參見標準:ANSI/AAMI SW 96:2023器材製造商的資安風險管理
© All Rights reserved。 版權聲明。CC BY-SA 4。0。
(內文引用人工智慧網路平臺提供資訊,經由整合篩選與文字調整。)
7.保全/資安風險控制
第6章得到的不可接受之特定保全/資安風險須受到下述保全/資安風險控制步驟。
7.1保全/資安風險控制項目分析
製造商應決定保全/資安風險控制措施(減低傷害嚴重性,減低傷害發生的可能性,或兩者併用),適用在受到保全的系統資產之保全/資安風險減低到可接受水準。宜採取下列保全/資安風險控制項目:
a) 本質保全設計
b) 本質保全製造過程
c) 醫療器材添加保護型減低威脅措施;
d) 製造過程添加保護型減低威脅措施;
e) 揭露保全/資安風險,意即提供使用者保全資訊,或將保全/資安風險轉嫁給使用者;
f) 適宜時,提供使用者保全訓練;
不是採用上述保全/資安風險控制措施,但能有效地減低保全/資安風險,製造商須傳達給使用者(參見IEC 80001-1提供使用者保全資訊);或是別種情況,由製造商協調勸說保全/資安風險控制措施。(實施保全/資安風險控制可能引起別種風險的潛在衝擊,故須由風險管理的利益相關者居中協調,以利推行保全相關的風險控制項目分析。)
製造商須確保醫療器材的設計足供因應未來的漏洞及浮現出的威脅,即使原本設計早已通過查證與確證。
製造商應開發醫療器材的保全架構,運用既成的設計原則(如:縱深防禦,零信任),以實踐保全/資安風險控制措施。
製造商可以了解朝向「零信任」架構的使用環境如何影響其醫療器材,和/或可能將特定的設計保全/資安風險控制引入其產品。
宜考慮相關標準、技術報告、保全架構,並適宜地應用於保全/資安風險控制項目分析。將採取的保全/資安風險控制措施紀錄在保全/資安風險管理檔案。
技術實務與重點措施
|
技術實務 |
重點措施 |
|
身分驗證與授權管理 |
l
禁用硬編密碼,改採多重驗證(MFA)及最小權限原則 l
外部會話自動中斷並限定時效 |
|
威脅建模(Threat Modeling) |
l
分析器材如何被攻擊(如資料篡改、拒絕服務) |
|
存取控制(Access Control) |
l
僅限獲得授權的使用者方可操作關鍵功能 |
|
加密與資料保護 |
l
列出所有使用之開源元件及版本,便於漏洞追蹤 l
採 FIPS 140-3 標準進行加密處理,避免序號或固定金鑰 l
備份與通訊採安全協定(TLS 1.3 以上) |
|
安全更新與補丁(Patch Management) |
l
定期檢驗、測試器材與連接系統, l
適用時,更新醫療器材韌體 |
|
軟體物料表 (SBOM) |
l
明確列出第三方與開源元件來源,以利漏洞追蹤與供應鏈管控 |
|
事件記錄與回應機制 |
l
系統應具備行為異常事件偵測、通報、警報、修復與及時恢復能力 l
建立通報機制(如依 IMDRF N60指引,於漏洞揭露後合理時間內通知主管機關) |
|
安全測試(safety Testing) |
l
模擬駭客攻擊以測試防禦能力,如:滲透測試(Penetration Testing),模糊測試(Fuzzy Testing) |
7.2實施保全/資安風險控制措施
製造商依前節實施選定的保全/資安風險控制措施,每項實施措施皆須查證(屬於品質管理系統的設計查證或過程確效,經由分析、展示、檢查或測試),並記錄在保全/資安風險管理檔案。
每項措施的有效性皆須查證(屬於品質管理系統的設計開發確證或透過使用者測試,經由實際或模擬使用測試,包括專注在保全的工作,例如滲透測試),並記錄在保全/資安風險管理檔案。
若是保全/資安風險減低的有效性係與設計開發查證或過程確效的關係已知,則有效性查證亦可歸併在設計開發查證或過程確效內。
風險評鑑技術與方法
醫療器材的網路保全/資安風險評鑑包含技術測試與文件管理兩大面向。
|
方法 |
目的 |
示例 |
|
滲透測試 (Penetration Testing) |
模擬攻擊以識別潛在漏洞 |
針對心臟節律器測試遠端控制通訊界面安全性 |
|
漏洞掃描 (Vulnerability Scanning) |
自動偵測已知弱點 |
檢測醫療影像伺服器的 CVE 弱點清單 |
|
威脅建模 (Threat Modeling) |
識別威脅源與優先風險 |
模擬醫院網路遭駭客橫向滲透的路徑,駭客可能偽造身分(Spoofing)存取病歷,或拒絕服務攻擊(DoS)癱瘓系統。 |
|
程式碼與韌體分析 |
檢查後門漏洞或隱含風險 |
攻擊者透過弱密碼或未加密傳輸入侵。反組譯植入式器材的韌體找尋未加密輸入 |
