隨著醫療產業資安議題在全球發酵，美國食品藥物管理局(FDA)的FD&C法案的醫材資安管理條文524B，將在今年10月1日正式上路，對於不符合其資安要求的醫材，恐在送審階段就被退件！近(27)日，聿信醫療特別舉辦圓桌論壇，邀請台灣駭客協會(HITCON)理事王仁甫及資策會資訊安全所代副主任陳智偉，分享了醫材導入資安維護的重要觀點。

聿信總經理鄭淵仁表示，FDA最早在2018年提出醫材網路安全相關管理草案，並於去(2022)年12月29日公告FD&C法案的524B法規條文、今年3月底發布，即將在今年10月1日正式上路。屆時，若不符合FDA的資安要求，送審中的醫材案件就會直接被退件，對公司而言除了需花費重新送件外，由於許多資安維護工具，從產品設計的架構(framework)起就應注意了，所以發現送審不過後再重新導入，通常是很大的工程。

除了產品的架構外，包括其驗證、倉儲、銷售，甚至未來如何和醫院內的系統對接，以及產品的廢置清除等所涉及的資安問題，FDA都會嚴密審視。鄭淵仁也分享了聿信送審其電子聽診器的經驗，其今年收到FDA的回覆時，有6成問題都是與資安相關，他表示：「這還只是針對硬體，之後我們要送件軟體時，想必會有更多資安問題需注意。」

鄭淵仁表示，在全球醫材資安市場快速增長下，也衍生出許多商業機會。根據Markets and Markets調查，全球醫療保健網路安全市場規模將從2023年的182億美元，增長至2028年的353億美元，年複合成長率(CAGR)高達14.2%。

鄭淵仁建議，廠商應盡可能在產品、服務設計階段就導入資安防護機制。

美國資安重視SOC概念 醫材設計階段即應導入防護工具

台灣駭客協會(HITCON)理事王仁甫，接著分享了資訊安全建置對醫療器材廠商的重要性。他首先簡述了資安部署的「縱深防禦」概念，係指透過多層級的保護方式(例如對：監聽(sniffing)、偽造(spoofing)、中間人攻擊(MitM)等不同層級的網路攻擊，採取不同的策略保護)，強化資訊安全。

他表示，勒索病毒造成的威脅在近年不斷擴大，尤其在俄烏戰爭爆發後全球更是氾濫。駭客在使用勒索病毒時，只要先取得使用憑證、在電腦注入惡意程式、再於電腦中橫向移動取得憑證，就能進一步感染端點、進行混淆動作、刪除副本、加密等動作。且據統計，包括滲透測試工具Cobalt Strike、啟動遠端電腦上指令的PsExec等工具，都已成為勒索病毒濫用的合法工具。

王仁甫指出，美國醫療體系目前相當重視「資安監控中心」(Security Operation Center, SOC)的機制；而只要涉及醫院使用的產品，都須遵循《醫療保險轉移和責任法(HIPAA)》的隱私規則，包含資料利用前須得到同意、資料應具去識別化等。

他也建議，醫材在開發階段就要進行基本的資安測試，對於未來使用後資安的維繫也應有完整設計，包括如何進行漏洞修補、憑證更新等。

FDA資安檢測5大測項嚴格把關資安 不建議使用自定義演算法 ?! 

鄭淵仁與資策會資訊安全所代副主任陳智偉，也在會議後半段分享聿信與資策會合作，一同應對美國食品藥物管理局(FDA)越趨嚴格的資訊安全法規要求，以及與克里夫蘭醫學中心(Cleveland Clinic)互動的經驗。

鄭淵仁建議，在美國FDA通過524B新法後，便列出一連串檢查項目(checklist)，業者應及早針對資安規劃、投入資源，因此最好是從設計階段開始，就確實分析資安範圍及分級，以確保合規。

他也表示，除了產品本身，FDA也相當在乎公司未來的營運，以及產品投入實際場域後如何與使用者互動，介面如何設計、如何連結，未來如何管理風險、監控及文件紀錄、遇到問題的回應及回報方式等。

陳智偉也於會議中分享，美國FDA開始針對醫材設備，向業者提出相關資安檢測要求，產品必須自提或由第三方提出相關的檢測報告，才准予上市銷售，其中必須包含了五大測項，分別為源碼掃描、沙盒動態分析、模糊測試工具、主機及網站弱掃工具、互聯網儀器測試及行動應用安全測試指南(MASTG)。

陳智偉也總結出給業者在資安方面的兩大建議。第一是避免使用陳舊的既有程式碼(legacy code)，特別是網路上的程式碼，常著重於功能演繹，卻缺乏安全性考慮；第二個建議，則是參考API指南(API Manual)，注意函式定義與邊界條件，以及相關的安全風險說明。

最後，鄭淵仁也分享，有鑑於臺灣有志進入美國市場、與FDA打交道的醫療科技開發商越來越多，聿信正將此次與FDA互動的寶貴經驗，彙整出一套數據產品線(data pipeline)之流程，放在開源平台Github上，期盼能幫大家少走一些冤枉路。他也期待，未來IT端、AI研發端、醫療端能夠形成一套標準協定，讓未來醫師和開發者都能參考，加速資訊整合的效率。

(報導/巫芝岳、吳培安)