编者按
2022年3月,为进一步规范医疗器械网络安全相关管理,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》,对于医疗机构普遍存在的“医疗器械网络安全管理难”问题提出了新的要求,立即引发了医院信息部门的广泛关注与讨论。
HIT专家网专栏作者刘新平主任曾先后担任医院医疗设备部门、信息管理部门负责人。在本篇专栏文章中,她以医疗设备管理者和信息管理者的双重身份,对医疗设备网络安全问题进行了深入剖析。
针对医疗器械网络安全新规,欢迎更多同行来稿发表观点、看法。
河北医科大学第一医院首席信息官 刘新平
2021年,国家卫生健康委、国家中医药管理局联合印发的《公立医院高质量发展促进行动(2021-2025)》指出,公立医院要将建设电子病历、智慧服务、智慧管理“三位一体”的智慧医院信息系统作为医院基本建设的优先领域。
智慧医院是物联网在医疗行业的实际落地场景:利用先进的物联网技术,将各类医疗器械产生的患者生命体征、检查检验数据自动上传到智慧医院信息系统,从而实现患者与医护人员、医疗机构、医疗设备之间的信息交互。今天,医院业务网络日益发达,日常诊疗业务的数据来源日益丰富,接入医院医疗网络的医疗器械越来越多。据不完全统计,一所三级医院接入医疗业务网的设备有十几个类别,数量可达几百台,包括:CT、MR、DSA、ECT、SPECT/CT、PET/CT、PET/MR、DR、乳腺机、超声仪、内镜检查等医学影像设备;生化、检验、免疫、微生物、病理类等医学检验设备;中央监护仪、床旁生命体征检测仪、心电网络、身高体重仪、肺功能仪等电子类设备;呼吸机、麻醉机、注射泵等急救设备;床旁血滤机、血液透析网络等治疗设备;眼科、耳鼻喉科等检查设备;AI辅助诊断软件、医学影像后处理工作站等。但是,医疗设备接入内网的安全管理一直是被忽视的问题,医疗设备终端的网络安全也是管理难点。目前大部分医院医疗设备的采购、安装调试、运维服务均由医疗设备采购和运维部门管理,信息部门负责分配IP。由于医疗设备软件的封闭性,难以安装终端杀毒软件、防火墙等,一直游离于网络终端准入管理和远程访问控制之外,存在较大的网络安全隐患。医疗设备的网络安全防范成为摆在医疗机构面前的重大课题。从医院网络安全管理视角分析,医院设备主要存在以下“三不一难”风险。医疗设备资产众多,大多缺乏统一的接入内网的安全管理措施:一些没有经过允许的终端轻而易举地接入内部网络,造成医院数据泄露和病毒攻击的风险,对医院网络安全形成极大威胁;即使权限正常的物联网终端,也容易私自连接有危险的外网,破坏内网环境,导致潜在的安全风险。医疗设备的操作系统版本往往比较老旧,普遍存在安全漏洞,且因为医院设备大多是定制化系统,用户自己是没有办法修复这些漏洞的。医院实际存在的弱口令、长期不关机及拔插U盘等现象,极易成为感染勒索病毒的主要风险点。医疗设备的远程运维不可见往往会引起相关的热点事件。医疗设备供应商主动提供全球运维服务,典型的有西门子、GE、飞利浦、迈瑞医疗等。大型医疗设备配备外网通信组件,通过远程连接到云端,境外运维厂商的运维云平台可能遭受外部攻击或内部泄密,厂商远程运维常态化不受控,敏感数据存在泄露风险。对医院来讲,远程运维就是个“黑盒”,运维工程师做了什么操作、有没有将数据发送出去,院方不可掌控。或者由于运维厂商自身弱口令等原因,也有可能被入侵,导致患者敏感数据泄露。医疗设备终端数量非常多且类型繁杂,设备科室增加设备和更换较为频繁,管理人员很难有效进行管理。且在医疗设备的采购和部署阶段,从信息管理部门的视角来看,往往不清楚各科室有什么医疗设备及设备的安全状况。医院信息管理部门、设备采购部门、设备运维部门之间存在“管理孤岛”现象,难以进行终端资产的统一管理和安全管控。在国内外医疗领域的网络安全事件中,不乏医疗设备数据被窃取、医疗设备参数被篡改的问题发生,网络安全漏洞甚至会导致呼吸机、注射泵等急救设备的参数被黑客在线调整而危及患者生命。