近年来,越来越多的医疗保健专业人员开始意识到全面医疗设备安全的必要性,整个行业的从业人员已经开始加大力度来提高这一标准。
乐观的旁观者可能会指出实现这一目标的步伐。开发人员已经意识到了最明显的漏洞,更多的信息安全研究人员也加入其中。
如果不出意外,像I Am The Cavalry这样的倡导组织的形成,以及漏洞披露数量的简单上升,已经开始规划出一条可以抵御攻击的医疗设备路线。
先存条件
在上个月的黑帽安全技术大会上的一次演说中,暴露了目前市场上心脏起搏器的严重缺陷。它们的制造商不愿意解决这些漏洞,这清楚地表明,医疗设备的安全问题之所以受到困扰,在很大程度上是因为主要卫生保健部门参与者缺乏凝聚力以及开发人员安全卫生状况不佳。
为什么会这样?尽管医疗设备已经取得了不可否认的成果,但仍然存在像黑帽展览上那样的漏洞呢?就像医生有时必须诊断的最棘手的医疗状况一样,其根源在于多种复合疾病。
首先,物联网医疗设备的运行条件——包括了从联网胰岛素泵到联网CT扫描仪的所有东西——与消费者物联网对应设备的运行条件有着明显的不同。
据医生同时也是安全研究员的Christian Dameff说,一个关键的区别是,它们的生命周期明显更长,往往比它们所运行的操作系统的支持周期更长。
“对于消费者物联网来说,可能每年都会有设备定期的更新换代”Dameff说,“医疗联网设备预计将服务5年、10年以上,这可能是CT扫描仪等设备的情况,你猜怎么着?它们将运行Windows XP,而Windows XP将在三年后结束支持”。
作为安全研究员和I AM The Cavalry联合创始人的Beau Woods指出,事实上,新联网医疗设备必须经历的监管过程是如此冗长——这是可以理解的——以致于当它们进入市场时,通常会落后现代安全趋势好几年。
Woods表示:“今天推出的任何新设备都可能有几年的研发阶段,以及几个月到几年的FDA审批阶段”。
“你可以拥有8到10年前就完成基本构思,但是到现在才刚刚出的设备,所以它们当然没有与现在相同的保护措施或者具有现代医疗设备架构,更不用说10年前推出的、仍然完全可以使用的设备,比如说核磁共振成像仪”他解释道。
始终处于联网状态的医疗设备必须满足的需求,尤其是心脏起搏器等植入设备的需求,会带来额外的操作限制。桌面操作系统开发人员已经花了几十年的时间积累经验,以确定最佳实践开发对策。然而,不允许停机的无头医疗物联网设备排除了许多非常规的对策,因此有必要开发适合医疗部署的新设备。
医生,诊断结果是什么?
强生公司的产品安全总监Colin Morgan指出,传统的控制在某些医疗环境中肯定是不够用的,但这可以鼓励研发人员在特定的约束条件下进行创新。
“有时,在这种环境差异下,我们需要确保安全控制不会影响设备的预期用途”Morgan表示,“假设您的机器上有一个会话锁,你离开办公桌15分钟,你的屏幕锁定了。在某些医疗设备上,这可能会破坏它的预期用途,而我们的工作——这也是工作中有趣的一部分——要弄清楚,‘如果我们不能做那种控制,还有什么别的控制手段可以降低风险?’”。
尽管医疗硬件的独特需求已引起了创造性的新安全控制措施,但由于缺乏足够的激励结构,这一举措往往受到损害。
目前的监管和过去的水平相比虽然是突飞猛进,但并不总是能够阻止制造商忽视潜在威胁生命的漏洞,尤其是在这样一种情况下,谢天谢地,目前还没有先例说明无监管环境下会发生什么。
“我不认为这是故意的,但请想一想:如果我是设备制造商,而且我的设备出现了故障,我是否会提交一份政策,对每台设备进行深入的取证调查,以查找恶意软件?”Dameff问道。
“答案是否定的”他说,“因为一旦我发现存在漏洞以及折中方案,我就必须向FDA报告,这可能会导致过高的召回和罚款等等。因此,找到这些类型的患者伤害情况的动机,根本就不存在”。
在某些方面,缺乏激励是最好的情况,因为目前的监管框架将资源从形成整体安全态势上转移开,有时还彻底排除了发现缺陷的途径。
在医疗保健监管方面,没有哪项立法比《健康保险携带和责任法案》(更广为人知的名称是HIPAA)的规模更大。毫无疑问,它在数字时代的患者保护方面具有里程碑意义,但其对隐私的独特关注,以及其问世时间比广泛的医疗物联网更早的事实,已经对设备安全产生了一些意想不到的有害后果。
Dameff直言不讳地表示,当侵犯患者数据的隐私时,公司要比违反设备的安全控制付出更多的代价,因此公司也会相应地考虑其优先级。
“医疗保健公司害怕HIPPA的强硬责罚,这推动了所有的安全对话”他说,“保护患者的医疗信息可以获得他们所有的资源,因为冒着违规的风险,将会以美元和美分的形式付出代价”。
HIPAA的卓越地位不仅使其在规模上倾向于压倒性地解决隐私问题,而且有时还会完全阻碍安全研究。在隐私和安全相互排斥的情况下,HIPAA规定隐私获胜。
“如果设备出现故障,我们必须将其发回设备制造商以弄清楚它到底怎么了,原则上由于HIPAA的缘故,他们会擦除硬盘驱动或移除硬盘驱动,然后才会将硬盘发往他们手中”Dameff说。
