譯者序

　　近年來醫(yī)療設(shè)備數(shù)字化發(fā)展迅速，無論是用于癥狀監(jiān)測的信息采集、診斷檢查的數(shù)據(jù)處理，以及用于手術(shù)操作的自動控制等臨床輔助功能，都得益于數(shù)字化賦能，使其做得更好。然而，數(shù)字化在帶來好處的同時，也帶來了網(wǎng)絡(luò)安全風險。盡管當前世界各國已經(jīng)意識到這個問題，并在不斷地完善相關(guān)法律、規(guī)章和管理體系，但是仍未能覆蓋醫(yī)療設(shè)備網(wǎng)絡(luò)安全管控的各個方面。為此，對于設(shè)備的管理者和使用者而言，必須主動作為，以應(yīng)對醫(yī)療設(shè)備網(wǎng)絡(luò)安全的新挑戰(zhàn)。作者強調(diào)，醫(yī)療衛(wèi)生機構(gòu)應(yīng)注重以“治理”為手段，多方協(xié)同，主動作為，共同應(yīng)對醫(yī)療設(shè)備網(wǎng)絡(luò)安全新風險。為此，譯者翻譯了這篇文章，Advancing Medical Device Cybersecurity Beyond Compliance: Managing Risk with Governance 。文章的作者是TRIMEDX網(wǎng)絡(luò)安全高級副總裁。TRIMEDX是一家美國的臨床資產(chǎn)管理公司，公司為醫(yī)療衛(wèi)生機構(gòu)提供臨床工程服務(wù)、臨床資產(chǎn)信息技術(shù)和醫(yī)療設(shè)備網(wǎng)絡(luò)安全服務(wù)。

　　當今，數(shù)字技術(shù)已經(jīng)融入醫(yī)療系統(tǒng)各領(lǐng)域全過程，網(wǎng)絡(luò)已成為醫(yī)院運營的必要支撐，數(shù)字技術(shù)也快速融入醫(yī)療設(shè)備。新興信息技術(shù)對于改善治療效果、提升工作效率發(fā)揮出越來越大的作用，但與此同時，也帶來了網(wǎng)絡(luò)安全問題。數(shù)字化醫(yī)療設(shè)備，以及這些設(shè)備所實現(xiàn)的功能，都面臨網(wǎng)絡(luò)安全的威脅。為此，政府和醫(yī)療行業(yè)不斷完善相關(guān)法律法規(guī)和防護標準，健全安全監(jiān)管框架，降低網(wǎng)絡(luò)安全風險的威脅。然而由于數(shù)字化過程發(fā)展速度快、勢頭猛，試圖全面化解醫(yī)療設(shè)備網(wǎng)絡(luò)安全風險，仍是一項艱巨的任務(wù)。

　　對于醫(yī)療衛(wèi)生機構(gòu)而言，應(yīng)遵循各種法規(guī)和標準要求，做好安全防護工作。但是人們發(fā)現(xiàn)，僅僅做到這個層次的防護水平，還是不夠的。醫(yī)療設(shè)備自身技術(shù)手段具有特異性和多樣性，各種設(shè)備功能和安全防護能力也存在差異。為此，醫(yī)療衛(wèi)生機構(gòu)須在遵循通用的安全標準基礎(chǔ)之上，進一步根據(jù)其特定的風險場景，有針對性地選擇和采取安全防護手段和措施。

　　1 越來越多的“在線設(shè)備”聯(lián)網(wǎng)使用

　　醫(yī)療衛(wèi)生機構(gòu)的醫(yī)療設(shè)備數(shù)字化進程，正在發(fā)生重大轉(zhuǎn)變：74%的醫(yī)療衛(wèi)生機構(gòu)報告，他們一半以上的醫(yī)療設(shè)備必須在線聯(lián)網(wǎng)使用。¹

　　基于網(wǎng)絡(luò)的醫(yī)療設(shè)備應(yīng)用將會進一步的發(fā)展。設(shè)備網(wǎng)絡(luò)化，在提高診療水平方面取得了明顯的成效。但是如果不采取安全穩(wěn)健的安全防護措施，將會面臨各種意想不到的風險和挑戰(zhàn)。隨著醫(yī)療衛(wèi)生機構(gòu)內(nèi)部聯(lián)網(wǎng)設(shè)備數(shù)量越來越多，醫(yī)療衛(wèi)生機構(gòu)也必須認識到醫(yī)療設(shè)備網(wǎng)絡(luò)安全工作越來越重要，要求在接受新的立法、法規(guī)和指南來制定和實施強大而有效的網(wǎng)絡(luò)安全計劃時，還要更全面地去管控風險，而不僅僅做到“合規(guī)”。

