责任分散、资产库存不足导致医疗器械网络安全存在漏洞

快速阅读: 据《Cyber Scoop 独家新闻》最新报道，专家在国会听证会上呼吁建立全国医疗设备行业地图，以便更好地追踪和管理网络安全漏洞。目前，设备位置和安全状态不明，沟通链条常中断。资产清单缺失是关键基础设施领域的难题，设备转售时的安全隐患需重视。

周二，在国会召开的关于医疗设备网络安全的听证会上，专家呼吁加强针对全国范围内使用的医疗设备进行更主动的追踪，称目前的情况让许多医疗系统的所有者和运营商对漏洞、利用及补丁更新一无所知。

在众议院能源和商业委员会的监督与调查小组作证时，加州大学圣地亚哥健康中心的克里斯蒂安·达姆夫博士向议员们指出，当某种药物在患者身上引发不良反应，或者发现医疗设备的临床功能存在缺陷时，已有明确程序用于通知医疗服务提供方。然而，目前却不存在类似系统来盘点全国各地诊所所使用的老旧联网医疗设备。他提到，主要原因在于“很难确切知道这些设备的具体位置”。

达姆夫坦言：“据我所知，对于医生、护士以及其他在临床实践中可能使用此类医疗设备的人来说，他们对这些漏洞的相关信息传播极为有限。”

当医疗设备出现漏洞时，通常是设备制造商通知医院系统，随后医院可能会寻求修复方案。但达姆夫表示，他从未收到过关于其设备中网络安全漏洞的任何通知。

达姆夫感慨道，围绕设备网络安全的沟通链条往往在抵达实际使用者或设备位置知情者之前就已经中断。他呼吁美国开发一个全面的行业地图系统，使设备制造商和医疗界能够迅速识别受黑客攻击或漏洞影响的范围，确认所有者和运营者，并在国家支持的黑客或勒索软件攻击者大规模利用漏洞之前完成修复。

达姆夫说道：“作为一个国家，我们无法确定这些设备的位置，也无从知晓它们的安全状态。”他还补充道，他支持像行业地图这样的构想，以帮助解答这些问题。

资产清单的缺失是困扰众多关键基础设施领域的一大难题。2020年，国会赋予网络安全与基础设施安全局（CISA）权力，可以通过行政传票来识别连接至互联网的易受攻击的IT资产所有者，并告知他们相关修补和修复选项。但在2021年，时任局长詹·伊斯特利表示，该机构极少使用此权力，过去一年仅发出35份传票。

美国食品药品监督管理局为制造商提供了在设计阶段以及产品上市后如何应对网络安全威胁的指导方针。健康信息共享与分析中心（H-ISAC）在一月份的一份报告中指出，安全维护的关键断裂点之一出现在单个设备转售并传递给不同买家和消费者时。

报告写道：“随着医疗设备进入生命周期的不同阶段，制造商和客户的职责可能会发生转移。在设备生命周期中，双方之间的沟通至关重要，这样才能协调任务并减少产品中的安全隐患。”

例如，由Rapid7公司发布的2023年报告显示，研究了从二级市场购买的13种不同医疗输液泵，发现其中9种包含了先前用户组织的有效无线认证数据，其中包括Wi-Fi密码等其他凭据。

Rapid7报告呼吁重新审视医院和医疗机构如何淘汰遗留设备，以及在将设备出售到二级市场之前清除敏感信息的行业标准。

(以上内容均由Ai生成)