医疗设备必须安全|数码国际 - 2035世界杯决赛预测

2021年9月24日|01:00:18

设计和制造医疗设备的原始设备制造商和嵌入式开发人员面临着不断变化的挑战。安全威胁不断增加，这意味着嵌入式安全设计的方法必须考虑到已知和不可预见的威胁，并满足高度严格的遵从性需求。但是，这些威胁是什么?在设计、构建、制造、部署和最终使用中，安全问题在哪个点需要考虑?

观看由Digi International专家主持的关于医疗设备安全的小组演示部分，他将解决这些问题，并就如何确保您的设计能够在管道的每个阶段抵御攻击提供关键见解，而不仅仅是在最终应用程序中。您将了解高度安全、健壮的Digi ConnectCore®SOM平台如何支持您在医疗设备中的安全和遵从性目标。

后续研讨会问答

再次感谢您参加我们的医疗设备安全会议。以下是演讲后的问题和他们的回答。如果你还有其他问题，一定要问接触。

我们能否在不违反FDA设备认证的情况下为医院的设备提供软件安全更新?

FDA声明mdm(医疗设备制造商)可以随时更新医疗设备以加强网络安全，FDA通常不需要审查更新。您应该向负责更新设备的团队提供指示，实现具有公共/私有密钥结构的安全更新过程，并内置故障安全代码，以便在您更新时设备不能运行。

密码和医院防火墙不能保护我的设备不被黑客入侵吗?

是的，在某种程度上，但我认为罗伯特说得很好，有很多事情需要执行。密码可以阻止别人侵入，但他们可以买到你的设备并在医院以外的环境中开始使用它，或者偷窃它，或做任何事情。所以你不能指望你的用户，让他们有责任说，“你必须保证我们产品的安全。”你必须在你的设备中建立安全机制。我认为Robert在介绍更新产品的过程和维护产品部署环境中的安全性方面做得很好。

FDA会检测网络安全吗?

问得好，里奇。事实上，FDA并没有对任何种类的恶意软件感染或网络安全进行专门的测试。他们发布了不断改进的建议，但没有具体的测试，他们明确表示这是医疗设备制造商的责任。

考虑到一些不同的安全理念(无论是基于硬件还是基于软件)，哪种解决方案才是真正最好的?

我想说，要获得真正最好的安全性，实际上需要硬件和软件的结合。硬件带来了我们已经讨论过的一些东西，比如防篡改功能。软件开始给你提供攻击的逻辑来源。因此，如果您将反篡改视为一种物理对策，那么当您将硬件和软件结合在一起时，您将在逻辑和物理攻击向量方面获得最佳效果，就您所能保护的而言。当然，要考虑的另一件事是您试图保护的信息的性质。因此，从硬件或软件的角度来看，你可能需要不同的功能，这取决于你的设备的目标保护配置文件。

罗伯特:是的。我会插手的。我的意思是，只是为了扩展它，这就是为什么我花时间在我的演讲部分谈论如何利用硬件。硬件可以做很多事情，或者可以帮助软件，但软件需要在那里利用所有这些，你知道。只有两者协同工作，该设备才能变得更加安全。

如果您说的是每个人都应该使用某些级别的硬件和软件安全，但每个应用程序都是不同的，我如何知道哪种安全适合我?

如果您不确定从哪里开始，或者您的应用程序需要什么级别的安全，我们经常会遇到这样的问题:“我不是安全专家。我该如何开始呢?”当然，最简单的方法是找到最适用于您的设备类的标准，并将其作为起点。最后，如果你甚至不确定从什么标准开始，NIST总是一个很好的开始，例如，国家标准与技术研究所。他们实际上已经发布了一个网络安全框架，它可以作为安全领域的新手和老手的指南。所以，如果你不熟悉安全，或者你是安全新手，我肯定会推荐你至少开始看看这个地方。

还有一些其他的标准我们也在网络研讨会上讨论过。例如，Bob提到了FIPS。这是另一个NIST标准，如果你愿意的话，我们看到很多人瞄准或着眼于设计。你可以做的另一件事是，你也可以向安全方面的专家合作伙伴咨询，比如今天参加电话会议的人，我、罗伯特和鲍勃。或者，如果你有自己的内部专业知识，当然也要利用它。

与一般市场相比，医疗市场在安全性方面有什么特殊性?

我可以用一个词来回答这个问题，那就是什么都没有。你们知道，我认为我们三个今天谈到的技术并不是真正针对医疗市场的。如果你在做自动驾驶，它们是更普遍的考虑因素，对吧?安全性需求和技术在本质上是相同的。

区别就在于重点。如果我在做一个消费设备，我的消费设备被泄露了，个人数据被传输到坏人那里，或者一个网络应用程序，或者其他什么，这很尴尬，很昂贵。但是法律完全不同。

监管机构进行的审查则完全不同。大多数其他行业都认为安全基本上是当谷仓门打开，马都跑了的时候发生的事情。然而，医疗监管机构实际上是在努力确保你在马逃跑之前锁好马厩的门。这就是所有的重点所在。这不仅仅是你一个人的问题，还有事情发生后你该如何应对。而是监管机构在说:“嘿，你打算如何防止这种情况发生?”因此，尽管对任何一种设备预先考虑所有这些因素都是正确的，但医疗行业需要这样做。

帕特里克:罗伯特，我还要补充一点。我经常听到这样的比较，人们说证券有点像保险。它是。但当你特别谈到医疗行业时，我会说，是的，它就像保险一样，在医疗应用中，责任也要高得多。

我们讨论过的事情如何帮助解决新闻中出现的医疗攻击(医院网络被破坏、勒索软件等)?

就像我在报告里说的，没有什么是完美的。但是我们在个人演讲中谈到的那些步骤真的很有用。如果黑客很难或不可能获得一个设备，从而探测它并找出它的弱点，或者当这种情况发生时，设备以某种方式失效，那么这就使他们更难想出如何攻击设备。

如果您的软件是使用预防性技术开发的，并且使用高质量的安全最佳实践，那么即使他们能够访问设备，他们也很难向设备中注入恶意软件，而这正是医院网络中的勒索软件和其他攻击的来源。因此，至少你可以最大限度地保护设备，然后你希望医院网络的其他供应商也这样做，因此，医院网络至少会更安全。

里奇:我知道你说过这会增加难度，但不是不可能。

罗伯特:是的，这一切都要追溯到，你知道，武装警卫和包裹混凝土的装置。

在医疗设备产品中使用开源硬件(如BeagleBone和Raspberry Pi)有什么安全问题?鲍勃，你想试试那个吗?

当然。我们也从客户那里得到这些。挑战在于时间的取舍。我的意思是，西门子已经实现的东西，Digi已经实现的东西，英飞凌已经实现和/或将提供给我们的客户的东西，都可以使用开源软件完成。但这需要大量的工作和时间，基本上你得靠自己，收集自己的工具，自己的部件，并将它们集成到开源硬件之上。你必须把它做好!所以，这需要很多时间，然后你有认证的问题，通过不同的全球认证，展示你所做的，当，再次，你不会从你的供应商那里得到任何支持。所以，我想简短的回答是，是的，这是可能的，但真的非常困难。