　　2 國家加強了對醫(yī)療設(shè)備網(wǎng)絡(luò)安全的監(jiān)管

　　醫(yī)療數(shù)據(jù)安全保護工作相比醫(yī)療設(shè)備網(wǎng)絡(luò)化應(yīng)用開展得要早，但是，面對快速普及的數(shù)字化應(yīng)用和由此產(chǎn)生的安全風險而言，法規(guī)和制度建設(shè)是相對滯后的。

　　2.1 健康保險流通與責任法案 (HIPAA) - 1996年

　　1996年簽署HIPAA法案以來(Health Insurance Portability and Accountability Act)，它一直是作為醫(yī)療數(shù)據(jù)保護的基石。HIPAA的重要性在于它扮演了患者信息守護者的角色。隨著時間的推移，政府不斷地進行更新升級，以應(yīng)對不斷增長的技術(shù)和醫(yī)療數(shù)據(jù)安全風險。HIPAA安全規(guī)則中，除了數(shù)據(jù)安全之外，涵蓋的安全對象還包括ePHI的保護(electronic Protected Health Information電子化的受保護的健康信息，HIPAA法案中對屬于ePHI的18個數(shù)據(jù)項給出了具體定義，包括：姓名、地址、電話、生物識別特征等“個人信息”)。本安全法案表明，政府對醫(yī)療網(wǎng)絡(luò)安全日益關(guān)注，要求醫(yī)療衛(wèi)生機構(gòu)采取措施，確保ePHI的機密性、完整性和可用性，包括采用防火墻、加密和數(shù)據(jù)備份等措施。

　　雖然HIPAA是一個強制性標準，提出了嚴格的安全工作規(guī)范。但HIPAA主要側(cè)重于數(shù)據(jù)保護，并沒有考慮設(shè)備安全問題。一般而言，醫(yī)療設(shè)備是ePHI數(shù)據(jù)的收集和傳輸節(jié)點。我們應(yīng)進一步關(guān)注這方面的問題，醫(yī)療設(shè)備通常會存儲和傳輸大量的ePHI數(shù)據(jù)。這些數(shù)據(jù)在診斷、監(jiān)測和治療方面發(fā)揮著至關(guān)重要的作用。但是，每個存儲和處理ePHI數(shù)據(jù)的聯(lián)網(wǎng)設(shè)備，都可能存在不能滿足HIPAA要求的情況。醫(yī)療設(shè)備安全風險是復雜的，超出了現(xiàn)有HIPAA法規(guī)所覆蓋的范圍，為此應(yīng)該對法案進一步升級，使其要求更加全面。

　　2.2 經(jīng)濟刺激和臨床健康信息技術(shù) (HITECH) 法案 - 2009年

　　2009 年國會通過了《經(jīng)濟刺激和醫(yī)療領(lǐng)域衛(wèi)生信息技術(shù)法案》 (HITECH --Health Information Technology for Economic and Clinical Health Act)。HITECH法案是2009年《美國經(jīng)濟復蘇和再投資法案(American Recovery and Reinvestment Act )》的一部分。HITECH法案鼓勵醫(yī)療衛(wèi)生機構(gòu)使用電子健康記錄，也加強了對醫(yī)療服務(wù)數(shù)據(jù)的隱私和安全保護，并增加了應(yīng)用和執(zhí)法監(jiān)督要求。HITECH擴展了HIPAA范疇，要求設(shè)備廠商必須報告安全風險防御不符合法規(guī)要求的情況。與HIPAA一樣，HITECH法案授權(quán)政府對某些違規(guī)行為進行處罰和罰款，但是并沒有對醫(yī)療設(shè)備的網(wǎng)絡(luò)安全提出有針對性的要求。

　　2.3 綜合撥款法案，第3305條：“確保醫(yī)療設(shè)備的網(wǎng)絡(luò)安全” - 2023年

　　2022年，國會通過了對《聯(lián)邦食品、藥品和化妝品法案 (Federal Food, Drug, and Cosmetic (FD&C) Act)》的修改，以加強FDA醫(yī)療設(shè)備審批過程中對網(wǎng)絡(luò)安全的要求。2

