医疗设备网络安全规则发布

受到恶意软件影响，Lincolnshire各家医院的手术被迫延迟

黑客“不断”瞄准医疗设备和医院，美国联邦食品药品监督管理局（US Federal Drug Administration，FDA）警告称。这项警告进入了FDA最新规定，即医疗器械制造商应该如何应对网络威胁。该监督部门称，制造商应该一直保持警觉，并保障能能够弥补在他们产品中发现的漏洞。这些规定于今年底出台，是因为这一年来，许多医疗设备和医院的安全漏洞遭到了恶意软件的攻击。

死亡警告

“网络安全威胁是实实在在的、会不时袭来的、而且伎俩层出不穷。”FDA医疗器械与辐射健康中心副主任Suzanne Schwartz博士在博客中写到。“医院的网络一直在经受入侵和攻击的威胁，会给患者的安全带来风险。”要应对医院设备或患者穿戴的设备上的威胁，制造商需要考虑产品整个生命周期的数据安全问题，Schwartz博士写到。

另外，她说，它们需要：

持续监测各种威胁

测试其设备所运行代码的弱点

评估产品可能带来的潜在危险

确保它们能够通过更新软件来堵住任何漏洞

她说，制造商还应该习惯于和网络安全研究人员合作，因为后者可以详细检查医疗设备有什么漏洞。而在过去，有些研究人员在指出某个漏洞后，受到过起诉的威胁。

实际上，他们在包括除颤器和药物注射泵在内的许多产品中都发现了问题。有些人还记录了核磁共振成像扫描仪（MRI）等更大型医疗器械所受到的攻击。2016年，许多医院还成为了勒索案的受害者。有人通过软件把医院的数据变成乱码，并要挟医院给钱才能恢复这些数据之前的状态。在一些案例中，手术和其他进程被迫取消，因为计算机系统因恶意软件而瘫痪。

“随着黑客越来越精明，这些网络安全风险会加剧。”Schwartz博士写到。

许多人使用可穿戴设备或植入设备管理糖尿病等疾病

FDA指出，这些规定不具有法律约束性，而只代表该部门对制造商的建议。但是，该指南称，如果产品漏洞导致某人受到伤害或者致死，制造商应该通知监管者。

数据安全研究人员Beau Woods说，FDA一直以来都在协调医疗机构、制造商和网络专家就如何解决和修正医疗设备漏洞进行对话。“如果你看看过去几年的总体趋势，就会发现我们正在越做越好，比以前修正漏洞的速度更快。”Woods先生说。他是“我是骑兵”（I Am The Cavalry）组织的成员，该组织的工作是研究影响公共安全的网络议题，并提出建议。

这让许多制造商采取了很好的漏洞披露计划，也让购买大量医疗设备的机构向供应商提出了更高的标准。

然而，包括医院在内的各种机构高度连接，意味着未曾想过会联网的设备现在也上网了，他说。Woods先生还说，他见过那些本来目的是窃取个人信息的网络攻击，无意间竟让监视关键生命体征的旧型号仪器停止工作。“这种事情的发生比隐藏在暗处的黑客更让我感到害怕。”Woods先生说。他还是大西洋理事会（Atlantic Council）智库网络国家管理项目（cyber statecraft initiative）负责人助理。

FDA新规是在拉斯维加斯大型CES科技展开幕前几天颁布的。帮助人们健身或管理糖尿病等慢性病的产品将会在这次科技展上大量展出。