“根据政策,那些出现严重故障的设备会被送回制造商手中的时候,它们甚至无法使用操作系统,而操作系统是故障所在的软件”他指出。
治疗时机
尽管医疗物联网安全问题涉及许多方面,但仍有令人鼓舞的迹象表明,该行业已经找到了立足点,并围绕着下一步进行整合。其中一个广受好评的进程便是FDA发布的两份指导文件:《可互操作医疗设备的设计考虑和上市前提交建议》和《医疗设备网络安全的上市后管理》,或者简称为“上市前指导和上市后指导”。
Woods表示:“我得说,FDA在指导医疗设备制造商如何解释法规,FDA又是如何解释法规方面已经取得了很大的进展”。
“因此,当FDA发布了诸如医疗设备网络安全上市前指南或医疗设备网络安全上市后指南之类的内容时,这有助于监管方和设备制造商在构建设备时考虑到如何利用这些经验教训”他补充道。
除了敷衍地遵守指南的要求外,一些参与者还提出,要将他们列出的一些可选建议纳入其中。强生公司的Morgan表示,他的团队已经从与FDA相辅相成的关系中受益。
他说:“从我们的角度来看,过去几年我们已经完成了很多工作,这些工作最初是通过FDA推动的。我们与他们密切合作——我们与FDA网络安全团队建立了非常紧密的合作关系——通过围绕上市前和上市后的指导文件的启动……我们的质量体系出现了一些变化,我们正把它们真正地融入我们的质量体系中”。
监管机构和制造商之间的这种合作氛围对于加强整个行业的安全至关重要,因为它改变了从争夺竞争优势到确保患者基本安全水平的动态。
Morgan建议,合作不应该,也不会很快停止。由卫生部门协调委员会牵头的一个正在努力进行的项目是创建一个“医疗手册”,由医疗服务提供者、设备制造商、行业协会和其他相关人士机构提供的专业知识组成。
它将为各类组织提供指导,告诉它们可以采取哪些措施来改进安全实践。通过传播来自大公司的操作知识,较小的公司可以征求到所收集的智慧。
同时,除了现有的指导文件之外,还可以从医疗保健之外的信息安全和开发者社区,学习和吸收到很多东西。
考虑到由于监管监督而导致的开发和发布之间的滞后,对于制造商来说,第一次就正确地处理好这一问题就显得更为重要,这意味着将安全从补充性工作转变为开发所固有的工作。
“我认为我们不需要医疗安全专家。我们只是需要将这些好的实践从一开始就融入到设备的架构、工程和操作中去”I Am The Cavalry的Woods表示,“我认为,这需要对我们一直认为的传统方式进行一些反思”。
医疗设备开发商采用这种方法的方式是进一步吸引和整合独立的研究团体,Dameff补充道。
“我认为你需要对安全研究人员的投入和你的设备的独立安全测试保持开放的态度,然后才能进入市场”他建议道,“即使设备制造商为它发布了一个补丁,医院可能也不会真的部署它。所以我们需要做大量的前期工作,使这些产品在上市之前尽可能安全”。
正如上个月黑帽大会上演讲所显示的那样,尽管一些公司在处理来自独立研究人员披露的错误问题越来越适应,但一些公司依然顽固不化。主讲人表示,在收到通知后已超过500天,他们披露的制造商仍然没有采取行动。
“有很多可怕的故事”Dameff说,“我觉得医疗设备制造商意识到他们不能轻视研究人员了……这情况已经太多了,部分原因是现在的医疗设备有DMCA的豁免权”。
DMCA(即千禧年数字版权法)规定,测试医疗设备的诚实研究人员不必承担探索专有软件的法律风险,而专有软件是漏洞赏金猎人的生命线。
然而,对于研究人员来说,充分利用豁免是很重要的,不仅制造商会认真对待他们的投入,而且业界及其监管机构也会允许他们尽可能多地获取现实世界的数据。
Woods的组织——I Am The Cavalry,概述了满足这些要求的措施。
Woods说:“我在I Am The Cavalry了解到希波克拉底宣言,从中得到的一个东西便是,一种绝对可靠的证据捕捉能力,它可以让你捕捉到潜在的安全问题,或者任何设备的真正故障,以一种保护隐私的方式”。
“因此,我们不会为了安全而放弃隐私,因为我认为它们不是相互排斥的”他继续说道,“但关键是能够从设备上获取所需的日志和信息类型——比如固件状态、是否被篡改、是否最新版本、是否有额外程序以及存在意料之外的软件”。
最后,正如Morgan所说,所有这一切都必须满足维护提供者的需求,只有让他们充分参与到对话中才能实现这一点。
“我们面临的最大挑战之一是上市后管理”他指出,“我们如何才能在客户环境中更好地将安全补丁部署到设备上?客户环境各不相同,因此我们必须与客户不断地沟通,从他们那里了解到他们想从我们这里得到什么,他们的期望是什么,以及我们如何能更好地与他们合作,推出补丁,营建他们想要的东西,这样我们就能一起不断地降低风险”。
安排检查
最终,解决医疗设备安全状况不佳的问题,就像诊治患者一样:整体治疗必须是全面的,各种治疗措施不得冲突。
在监管机构、制造商和供应商达成一致的方面,安全状况已得到明显改善。而正是他们观点发生冲突的地方,情况仍有待改善。