　　從2023年開始，醫(yī)療設(shè)備制造商必須向FDA提交應(yīng)對其新產(chǎn)品中處置網(wǎng)絡(luò)安全漏洞的計劃。設(shè)備制造商還必須制定相關(guān)工作流程，提供關(guān)于對嵌入式軟件的升級和安全加固服務(wù)。法案要求設(shè)備廠商對其產(chǎn)品的網(wǎng)絡(luò)安全保障措施情況，在其申報材料中進行說明。但是，對于那些在新規(guī)則實施之前已經(jīng)上市的設(shè)備，尚未做出如何處置的要求。

　　2.4 HHS 405(d) 項目 - 2015年

　　HHS 405(d)是衛(wèi)生與公眾服務(wù)部 (HHS)與聯(lián)邦政府之間的一個合作項目。該項目是為了落實2015年美國《網(wǎng)絡(luò)安全法》的要求，通過部門之間的合作，為醫(yī)療服務(wù)和公共衛(wèi)生機構(gòu)的網(wǎng)絡(luò)安全工作提供更有價值的技術(shù)指導和參考信息。然而，這個項目缺乏執(zhí)行和處罰機制，因而難以推動醫(yī)療衛(wèi)生機構(gòu)層面各項工作的落實。

　　3 醫(yī)療衛(wèi)生機構(gòu)中的設(shè)備安全風險日益嚴峻

　　3.1 2021年，勒索病毒軟件攻擊給美國的醫(yī)療衛(wèi)生機構(gòu)造成了78億美元的損失。?

　　醫(yī)療服務(wù)領(lǐng)域的網(wǎng)絡(luò)安全環(huán)境在不斷變化，所帶來的新挑戰(zhàn)超出了立法和監(jiān)管規(guī)章的升級速度。為此，應(yīng)該看到醫(yī)療服務(wù)數(shù)據(jù)泄露主要原因為信息技術(shù)能力不足所致。黑客攻擊和信息技術(shù)問題占報告事件的很大一部分。2023年8月，向民權(quán)辦公室(OCR)報告的事件中，有83.8%被確定為黑客或信息技術(shù)事件。3

　　近年來，勒索病毒軟件給醫(yī)療衛(wèi)生機構(gòu)造成了重大損失。勒索病毒軟件攻擊與其他類型的數(shù)據(jù)泄露事件不同，因為它們通常不會尋求獲取ePHI數(shù)據(jù)或其他敏感信息。相反，攻擊者會將個人或組織的數(shù)據(jù)記錄鎖定。在醫(yī)療服務(wù)領(lǐng)域，意味著無法訪問患者記錄或醫(yī)療設(shè)備被禁用。個人勒索病毒軟件攻擊已使醫(yī)療衛(wèi)生機構(gòu)損失了數(shù)十億美元的罰款和訴訟，并影響了數(shù)月時間的臨床業(yè)務(wù)運營。?

　　3.2 技術(shù)支持方面存在差距

　　醫(yī)療衛(wèi)生機構(gòu)目前使用的大多數(shù)醫(yī)療設(shè)備，并沒有遵循2023年實施的FDA(美國食品與藥品監(jiān)督管理局)安全規(guī)范標準要求，這意味著設(shè)備廠商對漏洞的補丁支持較少。來自TRIMEDX公司提供醫(yī)工服務(wù)和管理的210萬臺醫(yī)療設(shè)備的相關(guān)數(shù)據(jù)顯示，醫(yī)療健康系統(tǒng)現(xiàn)有的設(shè)備中，68%的設(shè)備存在漏洞，但設(shè)備制造商沒有進行查驗和補丁更新。1

　　3.3 網(wǎng)絡(luò)安全監(jiān)管框架之外的風險挑戰(zhàn)

　　HIPAA和HITECH等立法主要側(cè)重于保護患者數(shù)據(jù)。然而，在臨床環(huán)境中，醫(yī)療設(shè)備與患者連接時，網(wǎng)絡(luò)安全風險有可能誘發(fā)醫(yī)療安全問題，甚至可能對患者生命安全造成威脅。當發(fā)生不良事故的結(jié)果或死亡原因與網(wǎng)絡(luò)攻擊有關(guān)時，相關(guān)處置規(guī)則尚不完全能從現(xiàn)行立法規(guī)則中找到處置依據(jù)。像阿拉巴馬州這樣的訴訟，勒索病毒對醫(yī)療設(shè)備的攻擊導致了剛出生的嬰兒死亡，這意味著未來的網(wǎng)絡(luò)安全風險可能會給醫(yī)療衛(wèi)生機構(gòu)帶來更大的損失。⁶

