FDA科學暨策略合作夥伴副主任Suzanne Schwartz表示,所有的醫療裝置都內建了軟體,同時連結到醫院與醫療照護組織,此次的準則草案是希望製造商能夠在產品上市後仍持續監控及解決網路安全問題,以防病患遭受網路威脅。
該草案建議製造商提出主動方案來評估網路安全漏洞,並進行資訊分享,同時建立系統化及結構化的網路安全風險管理方案。
資安業者TrapX在去年曾出版,指出醫療裝置為醫院網路鏈中最脆弱的一環,且個人健康保險憑證的資訊在黑市價格可能是信用卡的20倍,導致醫療裝置已成為駭客攻擊的主要目標。
醫療裝置通常執行封閉、老舊且缺乏更新的作業系統,而FDA亦規定醫院不得擅自開啟系統或在裝置上安裝第三方軟體,若駭客繞過防火牆及防毒軟體以在裝置上嵌入惡意程式,通常只能仰賴製造商來解決。TrapX斷言大部份的醫院皆已受到惡意程式的感染,而且已經年累月卻未曾被發現,建議醫院要求製造商提供裝置的偵測、治理與更新服務。
小編評:值得注意。