FDA试点项目引发了关于医疗物联网安全风险的问题

物联网(IoT)是医疗机构接收非结构化大数据的重要组成部分。保护来自医疗物联网设备的输入,以维护数据隐私和防止数据泄露至关重要。美国食品和药物管理局(FDA)最近的一项决定将使医疗机构的大数据托管人更复杂,难以跟上这些设置中使用的所有物联网设备的步伐,并确保设备传输的数据是安全的。

FDA在2017年7月宣布,它将通过评估解决方案背后的公司,而不是实际的解决方案,来加快数字医疗设备的监管审批过程。根据该提案,预认证的公司将不需要为每个新的数字健康产品提供相同水平的上市前数据,一些“低风险”工具根本不需要任何上市前数据。根据提议的“快速通道”计划,最初获得资格预审的公司包括苹果(Apple)、Fitbit和三星(Samsung)。

该项目的目标是让公司能够更快速地开发技术,同时避免FDA的标准申请和批准程序,从概念到市场可能需要3-7年的时间。此外,它允许新的医疗技术更快地向公众开放,同时减少了与开发相关的时间和成本。

然而,该计划在设备和数据安全领域提出了新的风险。

参见:企业物联网研究2017:利益、趋势和安全担忧(Tech Pro Research)

“这些风险主要分为三类,”网络安全和公共安全解决方案提供商的首席执行官安特万耶·福特(Antwanye Ford)说。“一个是兼容性,因为如果不同的公司正在创建不同的传感器来跟踪心率、运动、血氧和葡萄糖等数据,这些工具可能适用于不同的协议,因此与其他传感器不兼容,不能全面向医疗服务提供者提供数据。”第二个是未知的漏洞,因为在研发新设备的过程中,网络安全往往是事后才想到的,这会导致漏洞,可能会导致患者的私人健康记录数据被泄露。第三个是医疗风险,因为如果一家公司对设备如何与人体互动的假设是错误的,它可能会导致严重的伤害。”

如今,通过对某些协议进行标准化以使设备具有互操作性,可以降低这些风险;此外,制造商和网站通过渗透测试和同行审查设备来检测数据泄露。医疗风险是通过一个强大的过程来检查,看看新设备对人体有什么影响。如果实现快速通道,这些检查点功能中的许多可能成为危险区域。

福特说:“如果实施快速通道,公司和医疗服务提供商可以采取的一个步骤是网络验证过程,这将提供一种方法,使设备和系统可以由独立的评估人员进行认证,以满足网络安全标准。”像NIST 800 53和NIST 800-171这样的标准可以被修改以满足认证的关键要求。实施这一快速通道网络认证过程将确保通过快速通道过程的设备和系统免受网络威胁,并准备投入公开市场。”

福特相信,“快速网络验证”程序可以在3-6个月内进入试点阶段,并在9-12个月内得到全面采用。但是,企业会追求这一目标吗?

福特承认:“有些公司不希望看到官僚作风阻碍快速通道的进程。”“克服这些障碍可以通过展示安全设备的价值主张(例如,市场接受度,安全因素)来实现,同时允许NIST等标准委员会与试点项目并行工作。”

参见:特别报告:物联网与移动世界的网络安全(免费PDF) (TechRepublic)

设备制造商是否会采取快速通道的网络验证过程仍有待观察。随着市场上新设备的不断涌现,医疗机构的大数据管理者和IT经理们不得不重新思考他们对即将到来的物联网数据的安全措施。

福特说:“公司能采取的最佳步骤是确保他们有一份维护协议,在那里他们可以接触到设备制造商的所有维护活动。”“拥有强大网络程序的公司可能会定期发布补丁,以保护设备基础设施的‘漏洞’。”

IT部门可以采取的另一个步骤是,要求供应商遵循他们自己的内部安全和治理标准,特别是在未决的大合同的情况下。

最后,应该检查进入企业的连接点。

福特说:“今天,许多网络攻击的发生是因为一个安全网络的连接点不安全,从而为网络威胁引入了途径。”“这就像在你的房子里安装了一个安全系统,但没有保护地下室的入口。”

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。