疫情催化加速智慧医疗器械网络安全 风险评估8大重点

为确保医疗器械的有效性与安全性，医疗器械开发商需参考ISO 14971医疗器材风险管理标准(Medical devices – Application of risk management to medical devices)评估相关风险。在面对网络安全攻击，医疗设备开发商需考虑信息处理上可能面临的安全威胁，包括伪造使用者身份、窜改健康记录及个人信息泄露等问题。血压计与血糖仪等仅提供单纯的量测功能的传统个人医疗器械，通常不具备使用者身份识别机制。然而，为满足智慧医疗需求，势必得增加个人健康记录与大数据分析以进行诊断的功能。因此，医疗设备开发商需将识别使用者身份、连网储存方式及资料传输机制等使用场景，均应列为风险分析的评估项目。
 

2. 可接受残余风险的鉴别

医疗设备若通过蓝牙、WiFi等联网技术传输个人健康资料或诊断结果时，应根据不同的传输方式所面临的网络安全风险的攻击方向、攻击复杂度、使用权限及操作界面等因素评估风险的危险程度，并于开发过程时确定可接受的残余风险。这部份可参考CVSS通用漏洞评分系统的评估基准，通过网络安全专家评估或模拟网络攻击，以针对网络安全风险发生的可能性进行优先排序，协助开发人员有效应用与管控。
 

3. 风险确效的方法

针对风险分析结果中所涵括的网络安全风险活动，医疗设备开发商应提出合适的技术或管理措施进行验证。举例来说，前文所提的医疗设备在连网环境下可能面临健康记录被窜改与窃取的风险，医疗设备开发商应就此风险提出通过传输通道加密或资料加密等机制，并通过实际验证程序确保其技术或管理措施的有效性。若产品本身受限技术发展与应用场景无法提供加密机制时，制造业亦应提供管理措施降低风险发生的可能，如：传输资料时提供使用者信息提示或在使用手册上加注资料传输的注意事项。
 

4. 产品上市后的网络安全监控机制

以往医疗设备在上市后的服务主要以硬件维修与保障为主，但是对于具有连网服务的设备，所搭载的作业系统或开发平台、应用软件、云端服务及委外开发或营运厂商的监控机制也都是必须持续提供更新的项目。因此，在开发阶段亦应将作业系统、软件及服务维运与更新纳入产品上市后服务范畴，以防在上市后产品涉及网络安全漏洞或事故时无法作出有效应对措施。
 

5. 网络安全信息的收集方式

在医疗设备开发商广泛使用开放源码套件的情况下，医疗设备也会受到开放源码套件漏洞的影响。因此，医疗设备开发商须特别留意作业系统与开放源码套件是否存在新的安全问题，并针对新的安全问题，采取相对应的应变机制。因此，建议医疗设备开发商定期追踪与观察网络安全新闻，亦可搭配工具主动追踪各大网络安全新闻平台与漏洞数据库，并协助过滤与产品相关的漏洞，以节省开发人员过滤相关信息的时间，将人力与时间资源有效利用在漏洞验证与修补。
 

6. 已识别网络威胁和漏洞的定期巡检

上述开发过程中所分析出的网络威胁与上市后所识别出的网络安全漏洞，须定期巡检现有的技术或管理管控措施是否有效与合理。建议医疗设备开发商可搭配产品规划发展时程，在进行功能巡检的同时，一并巡检网络威胁与网络安全漏洞的风险管控措施。然而，在缺乏网络安全专业人员的医疗设备开发商，建议可选择与外部的网络安全专家或顾问合作，搭配适用的管控措施与流程，将会是较好的方式。由具备网络安全评估经验的顾问协助备好法规所需的网络安全检视文件与记录，以便主管机关查阅。
 

7. 已识别安全漏洞的揭露政策

面对网络安全漏洞，以往医疗设备开发商不了解这些网络安全漏洞可能带来的严重后果，然而网络安全漏洞就像是Covid-19的传染病源一样，很难根绝，没有作业系统或应用软件能自称是没有缺陷的，一旦有心人士想破坏，可以倾注大量的时间和人力发掘漏洞，找到破口。如果不正视这些网络安全漏洞，届时会像疫情一样难以控制，不仅损害公司名誉，甚至可能造成人身危害而面临赔偿。许多国际化企业品牌商也开始积极面对网络安全漏洞，提供网络安全研究者通报产品漏洞的渠道，并协助使用者通过软件或固件更新修正产品漏洞，减少网络安全漏洞所带来的损害。
 

8. 安全有效性相关的软件更新

提供安全有效的软件持续维运是未来智慧医疗服务的一大课题，具备开发能力的团队，应在产品例行改版时确认相关系统与套件是否已更新至最新版本，并思考未能实时修补的漏洞如何纳入新的产品规格中。而委外开发或维运的设备业者，更应妥善规划委外厂商的责任义务，确保安全有效的软件持续维运及软件供应链安全。另外医疗设备开发商也应提供软件更新，通过更新档案签章方式，确保更新档能正确的被下载、部署及安装。