDA发出警告称，医疗设备制造商St.Jude Medical的一些心脏起搏器和除颤器存在安全漏洞，可能被黑客攻击，导致患者收到伤害；

·2017年：美国FDA发出警告称，某医疗设备制造商的一些心脏起搏器和除颤器存在安全漏洞，可能被黑客攻击，导致患者受到伤害；

·2018年：某公司胰岛素泵被发现高危安全漏洞，该漏洞可通过无线访问，黑客可以入侵系统并修改用户胰岛素用量，导致高血糖和糖尿病酮症酸中毒，导致患者休克甚至死亡。同年新加坡国立医院集团遭受黑客攻击，导致1500万名患者的个人信息被窃取。

·2019年：美国FDA发出警告称，一些医疗设备制造商的药泵被曝存在漏洞，远程攻击者通过利用这些漏洞，可能会获得未经授权的访问并影响泵的预期操作，破坏通信模块和泵的治疗模块；

·2020年：美国FDA发出警告，某医疗设备制造商的一种心脏起搏器存在安全漏洞，可能被黑客攻击，导致患者受到伤害；

·2022年6月，美国FDA发布消息将召回某公司旗下两款基因测序仪，部分漏洞攻击的复杂度极低，可以利用该漏洞对基因测序仪远程控制，影响患者临床测序结果，从而导致诊断过程中的结果被篡改；

·2022年8月，美国FDA发布消息将召回某公司旗下两款胰岛素泵，与通信协议相关的网络安全漏洞，该漏洞可能允许未经授权访问泵系统。这种未经授权的访问可用于通过输送意外的胰岛素推注或因为胰岛素输送减慢或停止而输送过多或过少的胰岛素，这可能导致低血糖或高血糖。

3. 器械的安全验证方法和安全工具

来自研发人员的疑问：

《指导原则》规定：网络安全验证与确认作为软件验证与确认的重要组成部分，需在软件验证与确认的框架下，结合产品网络安全特性开展相关质控工作，如源代码安全审核、威胁建模、漏洞扫描、渗透测试、模糊测试等。那么我们如何判定在研发的不同阶段使用哪种网络安全验证方法以及安全工具？

我们依据软件生存周期过程、网络安全特性及《指导原则》的内容，将每个研发阶段使用的网络安全策略、验证方法、安全工具及网络安全研究资料进行分析和对应，如下表所示：

打赏