醫(yī)療可穿戴設(shè)備的安全性設(shè)計(jì)

目前對(duì)互聯(lián)醫(yī)療設(shè)備的網(wǎng)絡(luò)攻擊日益增加，而且與醫(yī)療系統(tǒng)黑客攻擊相比，這種攻擊甚至更為嚴(yán)峻。正如《哈佛商業(yè)評(píng)論》(HBR)指出：“雖然攻擊醫(yī)療系統(tǒng)的黑客令人恐懼，但攻擊醫(yī)療設(shè)備的黑客可能更糟糕。”另外，《連線》雜志寫道：“醫(yī)療設(shè)備是下一個(gè)安全噩夢?！? 為了確保醫(yī)療設(shè)備的安全性萬無一失，必須滿足食品藥品管理局 (FDA) 的要求和其他安全標(biāo)準(zhǔn)。但是當(dāng)設(shè)計(jì)醫(yī)療可穿戴設(shè)備和物聯(lián)網(wǎng) (IoT) 設(shè)備時(shí)，做起來要比說起來困難得多。

醫(yī)療可穿戴設(shè)備的安全性可能更具挑戰(zhàn)性

固定位置的端點(diǎn)設(shè)備的安全性挑戰(zhàn)難度很高。但是，可穿戴設(shè)備的安全性挑戰(zhàn)難度更高。以下是主要原因：

設(shè)備可能不是正確的設(shè)備

佩戴者可以四處走動(dòng)，可以身處任何地方

設(shè)備也可能被錯(cuò)誤的人使用

然而，我們可以采取安全措施來確定設(shè)備發(fā)送數(shù)據(jù)是否經(jīng)過授權(quán)。以 Apple Watch 為例。除跌倒檢測功能外，Apple Watch 的 API 要求其執(zhí)行以下操作：

讓用戶知道他們需要在 iPhone 上授予該權(quán)限

在 iPhone 上向用戶顯示健康授權(quán)對(duì)話框

在 iPhone 上完成授權(quán)后撥打電話

在 Apple Watch 上處理 iPhone 的授權(quán)結(jié)果

除了要知道設(shè)備是否經(jīng)授權(quán)發(fā)送數(shù)據(jù)之外，還需要確定設(shè)備是否被欺騙，是否有其他設(shè)備在發(fā)送數(shù)據(jù)，以及設(shè)備是否在發(fā)送正確的數(shù)據(jù)。另外還要加以檢查，了解設(shè)備是否在準(zhǔn)確地發(fā)送數(shù)據(jù)，以及獲取數(shù)據(jù)的時(shí)間是否正確。

醫(yī)療器械安全法規(guī)

若要滿足 FDA 和其他安全要求，第一步是要知道這些要求。為避免出現(xiàn)尷尬和代價(jià)高昂的安全漏洞，需要滿足以下數(shù)字健康要求：

FDA 建議 –在 2018 年指南草案中，F(xiàn)DA 將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)分為 1 級(jí)（較高網(wǎng)絡(luò)安全風(fēng)險(xiǎn)）和 2 級(jí)（標(biāo)準(zhǔn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)）。1 級(jí)有兩個(gè)條件：(i) 設(shè)備連接到其他產(chǎn)品或網(wǎng)絡(luò)（有線或無線），(ii) 網(wǎng)絡(luò)安全事件可能直接對(duì)多名患者造成傷害。指南建議采取以下安全措施：身份驗(yàn)證、加密、標(biāo)識(shí)、授權(quán)和糾正。盡管指南不是強(qiáng)制性的，但需要予以重視。截至 2020 年中，該指南仍為草案，但隨時(shí)可能被正式采納。建議將該指南用于新設(shè)備。它類似于早先出現(xiàn)且仍然有效的 2014 年指南，但內(nèi)容更詳細(xì)。

NIST 網(wǎng)絡(luò)安全框架 – FDA 建議基于 NIST 網(wǎng)絡(luò)安全框架。1 級(jí)建議如下： 1 級(jí)設(shè)計(jì)還建議實(shí)施彈性措施，例如加密驗(yàn)證和身份驗(yàn)證、安全配置、網(wǎng)絡(luò)安全 BOM (CBOM)。 2 級(jí)的建議相同，但如果基于風(fēng)險(xiǎn)的理由表明某些項(xiàng)目不合適，則可以將其忽略。

只有受信任的用戶和設(shè)備能獲得訪問權(quán)，而且要對(duì)安全關(guān)鍵型命令進(jìn)行身份驗(yàn)證和授權(quán)檢查，從而防止未經(jīng)授權(quán)的使用。

維護(hù)代碼、數(shù)據(jù)和執(zhí)行的完整性，確保內(nèi)容可信。

維護(hù)數(shù)據(jù)機(jī)密性。

設(shè)計(jì)設(shè)備時(shí)就能讓其及時(shí)檢測網(wǎng)絡(luò)安全威脅。

設(shè)計(jì)設(shè)備時(shí)使之能響應(yīng)潛在網(wǎng)絡(luò)安全事件并控制其影響。

設(shè)計(jì)設(shè)備時(shí)使之能恢復(fù)因網(wǎng)絡(luò)安全事件而受損的功能或服務(wù)。

HIPAA（患者數(shù)據(jù)隱私）–《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA) 獨(dú)立于安全性。但是，要滿足 HIPAA，安全措施必須到位。其要求如下：