近年来,国家市场监督管理总局、国家标准化管理委员会相继发布《信息安全技术 物联网感知终端应用安全技术要求》(GB/T 36951-2018)和《信息安全技术 物联网感知层接入通信网的安全要求》(GB/T 37093-2018)。上海、深圳、浙江、河南、山东、湖北、福建、云南等地纷纷发布《关于进一步加强具有联网功能的医疗设备安全管理的通知》,标志着医疗设备的安全管理进入了全新的阶段。2022年,国家食品药品监督管理局发布了《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则》),明确医疗器械网络安全是网络安全国家战略的重要组成部分,医疗器械网络安全亦应符合网络安全相关法律法规和部门规章的要求;明确医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一,在注册准入阶段,采取设备操控系统和患者诊疗数据分离等有效措施,保持医疗器械相关数据的保密性、完整性和可得性,以及真实性、可核查性、抗抵赖和可靠性等;要求厂商定期开展医疗器械网络安全漏洞风险评估工作,建立网络安全事件应急响应机制,将网络安全纳入医疗设备的全生命周期管理;另外,也对“远程维护与升级”和“遗留设备”的管理明确了指导原则,意味着在医疗设备全生命周期,厂商和医疗机构均应共同遵守委托授权的远程维护方式,从而最大程度地保障医院网络安全、降低数据安全风险。针对医疗设备接入业务网络的安全风险,医疗机构应从技术防控和内部管理两个方面入手加以防范。中国信通院发布的《2021年医疗物联网安全研究报告》指出,医疗物联网安全不是单一维度可以解决的,需要从设备自身、软件开发设计、数据安全管控、安全运营等多维度综合考量。经过对国内外主流技术路线的详细分析,以及国内落地案例的详细调研,笔者认为,可形成以“物联网安全网关+物联网安全管理平台”为核心的医疗设备安全解决方案,兼顾有效性及落地性,采用“四步一体”的思路,分别依次解决物联网最关键的四大安全问题。具体建设内容分为摸清家底、发现风险、有效管控、闭环处置四部分内容,具体建设方案如下:全面、准确的资产发现与识别,是有效安全保护的前提条件。应采用网络流量的被动分析技术,提取并分析得出具体的设备信息,包括:硬件ID、名称、型号、IP地址、MAC地址、厂商、发现时间、认证状态、使用者等。需要识别众多终端,包括安防监控类、医疗设备类、办公类、网络类等,且可管理的终端数量应不断积累和更新。在梳理全院资产的基础上,通过扫描等方式发现医疗设备自身的安全隐患,包括但不限于设备漏洞、弱口令、配置不当等,并及时消除隐患,避免被黑客攻击利用。同时监测分析医疗设备与数据中心业务系统的网络交互行为,以确保设备为正常运行状态。一旦出现被远程控制、入侵等异常行为,要能够快速发现并报警。要对医疗设备进行有效管控。通过准入控制技术,对所有新接入的设备进行身份合法性确认,只有确认是医院新采购的医疗设备,或合法的厂商运维人员,才能通过审批入网;除此之外的外部不可信设备或仿冒替换设备无法接入医院网络。最后是“闭环处置”,通过统一的物联网安全管理平台监测医疗设备的运行安全状态,并在发现威胁或异常后能够远程进行快速联动处置,最终构建起医院医疗设备安全控制体系,有效保障医院诊疗业务的平稳安全运行。2.跨部门协作,加强医疗设备安全风险控制的管理措施医疗设备的网络安全全生命周期管理,需要跨部门协作,包括:医疗设备采购部门、信息管理部门、负责医疗设备运行期运维的医工部门、临床使用科室、医疗设备类资产处置管理部门等。医院应高度重视医疗设备的网络安全,将医疗设备的网络安全纳入医院“网络安全与信息化领导小组”的重点工作,结合自身实际情况,建立健全医疗设备安全风险控制制度和管理流程,从医疗设备安装调试接入开始到医疗设备的报废处置进行全生命周期网络安全风险管理,关键环节如图1所示。(1)打破医疗设备采购部门、医疗设备运维部门、信息管理部门、医疗设备类资产报废处置管理部门和临床使用科室的管理孤岛,共同学习贯彻《指导原则》相关要求,梳理医疗设备全生命周期网络安全的风险点,达成共识,联合制定《医疗设备业务网络准入制度》,规范医疗设备接入信息系统流程。