2022年3月,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》,顿时受到了医院信息部门的热切关注。业内人士纷纷感叹:多年来一直困扰医院信息中心的医疗设备网络安全管理问题,终于有了明确的政策依据!
为何医疗设备的网络安全问题让医院信息人备感困惑?《指导原则》修订版出台后,将对这一局面产生何种影响?医院信息部门又该如何找准“发力点”,逐一突破固有难题,为医疗设备进行有效的网络安全加固?
医疗设备网络安全管理的“三不一难”
“之前针对医疗设备的网络安全监管是非常缺失的。”首都医科大学宣武医院信息中心主任梁志刚认为,医疗设备的网络安全问题之所以难管,是因为其中存在两组“不对等的关系”。
从院内来看,医疗设备与信息化分属两条不同的行政管理条线。医疗设备归属设备、医工部门管理,管理侧重点在于医疗设备的应用与质量控制,在网络安全方面存在“监管真空”,但医院信息部门往往对此缺乏话语权。
从院外来看,医院面对大型进口医疗设备供应商时处于弱势地位。供应商不配合、不接受院方的网络安全监管,往往会以“质保作废”等方式拒绝院方在医疗设备服务器、工作站加设安全措施,而院方不敢冒险、只能妥协。因此,从采购、使用、运维到数据传输,很多医疗设备都处于“黑箱”状态,网络安全形势不容乐观。
河北医科大学第一医院首席信息官刘新平曾先后担任医院医疗设备部门与信息部门负责人,从医疗设备管理者和信息管理者的双重身份出发,她对医疗设备网络安全监管的特殊性有更深刻的体会,目前医疗设备整体面临的网络安全风险包括:
(1)漏洞利用风险:一般医疗设备的使用年限都在6-8年甚至更长,医院现有设备的操作系统较为老旧,普遍存在安全漏洞,同时因医护人员缺乏安全意识使用简单密码,导致极易被攻击入侵。
(2)资产管理问题:医疗设备终端数量众多且类型繁杂,设备科室增加和更换设备较为频繁,大部分医院缺乏统一的资产管理办法,无论设备部门还是信息部门都不清楚接入业务网络的医疗设备有多少、在线的有多少,更不知道有多少医疗设备是不安全的。
(3)数据泄露风险:医疗设备存储部分患者数据或与数据库直连,大部分CT、核磁设备供应商为国外厂商,远程运维过程的数据安全性无法保证。
深信服医疗事业部网络安全运营总监王成雨将医疗设备网络安全问题总结为“三不一难”:科室自购医疗设备入网不可见、医疗设备自身安全漏洞不可知、厂商远程运维常态化不可控、医疗设备和IT资产相混杂难防护。医疗机构需要解决的问题包括:如何有效识别和管理众多的医疗设备?如何发现医疗设备老旧系统中的现存漏洞?如何“看清”远程运维人员在运维过程中都干了什么?
“其中,摸清家底是管好医疗设备网络安全的第一步,但摸清家底往往又是很难的。”王成雨介绍,深信服与中国信通院共同发布的《2021医疗物联网安全研究报告》指出:医疗机构缺乏全面的资产台账,导致安全风险黑盒化。“根据我们的用户调研,医院信息部门或设备部门对内网存在的医疗设备信息与状态是不了解的,遇到问题难以定位,更难以快速解决。当医院对自身情况都不能知根知底的话,安全也就无从谈起。”
《指导原则》帮助信息部门“提要求”,老旧设备仍需重点关注
《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则》)的发布,为医院的医疗设备网络安全管理提供了政策依据,其从医疗器械电子接口、网络安全能力、网络安全验证与确认、网络安全可追溯分析、网络安全事件应急响应、网络安全更新、数据安全尤其是境外数据访问等方面,提出了具体要求。
“《指导原则》的出台非常及时,让医院在医疗设备采购、部署、运维时有章可依、有制可循。”梁志刚认为,《指导原则》从设备准入、漏洞评估、远程访问、数据安全等多个维度,给出了标准化的医疗设备网络安全风险处置办法,医疗机构需要进一步细化其中的关键点,将其从国家规范转变为可落地的院级管理制度。同时,《指导原则》帮助医院信息部门“提要求”,规定了设备到院时应达到的网络安全基本要求。这有助于改变以前医院信息部门对设备部门、医院对医疗设备厂商的不对等关系。
不过,等待依照《指导原则》注册的医疗设备进入市场还需要一定时间。刘新平认为,当前最应关注的是院内老旧医疗设备的网络安全问题。“老旧设备的识别、清点、统一管理,以及操作系统的漏洞修复等,仍然是医院信息部门需要重点着力的。”