|
實體安全測試 |
防止物理篡改與未授權接觸 |
評估可攜式血糖儀的USB界面防護機制;實施雙因素查證(2FA)和加密通訊(TLS)。 |
關鍵考量評鑑要項:
l 第三方元件(軟體、韌體)與通訊協定漏洞;
l 交互操作性(Interoperability),如係稱器材與醫療院所的大型資訊系統(或經由網路連接到外部伺服器、更多的資訊系統)的相容性;
l 軟體更新與相容性風險:更新過程或更新內容可能衝擊原有或預期使用的醫療功能;
l 人因工程、保全與可用性衝突:過度嚴格的登入機制可能延誤急救操作;
l 定期維護持續期間與停止生產轉換階段的安排和處理機制;
l 資料完整性與隱私(Integrity & Privacy),病患資料須防止遭到篡改,宜做到去識別化、資料加密鑰與傳輸保密性,使用數位簽章確保醫療報告未被修改。
l 法規要求符合性:各國法規及認可要求,如:美國FDA, 歐盟EU MDR,中國NMPA、日本PMDA、東南亞國家聯盟(ASEAN)的AMDD、巴西INMETRO、阿根廷ANMAT、澳洲TGA、韓國KFDA等。
7.3
保全剩餘風險評估
保全/資安風險控制措施實施後,製造商應做以下事項:
a) 按照保全/資安風險管理計劃規定的風險可接受性準則評估保全剩餘風險
b) 評估結果記錄在保全/資安風險管理檔案。
為完成評估保全剩餘風險,當保全/資安風險出現且會有安全衝擊時,宜進行安全利益相關者的協調工作。
保全/資安風險管制(措施)需加以評估,是否衝擊到潛在安全風險,並將之記錄在保全/資安風險管理檔案。
若保全剩餘風險依上述準則的評估結果為不可接受,應考慮更進一步的保全/資安風險管制措施(參見7.1節)。若此途不通,製造商須執行保全剩餘風險的受益—風險分析(可擅往7.5節)。
7.4
受益—風險分析
若保全剩餘風險依上述準則的判定為不可接受,更進一步的保全/資安風險管制措施亦不能實現,製造商應執行《受益》對比《保全/資安風險分析》。
製造商須在兩者間取得平衡:《保全/資安風險》對比《受益》,因後者可能從設計面向引起前者。舉例說明:如果某個保全剩餘風險是儲存敏感的個人可識別資訊,經過評估判定為不可接受,而該設計面向的受益項目(如:在醫療治療之前提供較為詳細且準確的患者識別機制),便可做為保全/資安風險對應到受益分析。
若是收集的證據未足以支持做出《受益》大於《保全剩餘風險》決定,製造商應考慮修改醫療器材設計或設限如示:部署方式、使用時背景條件、使用者、預期使用。否則,保全剩餘風險歸類為不可接受。
若受益大於保全剩餘風險,可擅往7.5節。
以上結果紀錄在保全/資安風險管理檔案。
7.5
保全/資安風險管制措施引起的風險
製造商應審查保全/資安風險管制措施的效應,考慮以下幾個面向:
a)引出新的保全漏洞及威脅而衝擊到保全、安全及隱私;
b)原先識別出的漏洞及威脅所估算的風險受到保全/資安風險管制措施影響;
此等審查結果應紀錄在保全/資安風險管理檔案。應遵循保全/資安風險管理計畫傳達到其他風險場域管理文件。見圖2的保全/資安風險與安全風險過程的邏輯連結點示意圖。
以藍芽連線式胰島素幫浦為例:
l 在設計階段導入威脅建模,分析藍芽協定是否可能遭中間人攻擊;
l 建立軟體物料表(SBOM),追蹤採用的晶片和藍芽模組的安全補丁狀態;
l 實施滲透測試確認使用者 App 端的資料傳輸經過端對端加密作用;
l 設置雲端監督機制記錄異常登入或資料變更;
l 若發現漏洞,透過軟體 OTA(over-the-Air) 更新修補並通知醫療院所。
以可穿戴式心律監督器材,透過
Wi-Fi 將資料上傳至醫療雲端,再由主治醫師遠端監督為例:
|
風險情境 |
威脅狀況 |
因應做法 |
||
|
隱私資料外洩 |
網路駭客攔截無線傳輸未加密資料 |
使用 TLS 1.3 加密傳輸 |
||
|
指令篡改 |
攻擊者代入假造的心律資料 |
對資料封包進行數位簽章查證 |
||
|
未經授權的存取行為 |
非醫療人員登入系統平台 |
實施多因子確證與角色分級權限制 |
||
|
未更新的元件遭到網路駭客利用 |
定期 OTA(Over-the-Air)更新與數位簽章查證 |
||
|
缺乏網路監督日誌 |
難以追蹤異常來源 |
實施集中式安全日誌與異常行為偵測 |
7.6
保全/資安風險控制完整性
製造商應定期遵循保全/資安風險管理計畫審查保全/資安風險控制活動,以確保從識別出來的全部保全漏洞和威脅的保全/資安風險已經考量完畢,已完成所有保全/資安風險控制活動。另見第10節的生產及後生產活動。結果紀錄在保全/資安風險管理檔案。
沒有留言:
張貼留言