確保安全設(shè)計(jì)以用戶為中心

實(shí)現(xiàn)從設(shè)備到數(shù)據(jù)庫的端到端安全性以及數(shù)據(jù)庫的物理訪問控制

如果傳輸?shù)臄?shù)據(jù)沒有患者 ID，則不涉及隱私問題。在數(shù)據(jù)庫中將代碼與患者姓名匹配。

CE 安全要求 – CE 要求不像 FDA 指南那樣具體，但有相似性：設(shè)備必須安全有效。有個(gè)重點(diǎn)是關(guān)于數(shù)據(jù)保護(hù)（請(qǐng)參閱 GDPR），比美國患者數(shù)據(jù)要求更為嚴(yán)格。

適用的文件包括《醫(yī)療設(shè)備法規(guī)》(MDR) 附件 I、關(guān)于軟件的 EN62304 和關(guān)于危害分析的 EN14971。要求的規(guī)范如下：

規(guī)范 1：安全管理

規(guī)范 2：安全要求規(guī)范

規(guī)范 3：安全設(shè)計(jì)

規(guī)范 4：安全實(shí)現(xiàn)

規(guī)范 5：安全驗(yàn)證和確認(rèn)測試

規(guī)范 6：安全相關(guān)問題的管理

規(guī)范 7：安全更新管理

規(guī)范 8：安全準(zhǔn)則 - 文檔

針對(duì)涉及 IT 網(wǎng)絡(luò)特征的工作環(huán)境以及無法通過產(chǎn)品設(shè)計(jì)實(shí)現(xiàn)的 IT 安全措施，制造商有責(zé)任確定相應(yīng)的最低要求。這意味著，制造商即使不提供網(wǎng)絡(luò)，也有責(zé)任提供相關(guān)信息，指導(dǎo)用戶在安全網(wǎng)絡(luò)中操作設(shè)備。

采用安全設(shè)計(jì)方法

醫(yī)療設(shè)備安全標(biāo)準(zhǔn)對(duì)于醫(yī)療物聯(lián)網(wǎng)和可穿戴設(shè)備設(shè)計(jì)至關(guān)重要，但要滿足這些要求并非易事。若要滿足安全要求，唯一辦法就是采用安全設(shè)計(jì)方法。該方法有諸多優(yōu)點(diǎn)，其中包括以下幾項(xiàng)：

有效并盡早消除安全漏洞

內(nèi)置而不是外加的安全性

降低責(zé)任風(fēng)險(xiǎn)

更具彈性的系統(tǒng)

降低成本

如何實(shí)現(xiàn)安全設(shè)計(jì)

首先要了解法規(guī)要求。在開始產(chǎn)品設(shè)計(jì)之前確定產(chǎn)品要求。在產(chǎn)品設(shè)計(jì)中納入安全性并進(jìn)行測試，確保滿足所有要求。

了解并確定法規(guī)要求只是成功的一半

在設(shè)計(jì)醫(yī)療設(shè)備時(shí)，還應(yīng)考慮以下要素：

技術(shù)選擇。設(shè)備是否建立在經(jīng)過驗(yàn)證的技術(shù)之上？

技術(shù)弱點(diǎn)。技術(shù)平臺(tái)是否有已知漏洞？

系統(tǒng)設(shè)計(jì)。系統(tǒng)中的風(fēng)險(xiǎn)在哪里？靜態(tài)數(shù)據(jù)的漏洞與動(dòng)態(tài)數(shù)據(jù)的漏洞不同。

風(fēng)險(xiǎn)評(píng)估?？傮w風(fēng)險(xiǎn)應(yīng)細(xì)分為具體項(xiàng)目，每個(gè)項(xiàng)目都應(yīng)包含風(fēng)險(xiǎn)和所需的應(yīng)對(duì)辦法。

密碼技術(shù)。需要何種等級(jí)的密碼？等級(jí)太高的話，將需要更多的功耗和時(shí)間。

加密。加密不僅僅是用加密算法保護(hù)數(shù)據(jù)。安全密鑰的管理更為重要。

威脅檢測。如何在造成損害之前發(fā)現(xiàn)威脅？

滲透測試。雇用文明黑客嘗試攻擊系統(tǒng)。

開發(fā)人員。他們是否參與威脅建模？他們是否了解設(shè)計(jì)組織的安全設(shè)計(jì)規(guī)范？

可維護(hù)性。是否存在對(duì)可維護(hù)性及其衡量工具的要求？

隱私設(shè)計(jì)。設(shè)計(jì)方法中是否包含隱私考慮因素（HIPAA 和 GDPR）？

進(jìn)一步改善。如何實(shí)現(xiàn)持續(xù)改進(jìn)和設(shè)備開發(fā)？在產(chǎn)品生命周期中，安全性會(huì)變得越來越有挑戰(zhàn)性。

為了成功實(shí)施所有這些措施，須雇用內(nèi)部物聯(lián)網(wǎng)工程師或可靠的第三方顧問。例如，Voler 曾被委托開發(fā) XEEDA 錢包——世界上第一個(gè)用于智能手機(jī)的加密貨幣硬件錢包。Voler 在產(chǎn)品開發(fā)的每一步都實(shí)施了安全設(shè)計(jì)，并使用多因素身份驗(yàn)證、內(nèi)置生物特征安全特性和其他關(guān)鍵安全措施，使設(shè)備達(dá)到非常高的安全性（EAL 5 級(jí)）。Voler 按時(shí)并在預(yù)算內(nèi)完成了這項(xiàng)具挑戰(zhàn)性的設(shè)計(jì)。

總結(jié)

隨著醫(yī)療保健領(lǐng)域中網(wǎng)絡(luò)安全和隱私問題的日益增加，安全性應(yīng)成為設(shè)計(jì)的重中之重。設(shè)計(jì)必須滿足 FDA、CE 和其他安全要求，確保設(shè)備萬無一失，避免安全漏洞造成代價(jià)高昂且令人尷尬的后果。
責(zé)任編輯人：CC