王成雨持同样观点:“《指导原则》从出台到落地还需要一定周期,但安全威胁近在咫尺、迫在眉睫。在现有条件下做好现有医疗设备的网络安全加固,是非常必要的。”他建议医疗机构应发挥主观能动性,在政策完全落地之前先行一步,结合医院现状提前启动安全防护建设,积极行动起来。
“网络安全七到八成是管理问题,只有一到两成是技术问题。这一点也同样适用于医疗设备的网络安全。”梁志刚认为“多部门联合”是医疗设备管理的重要基础。宣武医院信息部门和设备部门紧密合作、形成共识,如:将医疗设备网络安全纳入医院网络安全体系,大型医疗设备进入医院网络时,不允许开放远程诊断模块;加强人员内部管理,不允许U口与网络端口的无序应用;规范数据管理流程,临床提出数据需求并经审批、论证后由信息部门帮助导出,不允许私自导出数据等。刘新平建议医院要建立跨部门、跨职能的医疗设备管理流程,在准入、使用、运维、监控等阶段进行全方位管理,确保无死角、无缺位;相关人员签订《医疗设备业务网准入安全责任书》,确保安全保障责任落实到人。
在技术方面,刘新平建议医院可规划建设统一的物联网网关和监控平台,对医疗设备进行统一管理、集中监控,及时发现、处置安全风险,最终构建起医院医疗设备的网络安全控制体系。同时她也提出:医疗机构普遍欠缺医疗设备的网络安全专业知识,难以准确把控风险、找准建设思路,这就需要安全厂商“走在前面”,帮助医疗机构洞察趋势;同时,安全厂商的产品研发也要兼顾落地性和安全性。
比如,传统的医疗设备网络安全管控方案大多采用在设备终端集成SDK包进行改造的方式,不但涉及底层代码的开发与整合、需要设备厂商的协助配合,还属于侵入式方案,可能影响设备运行的安全性。“在某些场景中,这种方案是我们不敢落地也不能落地的。”刘新平谈道。
找准“发力点”,医疗设备的安全加固追求“高效落地”
针对医疗设备网络安全现状与医疗机构的实际需求,王成雨谈道:“深信服在设计医疗设备安全加固方案时遵从两个原则:一是不能特别复杂,二是要能高效执行。”
王成雨认为,当前的工作重点是在医疗设备厂商、医院设备管理部门、医院信息管理部门之间寻求一个三者都可接受的方案,特别是在国外厂商依然强势、短期内难以完全扭转局面的情况下,加强风险监测、第一时间发现问题并加以阻断是方案落地的关键;而且要能实际解决医疗设备细分场景的具体需求,而非“大而重”的医疗物联网网络安全解决方案。
为此,深信服推出“医疗设备安全加固解决方案”,核心思路是“四步一体”,也即:
第一步是“摸清家底”,基于主动/被动智能检测,全面、准确地发现与识别资产。深信服投入大量研发力量建立“医疗器械指纹信息库”,准确识别设备类型、厂商、IP/MAC地址、设备唯一标识码等信息,帮助医疗机构应对种类繁多冗杂的资产管理工作,目前已完成45家医疗设备厂商的适配,其中既包括主流国际知名品牌,也包括细分领域的本土品牌等。
第二步与第三步是“发现风险”与“有效管控”,围绕医疗设备突出的安全漏洞、弱密码、数据外发等安全隐患,通过可信设备入网管控、内网外联流量监控、设备访问权限收敛等手段加以管控。与常规的SDK改造、划区隔离管控不同,深信服采取的方式是在医疗设备核心侧旁挂医疗设备物联网安全探针,可以在不改变网络、不用对接设备厂商、不做软件集成的“最小动作”前提下,快速落地并实现风险监测与管控。
第四步是“闭环处置”,通过医疗设备物联网安全平台对全院资产进行安全统管、科室设备入网审批、远程运维一键放通,并对安全事件进行全网联动的闭环处置,全程实现医疗设备的网络安全可视化。
“安全建设是一个综合处理、不断调优的过程。”王成雨认为,在当前无法完全控制外部设备安全合法的行业形势下,“加强医院自身安全壁垒”是最好的办法。目前,深信服已基于该方案在全国15个省市帮助医院用户全面掌握全院设备资产台账,并开展医疗设备安全加固工作。
“一个客观存在的问题是:医院信息部门人力有限,网络安全技术支撑能力也是有限的,无法面面俱到。”梁志刚认为,在医疗设备安全加固方面,医院需要安全厂商在整体规划设计、长期服务与应急保障方面提供更多的支持与帮助。刘新平希望安全厂商能为医院提供医疗设备网络安全风险规避方面的培训,并提供运维管理的工具、方法和标准作业流程。
“除提供产品、方案外,深信服还可为医院提供医疗设备网络安全咨询服务,可以结合医院实际情况给出相应建议,包括如何加强管理流程、设置应急预案等。”王成雨表示,深信服已注意到医院用户的这一需求,并将通过咨询、培训等多样式服务,帮助医院信息部门找准“发力点”,将医疗设备网络安全统一纳入医院网络安全规划,以简便、高效的方式加固医院网络安全体系中的医疗设备“短板”。