TNUA資通安全
||最新公告||資通安全||微軟資安||檢查防護軟體||資通安全法律案例宣導彙編||
 
[資通安全]美國FDA發布醫療裝置網路安全準則草案

 
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全
上一篇主題 :: 下一篇主題  
發表人 內容
chw
Site Admin


註冊時間: 2006-01-02
文章: 180

發表發表於: 星期二 三月 01, 2016 11:26 am    文章主題: [資通安全]美國FDA發布醫療裝置網路安全準則草案 引言回覆

美國食品暨藥物管理局 (U.S. Food and Drug Administration, FDA) 於1/15發布醫療裝置上市後的網路安全管理安全準則草案,以確保醫療裝置整個生命周期的安全狀態。該準則主要是用來建議醫療裝置製造商所應採取的措施,以用來解決網路安全的風險,保護病患的安全與公共健康,包括在醫療裝置進入市場之後還能持續監控、辨識及修補這些裝置的安全漏洞。FDA表示,醫療裝置的網路安全威脅愈來愈受重視,駭客所利用的網路安全漏洞也對醫療裝置的安全性及有效性帶來風險,雖然製造商可在產品設計時就嵌入各種安全控制,但製造商也應負起維護裝置安全的責任,確保醫療裝置整個生命周期的安全。

FDA科學暨策略合作夥伴副主任Suzanne Schwartz表示,所有醫療裝置均有內建軟體,同時連結到醫院與醫療照護組織,此次的準則草案是希望製造商能夠在產品上市後仍能持續監控及解決網路安全問題,以防病患遭受網路威脅。該草案建議製造商提出主動方案來評估網路安全漏洞,並進行資訊分享,同時建立系統化及結構化的網路安全風險管理方案。資安業者TrapX在2015年曾出版醫療裝置的綁架分析報告,指出醫療裝置為醫院網路鏈中最脆弱的一環,且個人健康保險憑證的資訊在黑市價格可能是信用卡的20倍,導致醫療裝置已成為駭客攻擊的主要目標。醫療裝置通常執行封閉、老舊且缺乏更新的作業系統,而FDA亦規定醫院不得擅自開啟系統或在裝置上安裝第三方軟體,若駭客繞過防火牆及防毒軟體以在裝置上嵌入惡意程式,通常只能仰賴製造商來解決。TrapX斷言大部份的醫院皆已受到惡意程式的感染,而且已經年累月卻未曾被發現,建議醫院要求製造商提供裝置的偵測、治理與更新服務。

另外在2015年,Neohapsis的滲透測試工程師Mark Collao與Protiviti聯合總監Scott Erven在Derbycon 2015駭客會議上揭露,網路上可以輕易搜尋到數百個可公開存取的醫療系統,其中一個醫療系統的伺服器上存有6.8萬個醫療裝置的詳細資訊,這兩名工程師還建立了10台偽裝成醫療系統的電腦,總計遭受299次的惡意程式攻擊與24次的漏洞攻擊。醫療裝置的安全性議題逐漸獲得關注,所有的軟體都有漏洞,連網則增加了被入侵的風險,基於軟體的連網醫療裝置當然是容易受駭的系統,而且醫療裝置的安全風險不僅攸關病人的隱私,也會對病人的生命安全造成威脅,各國都應開始積極重視醫療裝置的網路安全性。

資料來源:國家資通安全科技中心
http://www.nccst.nat.gov.tw/NewsRSSDetail?lang=zh&RSSType=news&seq=15455
回頂端
檢視會員個人資料 發送私人訊息
從之前的文章開始顯示:   
這個版面已經被鎖定了, 您無法在這個版面發表, 回覆或是編輯主題   這個主題已經被鎖定了, 您無法在這個主題編輯文章或是回覆    TNUA資通安全 首頁 -> 資通安全 所有的時間均為 台灣時間 (GMT + 8 小時)
1頁(共1頁)

 
 

電算中心-網路組