(2)医疗设备采购部门应在采购阶段落实《指导原则》,将医疗设备网络安全全生命周期管理的各项要求纳入招标文件和合同条款,强化网络安全违约代价,明确生产商和运维服务商的网络安全责任。(3)在医疗设备接入网络的安装调试阶段,信息管理部门应对网络安全风险进行评估后分配IP地址,并将医疗设备纳入网络资产管理。(4)医疗设备使用科室应指定医疗设备网络安全管理责任人,信息管理部门和医疗设备部门联合对医疗设备使用科室进行网络安全培训,并与使用科室责任人签订《医疗设备业务网络准入安全责任书》,确保医疗设备使用期间的网络安全措施落实到位。医疗设备使用科室应制定医疗设备网络安全事件应急预案并定期演练,确保在医疗设备出现网络安全事件时及时报告、及时处置,最大限度减少损失,最快速度追踪事件源头、遏制事态蔓延。同时启动诊疗应急预案,确保患者得到及时诊疗,维持正常的医疗秩序。(5)医疗设备运维管理部门应依据《指导原则》的相关要求,建立健全《医疗设备运行期的网络安全标准化作业流程》,落实医疗设备准入、医疗设备远程运维授权与审计、医疗设备定期网络安全评估和风险识别、医疗设备移机、医疗设备报废处置等关键环节的网络安全控制和数据保护。(6)信息管理部门应依据《指导原则》的相关要求,建立健全《医疗设备网络安全管理制度》,对医疗设备进行专网管理,并纳入网络安全等级保护测评范围。网络安全员动态管理医疗设备IP的准入、异动和注销,闭环管理医疗设备网络异常数据,及时识别并控制风险。(7)医疗设备类资产报废处置管理部门应高度重视医疗设备报废处置环节的患者诊疗数据安全问题,建立健全《医疗设备诊疗数据安全管理制度》,在医疗设备处置前应确保对诊疗数据备份后,对存储介质进行物理销毁并做好记录,备份数据应妥善保存,明确管理责任,防止患者诊疗数据的泄漏。(8)医院网络安全与信息化领导小组应将医疗设备的网络安全纳入年度督导检查的范畴,对跨医疗设备网络安全全生命周期各环节的制度和流程落实情况进行检查,发现问题责令限期整改,并对整改情况进行追踪复核,确保改进到位。医疗设备覆盖全院各个科室,涵盖患者就诊的各个环节,其网络安全问题是需要多个部门高度协同方可完成的工作。为保证医院信息系统安全正常工作,必须以跨部门流程管理的思维建立医疗设备网络安全体系,保障医院信息网络系统的稳定、安全运行。当前,大部分医疗机构的医疗设备采购部门、医疗设备运维部门、信息管理部门、资产管理部门职能独立,这是建立医疗设备网络安全管理体系需要首先克服的挑战。作为医工技术密集型的医疗设备采购部门和运维部门,应加强网络安全知识的学习,强化网络安全意识,主动承担起医疗设备网络安全管理责任。刘新平,河北医科大学第一医院首席信息官,浙江大学生物医学仪器专业毕业,北京交通大学工商管理学硕士。2015-2021年曾任河北省人民医院信息管理处处长,2002—2014年曾任河北省人民医院医疗设备处处长。社会任职:中国医院协会信息专业委员会委员、河北省电子病历应用水平分级评价评审专家组组长、河北省临床医学工程学会副秘书长、河北省临床医学工程学会信息化分会副主任委员。发表论文20余篇,获河北省科技进步二等奖一项、河北省医学科技一等奖一项,主持在研《新冠肺炎疫情下医学影像检查自助就诊模式的研究》《医疗废弃物信息化监管平台在疫情防控体系中的建设与应用》等项目,设计并主持开发医疗设备类资产管理信息系统、医院物流供应链管理云体系、生命支持与急救设备管理系统、合理收费审计管理系统、手术室出入管理系统等多个业务系统。HIT专家网∣致力推进中国卫生信息化长按二维码可申请加入HIT专家网专业交流群
寻求“商务合作”,长按二维码可快速与我们取得联系
投稿:gong_chen@HIT180.com
商务合作:(010)82373062
本公众号原创文章,版权归原作者所有。
未经许可,谢绝转载或以其他形式使用文章内容进行传播。