隨著醫療產業資安議題在全球發酵,美國食品藥物管理局(FDA)的FD&C法案的醫材資安管理條文524B,將在今年10月1日正式上路,對於不符合其資安要求的醫材,恐在送審階段就被退件!近(27)日,聿信醫療特別舉辦圓桌論壇,邀請台灣駭客協會(HITCON)理事王仁甫及資策會資訊安全所代副主任陳智偉,分享了醫材導入資安維護的重要觀點。
聿信總經理鄭淵仁表示,FDA最早在2018年提出醫材網路安全相關管理草案,並於去(2022)年12月29日公告FD&C法案的524B法規條文、今年3月底發布,即將在今年10月1日正式上路。屆時,若不符合FDA的資安要求,送審中的醫材案件就會直接被退件,對公司而言除了需花費重新送件外,由於許多資安維護工具,從產品設計的架構(framework)起就應注意了,所以發現送審不過後再重新導入,通常是很大的工程。
除了產品的架構外,包括其驗證、倉儲、銷售,甚至未來如何和醫院內的系統對接,以及產品的廢置清除等所涉及的資安問題,FDA都會嚴密審視。鄭淵仁也分享了聿信送審其電子聽診器的經驗,其今年收到FDA的回覆時,有6成問題都是與資安相關,他表示:「這還只是針對硬體,之後我們要送件軟體時,想必會有更多資安問題需注意。」
鄭淵仁表示,在全球醫材資安市場快速增長下,也衍生出許多商業機會。根據Markets and Markets調查,全球醫療保健網路安全市場規模將從2023年的182億美元,增長至2028年的353億美元,年複合成長率(CAGR)高達14.2%。
鄭淵仁建議,廠商應盡可能在產品、服務設計階段就導入資安防護機制。
美國資安重視SOC概念 醫材設計階段即應導入防護工具
台灣駭客協會(HITCON)理事王仁甫,接著分享了資訊安全建置對醫療器材廠商的重要性。他首先簡述了資安部署的「縱深防禦」概念,係指透過多層級的保護方式(例如對:監聽(sniffing)、偽造(spoofing)、中間人攻擊(MitM)等不同層級的網路攻擊,採取不同的策略保護),強化資訊安全。
他表示,勒索病毒造成的威脅在近年不斷擴大,尤其在俄烏戰爭爆發後全球更是氾濫。駭客在使用勒索病毒時,只要先取得使用憑證、在電腦注入惡意程式、再於電腦中橫向移動取得憑證,就能進一步感染端點、進行混淆動作、刪除副本、加密等動作。且據統計,包括滲透測試工具Cobalt Strike、啟動遠端電腦上指令的PsExec等工具,都已成為勒索病毒濫用的合法工具。
王仁甫指出,美國醫療體系目前相當重視「資安監控中心」(Security Operation Center, SOC)的機制;而只要涉及醫院使用的產品,都須遵循《醫療保險轉移和責任法(HIPAA)》的隱私規則,包含資料利用前須得到同意、資料應具去識別化等。
他也建議,醫材在開發階段就要進行基本的資安測試,對於未來使用後資安的維繫也應有完整設計,包括如何進行漏洞修補、憑證更新等。
FDA資安檢測5大測項嚴格把關資安 不建議使用自定義演算法 ?!
鄭淵仁與資策會資訊安全所代副主任陳智偉,也在會議後半段分享聿信與資策會合作,一同應對美國食品藥物管理局(FDA)越趨嚴格的資訊安全法規要求,以及與克里夫蘭醫學中心(Cleveland Clinic)互動的經驗。
鄭淵仁建議,在美國FDA通過524B新法後,便列出一連串檢查項目(checklist),業者應及早針對資安規劃、投入資源,因此最好是從設計階段開始,就確實分析資安範圍及分級,以確保合規。
他也表示,除了產品本身,FDA也相當在乎公司未來的營運,以及產品投入實際場域後如何與使用者互動,介面如何設計、如何連結,未來如何管理風險、監控及文件紀錄、遇到問題的回應及回報方式等。
陳智偉也於會議中分享,美國FDA開始針對醫材設備,向業者提出相關資安檢測要求,產品必須自提或由第三方提出相關的檢測報告,才准予上市銷售,其中必須包含了五大測項,分別為源碼掃描、沙盒動態分析、模糊測試工具、主機及網站弱掃工具、互聯網儀器測試及行動應用安全測試指南(MASTG)。
陳智偉也總結出給業者在資安方面的兩大建議。第一是避免使用陳舊的既有程式碼(legacy code),特別是網路上的程式碼,常著重於功能演繹,卻缺乏安全性考慮;第二個建議,則是參考API指南(API Manual),注意函式定義與邊界條件,以及相關的安全風險說明。
最後,鄭淵仁也分享,有鑑於臺灣有志進入美國市場、與FDA打交道的醫療科技開發商越來越多,聿信正將此次與FDA互動的寶貴經驗,彙整出一套數據產品線(data pipeline)之流程,放在開源平台Github上,期盼能幫大家少走一些冤枉路。他也期待,未來IT端、AI研發端、醫療端能夠形成一套標準協定,讓未來醫師和開發者都能參考,加速資訊整合的效率。
(報導/巫芝岳、吳培安)