该安全补丁已经发布,用以修复为支持紧急护理而设计的硬编码解锁代码。这显示了植入设备在人身安全和信息安全方面现存的矛盾。医疗设备常常需要具备急诊救治功能,因此患者们可以在有需要的时刻得到可能挽救生命的治疗。然而,这一功能也有安全隐患,它可能被不法分子利用,进而造成严重后果。在产品研发过程中找到平衡点,化解这个矛盾必不可少。这也解释了为什么需要一个全面、系统的项目来确保安全性。这一点软件安全构建成熟度模型(BSIMM)也指出过。
总的来说,医疗产品可以为患者提供便利,但同时也带来了一定的风险。最广为人知的风险即是处方药的副作用。举个例子,止咳药在缓解咳嗽的同时也会导致少数人群出现嗜睡的生理反应;外科手术也相似。医生会和患者解释手术的裨益,也会说明潜在的风险,比如术后感染。这些风险有时非常可怕,不过它们发生的概率极小。在这些例子中,医生和患者之间有关手术利弊的讨论是以科学研究为依据,风险会根据真实病例归类,用百分比表示出来。大多数人可以理解“千分之一的人会产生嗜睡反应”的概念,在知情的情况下做出决定。
但是,这类数据并不存在于安全漏洞中。因此,患者与其医生之间的利弊讨论不是基于经验证据。医疗行业需要一套能分析安全性利弊的替代方案。
应对安全性问题
医学设备行业发布补丁通常周期都很长。尽管美国食品药品监督管理局已经说明那些严格针对安全漏洞的发布不再需要遵循同样的质量体系规定流程,但是制造商仍有责任确保他们的系统更新安全有效。换句话说,安装的软件补丁仍需要严格的分析、研发、认证和验证,以确保其按预期运行并且不会引入新的风险。补丁可能会产生不利的影响(比例高达30%),近期发生的Spectre 及 Meltdown处理器安全漏洞就是很好的例子。制造商需要实行必要的测试以确保所有修补都能正常运行。
医疗设备安全主要涉及识别和减少风险。制造商需要在整个研发生命周期融入信息安全风险管理,这个流程的重要性和人身安全风险管理是一样的。这意味着他们需要开展结构风险分析、威胁模型分析、自动代码审查以及安全测试等活动。
这是一个广泛涉及医疗护理和信息安全问题,就像修补单个设备一样。这里有一份骇人的数据:三分之一的医疗应用程序毫无隐私条款;三分之一会与第三方共享信息;另外三分之一则完全没有采取加密方式来保护用户信息。有鉴于此,许多人建议医疗护理行业应该对个人隐私管理进行变革。
如果你在下载一款医疗应用程序,那么你极有可能在毫不知情的情况下泄露了个人信息。虽然医疗应用程序在上市前必须进行加密,但它们大部分都不满足这一条件。消费者应该明白,要获得这些移动医疗应用程序的好处,他们将失去对其私人健康数据的控制权。
此外,想象一下,你无意中通过移动应用程序提交的数据,却用于将你的生物信息与潜在的医学疾病联系起来。这信息是否应该传达给你?应该如何呈现?甚至你想知道自己是否在追求一些可能不会发生的事情吗? 总而言之,安全性可以推动新型医疗模式的发展,为患者带来巨大利益,但同时也是许多困扰的根源。为了让患者充分受益,信息安全性必须成为医疗机构的首要关注点。
本文来源于DOIT传媒,文章内容仅供参考,不构成投资建议。
评论列表