母亲胎儿监护仪通常由主机、超声探头、宫缩压力传感器及与之相连接的其他附件组成,供母亲的心电、无创血压、脉搏、血氧饱和度、体温、呼吸、宫缩压力以及胎儿心率、胎动监测用,检测胎儿心率采用超声多普勒原理,可在围产期对胎儿进行连续监护,并在出现异常时及时提供报警信息。母亲胎儿监护仪在我国属于第二类医疗器械注册产品,本文以此产品为例,说说医疗器械网络安全风险评估。
母亲胎儿监护仪通常由主机、超声探头、宫缩压力传感器及与之相连接的其他附件(心电导联、无创血压袖套、脉搏氧饱和度传感器、体温传感器等)组成,供母亲的心电、无创血压、脉搏、血氧饱和度、体温、呼吸、宫缩压力以及胎儿心率、胎动监测用,检测胎儿心率采用超声多普勒原理,可在围产期对胎儿进行连续监护,并在出现异常时及时提供报警信息。母亲胎儿监护仪在我国属于第二类医疗器械注册产品,本文以此产品为例,说说医疗器械网络安全风险评估。
一、母亲胎儿监护仪简介
母亲胎儿监护仪通常由主机、超声探头、宫缩压力传感器及与之相连接的其他附件(心电导联、无创血压袖套、脉搏氧饱和度传感器、体温传感器等)组成,供母亲的心电、无创血压、脉搏、血氧饱和度、体温、呼吸、宫缩压力以及胎儿心率、胎动监测用,检测胎儿心率采用超声多普勒原理,可在围产期对胎儿进行连续监护,并在出现异常时及时提供报警信息。
随着网络技术发展,为了提高医院产科的工作效率与质量,方便医院同时对多个孕妇进行监护,越来越多母亲胎儿监护仪能通过网络链接到医院中央监护工作站,将监测到的患者生理数据传输到工作站方便集中管理。中央监护工作站利用独特的联网技术,负责收集、处理、分析和输出来自多个床位的监护信息,同时对多个患者进行监护,为医护人员提供了大大的便利。但同时,由于链入网络,也增加了由于网络入侵而导致数据丢失、数据被恶意篡改、患者隐私泄漏的风险,产品开发商与使用者须了解产品的这些风险,共同进行防护。
二、母亲胎儿监护仪网络安全风险及控制措施
2.1硬件资源
硬件固件作为信息的载体,若存在质量问题,会为数据的存储、传输带来风险。常见风险有:①设备故障。如无线超声探头硬件损坏,将直接影响胎儿心率的测量和与主机之间的通信。应严格管控物料采购,保证关键元器件的质量。②电磁泄漏。网络端口、传输线路都有可能因为屏蔽不严而造成电磁泄漏,从而影响数据传输。应做好相关屏蔽和防辐射工作。③电池损耗。如无线超声探头一般采用内部电池供电,若电池耗尽,直接导致设备不能工作,影响数据传输。可设置低电量提醒功能来提醒用户及时更换电池或设备。
2.2网络入侵
医疗器械相关数据包括健康数据与设备数据,母亲胎儿监护仪可以通过有线或无线网络将患者信息和生理参数数据传输给中央监护系统或者手机App等移动设备。在进行网络传输时,很可能遭到窃听、篡改、窃取等恶意入侵。
常见风险有:①用户密码被获取。涉及到患者信息的软件一般有设置用户访问控制,在用户注册、登录中央监护系统软件或者App软件时,密码可能通过网络、界面被获取,而导致患者隐私信息和健康数据泄漏。可以通过将用户登录界面密码输入的部分设计为输入密码隐藏,用户注册信息经本地加密后通过密文传输并在数据库中以密文形式存放等措施,来保护用户密码不被窃取。用户也可以通过以设置复杂密码的形式来减少密码被盗风险。②未经授权设备接入系统。伪装的设备或程序可能通过网络恶意接入系统,给设备发送错误指令,例如停止对某床位的监护,导致该床患者未能被及时监护可能引发医疗事故。控制措施:使系统与设备的通迅通过私有协议完成,必须完成协议规定的交互逻辑,方可允许设备链接。③数据被窃取。网络传输的数据可能被恶意窃取,导致患者信息、健康数据泄漏,例如有的母亲胎儿监护仪将数据无线传输给手机App,传输过程被第三方非法获取。控制措施:数据传输中,健康数据和患者敏感数据加密后在网络上传和存储。④数据完整性被破坏。网络传输的数据可能被第三方通过特殊工具篡改,当母亲胎儿监护仪通过有线或者无线向中央监护系统或者手机App发送数据时,第三方截取数据篡改后再发送到接收端,使监护人员得到错误的数据,不能准确地进行监护而对患者造成伤害。控制措施:系统数据协议使用检验来判断数据完整性,通讯双方对收到的报文进行协议格式、规则的一致性核对,对一致性核对或者校验错误的报文一律丢弃,并提醒用户检查。
2.3软件系统
软件漏洞:中央监护系统软件或手机App存在安全漏洞,或者软件所运行系统存在漏洞,设备很容易受到攻击,影响系统的正常运行,可能导致患者数据丢失。控制措施:设置防火墙,定期进行漏洞扫描。
恶意软件:互联网纷繁复杂,当中央监护系统或手机遭到病毒、木马、蠕虫等恶意软件攻击,将导致整个系统瘫痪,可能导致患者数据丢失。控制措施:安装防病毒软件,经常对系统进行杀毒,不要安装一些来源不明的软件,将数据进行存储备份。
软件更新失败:当中央监护系统软件或手机App在通过网络更新时,如果升级包受到恶意软件攻击,导致更新失败或对运行环境造成损害。控制措施:所有升级包进行校验,校验失败时安装自动中断,并提醒用户升级包可能存在安全隐患,App软件更新指定用户到主流的应用市场更新软件。
2.4云服务
母亲胎儿监护仪将数据传输到手机App,为了方便数据存储与管理,有的手机App有云服务功能,储存患者数据。第三方用户可能未经授权登录云服务台,对配置进行恶意更改,云服务也可能受到恶意攻击,导致大量患者信息或者健康数据泄漏。控制措施:云服务控制台通过账号设置手机绑定,凭密码登录的同时还需要手机验证才能通过,否则无法登录。通过控制台程序设置安全组策略,启用专用VPC,必要时购买云盾服务,通过多种手段来抵御互联网不明的恶意攻击。
2.5 U盘、移动硬盘
患者的健康数据可能通过U盘或者移动硬盘进行转移或储存,若U盘或者移动硬盘中毒,将通过网络接口将病毒传入系统,从而影响系统正常运行或者数据丢失。控制措施:确保所用存储设备经过杀毒软件全盘扫描,且无安全威胁时方可拷贝。
网络安全威胁无处不在,本文以母亲胎儿监护仪为例,列举了部分网络安全风险,并不是全部的风险都被识别。为了保障医疗器械的安全有效使用,医疗器械的网络安全需要医疗器械注册申请人、用户和信息技术服务商的共同努力和通力合作才能得以保障。