目前對互聯醫療設備的網絡攻擊日益增加，而且與醫療系統黑客攻擊相比，這種攻擊甚至更為嚴峻。正如《哈佛商業評論》(HBR)指出：“雖然攻擊醫療系統的黑客令人恐懼，但攻擊醫療設備的黑客可能更糟糕。”另外，《連線》雜志寫道：“醫療設備是下一個安全噩夢。” 為了確保醫療設備的安全性萬無一失，必須滿足食品藥品管理局 (FDA) 的要求和其他安全標準。但是當設計醫療可穿戴設備和物聯網 (IoT) 設備時，做起來要比說起來困難得多。

醫療可穿戴設備的安全性可能更具挑戰性

固定位置的端點設備的安全性挑戰難度很高。但是，可穿戴設備的安全性挑戰難度更高。以下是主要原因：

設備可能不是正確的設備

佩戴者可以四處走動，可以身處任何地方

設備也可能被錯誤的人使用

然而，我們可以采取安全措施來確定設備發送數據是否經過授權。以 Apple Watch 為例。除跌倒檢測功能外，Apple Watch 的 API 要求其執行以下操作：

讓用戶知道他們需要在 iPhone 上授予該權限

在 iPhone 上向用戶顯示健康授權對話框

在 iPhone 上完成授權后撥打電話

在 Apple Watch 上處理 iPhone 的授權結果

除了要知道設備是否經授權發送數據之外，還需要確定設備是否被欺騙，是否有其他設備在發送數據，以及設備是否在發送正確的數據。另外還要加以檢查，了解設備是否在準確地發送數據，以及獲取數據的時間是否正確。

醫療器械安全法規

若要滿足 FDA 和其他安全要求，第一步是要知道這些要求。為避免出現尷尬和代價高昂的安全漏洞，需要滿足以下數字健康要求：

FDA 建議 –在 2018 年指南草案中，FDA 將網絡安全風險分為 1 級（較高網絡安全風險）和 2 級（標準網絡安全風險）。1 級有兩個條件：(i) 設備連接到其他產品或網絡（有線或無線），(ii) 網絡安全事件可能直接對多名患者造成傷害。指南建議采取以下安全措施：身份驗證、加密、標識、授權和糾正。盡管指南不是強制性的，但需要予以重視。截至 2020 年中，該指南仍為草案，但隨時可能被正式采納。建議將該指南用于新設備。它類似于早先出現且仍然有效的 2014 年指南，但內容更詳細。

NIST 網絡安全框架 – FDA 建議基于 NIST 網絡安全框架。1 級建議如下： 1 級設計還建議實施彈性措施，例如加密驗證和身份驗證、安全配置、網絡安全 BOM (CBOM)。 2 級的建議相同，但如果基于風險的理由表明某些項目不合適，則可以將其忽略。

只有受信任的用戶和設備能獲得訪問權，而且要對安全關鍵型命令進行身份驗證和授權檢查，從而防止未經授權的使用。

維護代碼、數據和執行的完整性，確保內容可信。

維護數據機密性。

設計設備時就能讓其及時檢測網絡安全威脅。

設計設備時使之能響應潛在網絡安全事件并控制其影響。

設計設備時使之能恢復因網絡安全事件而受損的功能或服務。

HIPAA（患者數據隱私）–《健康保險流通與責任法案》(HIPAA) 獨立于安全性。但是，要滿足 HIPAA，安全措施必須到位。其要求如下：

確保安全設計以用戶為中心

實現從設備到數據庫的端到端安全性以及數據庫的物理訪問控制

如果傳輸的數據沒有患者 ID，則不涉及隱私問題。在數據庫中將代碼與患者姓名匹配。

CE 安全要求 – CE 要求不像 FDA 指南那樣具體，但有相似性：設備必須安全有效。有個重點是關于數據保護（請參閱 GDPR），比美國患者數據要求更為嚴格。

適用的文件包括《醫療設備法規》(MDR) 附件 I、關于軟件的 EN62304 和關于危害分析的 EN14971。要求的規范如下：

規范 1：安全管理

規范 2：安全要求規范

規范 3：安全設計

規范 4：安全實現

規范 5：安全驗證和確認測試

規范 6：安全相關問題的管理

規范 7：安全更新管理

規范 8：安全準則 - 文檔

針對涉及 IT 網絡特征的工作環境以及無法通過產品設計實現的 IT 安全措施，制造商有責任確定相應的最低要求。這意味著，制造商即使不提供網絡，也有責任提供相關信息，指導用戶在安全網絡中操作設備。

采用安全設計方法

醫療設備安全標準對于醫療物聯網和可穿戴設備設計至關重要，但要滿足這些要求并非易事。若要滿足安全要求，唯一辦法就是采用安全設計方法。該方法有諸多優點，其中包括以下幾項：

有效并盡早消除安全漏洞

內置而不是外加的安全性

降低責任風險

更具彈性的系統

降低成本

如何實現安全設計

首先要了解法規要求。在開始產品設計之前確定產品要求。在產品設計中納入安全性并進行測試，確保滿足所有要求。

了解并確定法規要求只是成功的一半

在設計醫療設備時，還應考慮以下要素：

技術選擇。設備是否建立在經過驗證的技術之上？

技術弱點。技術平臺是否有已知漏洞？

系統設計。系統中的風險在哪里？靜態數據的漏洞與動態數據的漏洞不同。

風險評估。總體風險應細分為具體項目，每個項目都應包含風險和所需的應對辦法。

密碼技術。需要何種等級的密碼？等級太高的話，將需要更多的功耗和時間。

加密。加密不僅僅是用加密算法保護數據。安全密鑰的管理更為重要。

威脅檢測。如何在造成損害之前發現威脅？

滲透測試。雇用文明黑客嘗試攻擊系統。

開發人員。他們是否參與威脅建模？他們是否了解設計組織的安全設計規范？

可維護性。是否存在對可維護性及其衡量工具的要求？

隱私設計。設計方法中是否包含隱私考慮因素（HIPAA 和 GDPR）？

進一步改善。如何實現持續改進和設備開發？在產品生命周期中，安全性會變得越來越有挑戰性。

為了成功實施所有這些措施，須雇用內部物聯網工程師或可靠的第三方顧問。例如，Voler 曾被委托開發 XEEDA 錢包——世界上第一個用于智能手機的加密貨幣硬件錢包。Voler 在產品開發的每一步都實施了安全設計，并使用多因素身份驗證、內置生物特征安全特性和其他關鍵安全措施，使設備達到非常高的安全性（EAL 5 級）。Voler 按時并在預算內完成了這項具挑戰性的設計。

總結

隨著醫療保健領域中網絡安全和隱私問題的日益增加，安全性應成為設計的重中之重。設計必須滿足 FDA、CE 和其他安全要求，確保設備萬無一失，避免安全漏洞造成代價高昂且令人尷尬的后果。
責任編輯人：CC