2025年2月2日 星期日

醫療器材在其生命週期內整合軟體的網路保全(二之三)

ANSM 指引 (見前篇

© All Rights reserved. 版權聲明

係稱的保全對象大致包括下列方法:
  • 預防:避免出現漏洞或緊急型脆弱現象;
  • 隔離:阻隔攻擊到達敏感或脆弱的元素;
  • 限縮:攻擊的後續效應最小化;
  • 偵測:識別入侵以提供攻擊回應(對應可追溯性);
  • 修復:有辦法在受到攻擊後使系統恢復正常運作(關注回復性)。

應受保護資產

保全對象

保護系統

醫療配置

完整性與機密性

限縮資料簽名

隔離區塊記憶體加密

限縮權限管理(初始化/首次使用/修改)

韌體(操作軟體、系統軟體)

例如:確保更新前後環節內的完整性

阻止醫療器材的安全啟動序列連結到韌體加密簽章的查證過程

密鑰鍵

完整性、機密性與追溯性

預防性保護密鑰,不要移除之

事件日誌

完整性、機密性與追溯性

限縮定期備份、故障排除

病患資料

完整性與機密性

阻止加密

限制僅收集必要資料

隨著風險分析結果,建議採取相關措施,參照圖4的軟體生命週期區分為五個階段。

一、 軟體設計活動

A. 通用事項

設計安全:醫療器材的設計宜自始即考慮網路保全面向。
  • 禁絕朦朧式安全性:系統的安全性不應依賴其既有設計或實施時的附加保密性,而須假設攻擊可能從任何角度駭入醫療器材內部操作,如:以侵入原始碼進行逆向工程、破解演算法或軟體說明。
  • 對於醫療器材的正確操作採行資料精簡化管理係絕對必要。方法之一是刪除不必要的元件從而減少醫療器材露出漏洞。建議製造商降低醫療器材資訊系統安全方面的複雜性。對於軟體可以分為關鍵區域和非關鍵區域。惟有鑑別為關鍵區域才須要進行精簡化管理。
  • 軟體元件的管理:對軟體和軟體元件的採購過程及外包事項的允收程序須具備明確政策,尤其是當使用到SOUP(未知來源的軟體)時,須配合佐證說明,並執行保全評鑑。
  • 儘早在產品設計階段加入解決措施,如:返回到安全運作,故須及時更新韌體與密鑰鍵;
  • 最小權限原則:賦與醫療器材各層級的主動式元件相對僅只必要的權限。如:登入醫療器材須使用具備授權的員工名牌執行相關權力及操作;行政人員帳戶侷限於特定操作;

B. 設定醫療器材的預期使用和背景環境

  • 預期使用係陳述要求事項的重要考量點,在使用者的身份查證流程及使用時背景環境之間須取得平衡,如:急救時用的醫療軟體毋須遵循非急救時用醫療軟體的相同授權過程;
  • 使用環境:設計階段應考量使用環境所需之安全措施,例如:居家用軟體登入方式,宜不同於健康照護機構用軟體的登入方式。

C. 存取控制和身份查證:

  • 應該有明確的角色和權限定義利害相關者及使用者,使用者不需要完整的存取權限;存取權限係依照使用者角色予以安排。
i. 只有經過身份查證後才能授予存取權限;
ii. 按各角色為達成任務所需要的權限授予其基本存取權限;
iii. 聯網式醫療器材的資料輸出功能保留給獲得此項目的授權人員;
iv. 存取軟體更新功能或修改敏感參數可能需要強化型身份查證。該等背景環境的任何查證任務可能皆需要兩步驟確認;
v. 聯網式醫療器材須包括使用者的身份查證功能,僅限具備實際使用者帳號;包括實體查證(員工證)或軟體多步驟查證(生物辨識資訊,如指紋辨識;登入密碼);工作站可能需要增加保護機密性與完整性的功能;
vi. 建議嚴加管制密碼系統,推薦採用強化型密碼(如:混合字母、數字、符號,定期更新等),安全使用(如:登入失敗若干次即鎖住、限定更新期間、禁用以前使用過的密碼等)。

D. 身份查證管理

  • 建議透過事先身份查證方式規定資料和系統組件的存取,如:系統上使用者的身份查證、軟體的身份查證、發送到醫療器材或由醫療器材接收的訊息的身份查證等。
  • 身份查證過程宜配合醫療器材使用的背景環境,如:急救狀況時用的生命相關醫療器材宜採用簡化式身份查證。
  • 身份查證程序的通用方式(非完整列出):
i. 按照使用醫療器材的方式,登入聯網式醫療器材須事先要求身份查證;
ii. 使用者進行登入作業時,聯網式醫療器材須顯示前一次登入的日期。

