您的瀏覽器似乎不支援JavaScript語法,但沒關係,這裡的JavaScript語法並不會影響 到內容的陳述, 如需要選擇字級大小,IE6請利用鍵盤按住ALT鍵+ V → X → (G)最大 (L)較大(M)中(S)較小(A)小,來選擇適合您的文字大小, 而IE7或Firefox瀏覽器則可 利用鍵盤 Ctrl + (+)放大(-)縮小來改變字型大小,如需要回到上一頁可使用瀏覽器提 供的 Alt+左方向鍵(←) 快速鍵功能,列印可使用瀏覽器提供的(Ctrl+P)功能。
News Detail Banner

美國FDA發布醫療裝置網路安全準則草案

美國食品暨藥物管理局 (U.S. Food and Drug Administration, FDA) 於1/15發布醫療裝置上市後的網路安全管理安全準則草案,以確保醫療裝置整個生命周期的安全狀態。該準則主要是用來建議醫療裝置製造商所應採取的措施,以用來解決網路安全的風險,保護病患的安全與公共健康,包括在醫療裝置進入市場之後還能持續監控、辨識及修補這些裝置的安全漏洞。FDA表示,醫療裝置的網路安全威脅愈來愈受重視,駭客所利用的網路安全漏洞也對醫療裝置的安全性及有效性帶來風險,雖然製造商可在產品設計時就嵌入各種安全控制,但製造商也應負起維護裝置安全的責任,確保醫療裝置整個生命周期的安全。
 
FDA科學暨策略合作夥伴副主任Suzanne Schwartz表示,所有醫療裝置均有內建軟體,同時連結到醫院與醫療照護組織,此次的準則草案是希望製造商能夠在產品上市後仍能持續監控及解決網路安全問題,以防病患遭受網路威脅。該草案建議製造商提出主動方案來評估網路安全漏洞,並進行資訊分享,同時建立系統化及結構化的網路安全風險管理方案。資安業者TrapX在2015年曾出版醫療裝置的綁架分析報告,指出醫療裝置為醫院網路鏈中最脆弱的一環,且個人健康保險憑證的資訊在黑市價格可能是信用卡的20倍,導致醫療裝置已成為駭客攻擊的主要目標。醫療裝置通常執行封閉、老舊且缺乏更新的作業系統,而FDA亦規定醫院不得擅自開啟系統或在裝置上安裝第三方軟體,若駭客繞過防火牆及防毒軟體以在裝置上嵌入惡意程式,通常只能仰賴製造商來解決。TrapX斷言大部份的醫院皆已受到惡意程式的感染,而且已經年累月卻未曾被發現,建議醫院要求製造商提供裝置的偵測、治理與更新服務。
 
另外在2015年,Neohapsis的滲透測試工程師Mark Collao與Protiviti聯合總監Scott Erven在Derbycon 2015駭客會議上揭露,網路上可以輕易搜尋到數百個可公開存取的醫療系統,其中一個醫療系統的伺服器上存有6.8萬個醫療裝置的詳細資訊,這兩名工程師還建立了10台偽裝成醫療系統的電腦,總計遭受299次的惡意程式攻擊與24次的漏洞攻擊。醫療裝置的安全性議題逐漸獲得關注,所有的軟體都有漏洞,連網則增加了被入侵的風險,基於軟體的連網醫療裝置當然是容易受駭的系統,而且醫療裝置的安全風險不僅攸關病人的隱私,也會對病人的生命安全造成威脅,各國都應開始積極重視醫療裝置的網路安全性。

Reference

資料來源:
http://www.fda.gov/NewsEvents/Newsroom/PressAnnouncements/ucm481968.htm
http://www.irongeek.com/i.php?page=videos/derbycon5/break-me14-medical-devices-pwnage-and-honeypots-scott-erven-mark-collao
http://www.ithome.com.tw/news/96661
http://www.ithome.com.tw/news/99060
http://www.ithome.com.tw/news/103343
行政院國家資通安全會報技術服務中心整理
 
Publish Date
2016/2/2 0:00:00