　　網(wǎng)絡(luò)攻擊還威脅到醫(yī)療衛(wèi)生機構(gòu)難以衡量但又非常寶貴的資源：醫(yī)院的聲譽。人們對網(wǎng)絡(luò)安全事件的記憶可能會持續(xù)很長時間，尤其是在廣為人知的情況下，無論是對醫(yī)療業(yè)務(wù)開展，還是對行使拯救患者的使命，對醫(yī)療衛(wèi)生機構(gòu)所造成的社區(qū)信任損害，都是無法承受的。

　　4 如何建設(shè)更強大的治理體系

　　雖然法律法規(guī)在制定網(wǎng)絡(luò)安全標準方面發(fā)揮著關(guān)鍵作用，但它們往往是被動的，遲緩的，不可能是積極主動的。對于利潤微薄的醫(yī)療衛(wèi)生機構(gòu)來說，僅僅依靠處罰和罰款是難以持續(xù)做好網(wǎng)絡(luò)安全工作的。醫(yī)療衛(wèi)生機構(gòu)必須在法律要求基礎(chǔ)上，主動地去應(yīng)對網(wǎng)絡(luò)安全的挑戰(zhàn)。

　　4.1 建設(shè)更強壯的安全框架

　　做好醫(yī)療設(shè)備網(wǎng)絡(luò)安全工作，一種有效的方法是嚴格采用行業(yè)的安全標準，例如，美國國家標準與技術(shù)研究院 (NIST——National Institute of Standards and Technology) 開發(fā)的網(wǎng)絡(luò)安全框架。NIST的框架包括五大支柱：

　　1.識別：培養(yǎng)組織有效管理網(wǎng)絡(luò)安全風險的識別能力。

　　2.保護：實施安全保障措施，確保能提供關(guān)鍵的醫(yī)療服務(wù)。

　　3.檢測：開展檢測活動以及時識別網(wǎng)絡(luò)安全事件。

　　4.響應(yīng)：制定應(yīng)急響應(yīng)預案，以便在檢測或遇到網(wǎng)絡(luò)安全事件時采取行動。

　　5.恢復：制定恢復工作預案，及時恢復因網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

　　2023年，NIST又引入了一個新的支柱——“治理”，它強調(diào)組織的內(nèi)部治理體系建設(shè)，以指導組織有效地執(zhí)行框架中規(guī)定的行動。?

　　乍一看，對于已經(jīng)建立的框架來說，這似乎是多余的。然而，治理具有一致性、協(xié)調(diào)性，讓網(wǎng)絡(luò)安全流程上各個環(huán)節(jié)主動發(fā)揮作用的動力，這樣可以提升機構(gòu)整體防護水平。對于面臨巨大財務(wù)和運營壓力的醫(yī)療衛(wèi)生機構(gòu)來說，基于網(wǎng)絡(luò)安全治理體系建設(shè)的方法，是有效應(yīng)對意外風險的唯一途徑。

　　NIST安全框架的價值在于，它一方面要遵循國家法律法規(guī)要求，另一方面要專注于機構(gòu)內(nèi)部的安全需求的最佳實踐。這樣做的目的是，讓醫(yī)療衛(wèi)生機構(gòu)形成一種安全文化，即醫(yī)療設(shè)備網(wǎng)絡(luò)安全是除監(jiān)管之外最優(yōu)先的事項，需要所有相關(guān)者共同承擔責任和協(xié)同工作，這是防范網(wǎng)絡(luò)安全風險的關(guān)鍵所在。

　　4.2 從多方位視角去認識網(wǎng)絡(luò)安全風險

　　為了采用更強有力的網(wǎng)絡(luò)安全政策，醫(yī)療衛(wèi)生機構(gòu)需要全面了解其設(shè)備網(wǎng)絡(luò)安全風險情況。醫(yī)療設(shè)備很復雜，與之相關(guān)的風險同樣錯綜復雜。醫(yī)療衛(wèi)生機構(gòu)在評估數(shù)字化醫(yī)療設(shè)備網(wǎng)絡(luò)安全風險時應(yīng)考慮多方面的因素：

　　● 設(shè)備是否能夠連接到網(wǎng)絡(luò)，當前是否已連接?