E. 主機託管作業:

  • 此項作業須按照風險管制措施方式處理,須達到最起碼要求的資料安全。
  • 製造商須制定此項醫療器材資訊系統作業的起碼要求事項,包括服務內容具體事項文件化、委託管理事項;若依風險分析產出而建議託管醫療器材軟體時須明確告知使用者並文件化,如:
    • 醫療器材軟體係安裝在現場終端機或與其它伺服器主機共享;如:健康照護機構在自已主機安裝的軟體,且可供其它健康照護服務場所登入之;
    • 醫療器材軟體係安裝在外部伺服器,經由託管者依專業服務方式傳輸資料,如亞馬遜或OVH的雲端服務。
  • 主機託管時,應考慮的相關法規如示:
    • 法國法規要求 HDS(健康資料託管者系統);
    • 法國健康部照護機構DGOS的網路保全作業手冊,供健康照護機構負責人遵循;
    • 歐盟(EU)2022/2555網路保全指令,適用於健康照護機構尋求改進抵禦網路攻擊的保全能力;(註:2019年7月出版的ANSM指引係參考歐盟指令2016/1148,但該指令已被2022/2555指令補充之。)
    • 舉例說明:若聯網型醫療器材製造商擬在雲端伺服器存放資料宜自行警惕,該等資料係如何地存放在雲端伺服器,且須遵循相關法規,或將雲端伺服器安全的相關設置予以文化化。
    • 另例說明:製造商兜售其醫療器材相關之多項服務時,須符合各自服務事項相關的法規要求,以健康資料的伺服器託管業務為例,便須符合HDS法規要求。

F. 使用環境:

  • 此項目係以醫療器材資訊系統預期使用環境時運用的軟體元件及與其他資訊系統交互作用的軟體元件,如:操作系統、健康照護機構的內部及外部網路;建議此等資訊系統在保全相關運作宜盡可能自主運行,故對其運行環境的假設事項宜維持在最低。
  • 製造商須明確陳述其醫療器材與保全相關之安全運作環境的假設事項,該等保全假設須達到醫療器材的使用環境之必要狀況,而不宜過度渲染要求。製造商亦不可儘只依賴使用環境的安全狀況或保全措施,製造商須研究其醫療器材的預期使用環境,提供符合性面向其建議的最低要求。如:軟體更新時須具備文件化程序做出身分查證及韌體完整性查證。
  • 正確運行的醫療器材資訊系統不宜妨礙或危及醫療器材軟體的操作環境,如:妨礙健康照護機構的資訊設備更新到微軟的Windows 11 或較新版本,只因為醫療器材資訊系統製造商宣稱僅適用於微軟的Windows 10 或較新的版本。
  • 考量品質管理系統要求,建議醫療器材製造商確定軟體與硬體的相容性;若發現不相容情形,至少須管理及控制該等不相容性,且最好維持在最小範圍內。即使少許的不相容性亦是保全工作的有效力之潛在阻礙。例:若未保障醫療器材仍能在新版軟體下正確運作,則不可接受。
  • 須按照醫療器材(如:計算機型工作站、輸入指令系統控制台、患者家中或門診環境中的醫療器材、移動式醫療器材)通過使用相關保護措施來確保環境的物理和邏輯安全,如下示例:
    • (執行風險分析後找出的)敏感性資料須加密;
    • 提供網路分區的可能性,足以應對來自外部的任何數位攻擊方式;
    • 具有妥善規定的和保全式的登入方式(如:員工證、登錄名字或密碼等);
    • 建議如何運行在穩定的環境:醫療器材須在保全式(安全網路登入)方面具有相對地充分自主性;
    • (取決於係稱的醫療器材整合軟體)有效果地使用防病毒軟體;實務上,並非在所有背景環境下都建議系統地使用防病毒軟體。
  • 按照醫療器材資訊系統的性質和要達到的相關安全層級,互聯式設備的使用者工作站須提供能夠檢測和回應使用惡意代碼的潛在攻擊的安全性。基於此點,專門用於管理安裝在使用者工作站上的聯網型設備的軟體須與對抗惡意代碼的安全解決方案相容。
  • 按照醫療器材資訊系統的性質,可以實施或提議設置操作系統強化功能,以阻止或阻礙在醫療器材資訊系統上執行任意代碼或非法程式的任何嘗試(如:專用記憶體段落、修改和執行的互斥許可權、進程執行堆棧的保護機制、記憶體儲存的佈局隨機化等)。
  • 按照醫療器材類型及其在更複雜系統中的整合程度,建議提出分區機制。例如:如果醫療器材資訊系統受到有效攻擊,則應執行軟體完整性檢查,並且必須預見到防止該項攻擊傳播到整個系統的措施。例:圖形界面和關鍵資料之間的分區,醫療器材暨整合軟體(DMIL)之軟體和網路其餘部分之間的分區。

