医疗设备安全：最大的健康护理挑战之一

关键要点

确保医疗设备安全是当前健康护理领域面临的最大安全挑战之一。如果国会目前的持续努力取得成功，未来的局势将会有所改善，但修复遗留技术难题仍然迫在眉睫。

针对保护和转型网络健康护理法案（PATCHAct）以及食品药品监督管理局（FDA）对医疗设备网络安全指导更新的反馈，医疗安全领域的领导者普遍持积极态度，绝大多数利益相关者对这一努力表示赞赏。

在ViVE和RSA会议上，医疗设备安全会议对计划要求制造商为新设备增加软件物料清单（SBOMs）表示热切期待。本周，美国医院协会（AHA）也宣布支持PATCH法案，认为设备安全是与患者安全同等重要的问题。

AHA在致国会的信中表示，过去几年其一直“强烈主张FDA应该采取更多措施，鼓励或要求医疗设备制造商增强其设备的网络安全性”。

尽管FDA在推动对医疗设备制造商的自愿合规方面取得了显著进展，但在指导中所列出的安全要素的强制执行仍存在严重挑战。这些问题使医院不得不独自解决不安全医疗设备所带来的挑战。

AHA指出，PATCH法案将致力于解决这些合规和安全负担，并鼓励立法者“保留原始法案的关键条款，以确保医疗设备在网络安全和患者安全上得到保障”。

希望立法者能够确保设计时的安全、SBOMs以及持续监测和识别上市后漏洞、协调漏洞披露等要素能够保留在最终法案中，以确保医疗提供者获得急需的支持。

尽管这些努力将显著降低新设备对网络带来的安全风险，但一些利益相关者仍然担心这些国会努力未能解决持续存在的挑战。

Greg Murphy，Ordr的首席执行官兼总裁，明确表示PATCH法案和更新的医疗设备指导对确保未来所有设备在设计时考虑安全至关重要。

FDA关于医疗设备网络安全指导的最新网络研讨会显示，SBOMs的关注在框架中成了一个广受讨论的新增项。确实，这是近年来医疗安全领域领导者反复向FDA要求的内容。将SBOMs纳入医疗设备将帮助医疗提供者识别设备可能存在的漏洞，并适用于所有上市设备。

而且，有报告显示，医疗行业在SBOM的采用和保障设备生命周期中的角色方面，实际上已经成为其他行业的典范。

Murphy认为，SBOMs是巩固补丁管理挑战的关键问题。医疗行业在Log4j漏洞事件中受到严重影响，虽然生产了快速反应，但由于无法弄清哪些设备实际依赖或利用Log4j代码而受阻。

有了SBOM，医疗首席信息安全官（CISO）能够查询并解析网络上出现荧光漏洞的时间。然而，关键在于医院是否有指定的安全负责人能够有效利用SBOM在漏洞被识别后迅速进行补丁修复。

此外，SBOM只会包含未来的设备。因此，要想让这一措施代表医疗市场的大部分，可能还需要很长时间。

因此，当前人们心中关注的一个重点问题是：遗留设备怎么办？

设备安全往往是从IT安全的角度来处理，假设设备在企业环境内的生命周期为2到3年，并在此后被替换，比如笔记本电脑或工作站。

如先前与多位医疗安全领导者讨论过的那样，遗留技术在医院环境中的平台和设备列表中占有重要地位。其中，医院床位就是一个普遍的例子，它实际上是一种连接医疗设备，预计使用寿命为10到12年。

然而，拥有200至500张病床的医院绝不会在设备使用两年后考虑更换一整批病床，因为“它已经有一个过时的操作系统”。在大型医院，这