　　● 意外的設(shè)備故障會危及患者生命嗎?

　　● 設(shè)備故障將如何影響提供醫(yī)療服務(wù)的能力?

　　● 設(shè)備是否能顯示任何異常網(wǎng)絡(luò)行為?

　　● 設(shè)備可以存儲ePHI數(shù)據(jù)嗎?

　　● 設(shè)備是否存在已知的軟件漏洞?

　　● 設(shè)備制造商是否提供軟件升級補丁支持?

　　只有認識到這些復雜性，方能讓醫(yī)療衛(wèi)生機構(gòu)中的相關(guān)人員自覺地采取行動去應(yīng)對各種各樣的風險。建立數(shù)字化醫(yī)療設(shè)備網(wǎng)絡(luò)安全治理體系，是從更多視角去認識風險。在技術(shù)層面、業(yè)務(wù)層面和領(lǐng)導層面協(xié)同一致地做好安全防護工作，共同維護組織的聲譽。

　　4.3 持續(xù)性改進和實現(xiàn)閉環(huán)管理

　　衛(wèi)生系統(tǒng)即使是考慮了多方面的風險因素，但仍是不足道的，因為安全風險是不斷變化的。為此，要定期開展標準化評估，及時識別風險，采取應(yīng)對措施。建立嚴格的風險評估標準，意味著可以量化到具體設(shè)備上的風險，并確定其安全防范處置的優(yōu)先級別。建立標準的安全管理工作制度和工作流程，定期開展評估，實現(xiàn)閉環(huán)管理，可及時發(fā)現(xiàn)存在的問題，為及時采取安全防范措施取得先機。醫(yī)療設(shè)備網(wǎng)絡(luò)安全風險會隨著時間的推移而變化，持續(xù)性評估和閉環(huán)管理，可以幫助醫(yī)療衛(wèi)生機構(gòu)動態(tài)跟蹤安全風險變化情況。在出現(xiàn)重大風險時，能夠快速識別并改善其應(yīng)對能力。總而言之，定量、閉環(huán)的方法可以讓醫(yī)療衛(wèi)生機構(gòu)的安全防護工作保持領(lǐng)先地位，主動破解數(shù)字化醫(yī)療設(shè)備面臨的安全風險。

　　*TRIMEDX是美國一家行業(yè)領(lǐng)先的獨立臨床資產(chǎn)管理公司，提供全面的臨床工程服務(wù)、臨床資產(chǎn)信息和醫(yī)療設(shè)備網(wǎng)絡(luò)安全服務(wù)，幫助醫(yī)療衛(wèi)生機構(gòu)將其臨床資產(chǎn)轉(zhuǎn)化為戰(zhàn)略工具，推動減少運營費用，優(yōu)化臨床資產(chǎn)資本支出，最大限度地利用患者護理資源，并提供更好的安全和保護。TRIMEDX的解決方案來自醫(yī)療衛(wèi)生機構(gòu)，并為其提供服務(wù)，它擁有92%的活躍醫(yī)療設(shè)備模型的數(shù)據(jù)。

　　參考文獻：

　　1.TRIMEDX內(nèi)部數(shù)據(jù)。

　　2.美國食品和藥物管理局。(2023年10月4日)網(wǎng)絡(luò)安全。

　　3.榿木，S.(2023年9月20日)。2023年8月醫(yī)療服務(wù)數(shù)據(jù)泄露報告。HIPAA 期刊。

　　4.IBM 安全性。(2023年7月24日)。2023年數(shù)據(jù)泄露成本報告。

　　5.Bischoff，P.(2022 年10月5日)。2020年，針對美國醫(yī)療衛(wèi)生機構(gòu)的勒索病毒軟件攻擊造成208億美元的損失。比較技術(shù)。

　　6.美聯(lián)社新聞(2021年10月1日)。Suit將嬰兒的死亡歸咎于阿拉巴馬州醫(yī)院的網(wǎng)絡(luò)攻擊。美聯(lián)社新聞。

　　7.美國國家標準與技術(shù)研究院。(2023年8月23日)。NIST起草了對其廣泛使用的網(wǎng)絡(luò)安全框架的重大更新。NIST的。

　　作者：Scott Trevino，TRIMEDX網(wǎng)絡(luò)安全高級副總裁

　　來源：https://www.himss.org/resources/advancing-medical-device-cybersecurity-beyond-compliance-managing-risk-governance

　　點擊此處可查看文章原文