G. 實體安全:

建議設定措施以確保醫療器材的實體存取保全作用。實體元件係醫療器材之軟體操作及相互作用(如:器材串聯接口)須予以保護,僅供獲得授權者使用。例:保護式鎖住醫療器材接口、系統接入口、場區人口等。

H. 醫療器材連接網路:

  • 應記錄詳細的網路資料流矩陣,如:通訊協定類型、資料流來自或送去何處、處理方式等;
  • 實施資料流過濾機制,如:工作站裝設的軟體須足以處理保全功能及網路過濾機制(如:個人式防火牆),包括聯接上的個別醫療器材。
  • 若採用無線網路聯通方式,該醫療器材須符合現今良好實務的相關要求,詳情參照Wi-Fi模組規格及參考文件。
  • 考慮醫療預期目的,儘早在設計階段,假設受到攻擊或威脅時,建議設置將器材軟體孤立於聯網網路的功能,及切斷各種傳送頻道;但不能影響醫療器材的可使用性。
  • 建議使用虛擬專用網路 (VPN) 來保護本地網路中存在的邏輯保全。這並不適用於所有類型的醫療器材資訊系統。例如:在患者家中使用的醫療器材暨整合軟體(DMIL)的情況,在居家環境的醫療器材暨整合軟體(DMIL)和醫院之間使用虛擬專用網路(VPN)來保護交換的資料。
  • 參考EN 50159安全通訊標準以確保經由傳輸系統溝通安全相關事宜,建議方式如下(非完整列出):
    • 序列號碼,避免複製重傳;
    • 時間戳記,避免複製重傳;
    • 超時管制
    • 源標識碼和目的地標識碼,供身分查證用;
    • 複誦功能,以確定完整性;
    • 標識程序
    • 保全控制編碼
    • 密碼技術
  • 所有溝通事項皆須確保安全,因此須設立管制機制,如:
    • 基線準則:完整性、機密性(例如:使用加密金鑰)
    • 不拒絕通信(取決於醫療器材及使用環境。
    • 通訊的查證功能
    • 聯網型醫療器材與環境之間的資料交換。後者必須符合共用健康資訊系統局 (ASIP) 在其健康資訊系統 (HIS)交互操作性指引中設定的保全要求。

I. 追溯性及日誌記錄

  • 聯網型醫療器材須具備包括一個本地日誌記錄功能,該功能可以跟蹤對聯網型醫療器材的所有訪問和所有事件,特別是某些可能對其運行產生關鍵衝擊的事件。
  • 建議製造商在其文件中說明實施日誌記錄的程序,特別是醫療器材的日誌儲存容量,及備份和使用此等日誌的建議。須保護此等元素以維持完整性。

J. 醫療器材運行期間監督:

  • 聯網型醫療器材自行監督功能,包括:查看完整性。現地警報功能以監督正確的操作,可能對其運行產生關鍵衝擊的事件加上旗標。如:啟動時查證程式碼未受到修改,啟動時查證簽名。
  • 某些醫療器材內使用的作業系統須保持在最新狀況,以便該產品無以傳播嘗試利用過時版本操作系統中的弱點之病毒,如:Mirai21、勒索軟體、蠕蟲等。
  • 若須整合到另一個資訊系統,建議醫療器材須包括一個基於標準機制的警報功能,允許健康資訊系統監督醫療器材的正確操作、與器材的聯接、及可能對其操作產生關鍵衝擊的任何事件,如:軟體更新、關鍵參數的修改等。
  • 在醫療保健環境中,如果醫療器材聯接到網路,需要評估醫療器材在健康資訊系統面向所承受的風險,相對地,在引入型威脅/脆弱性面向。法國健康資訊系統分享局(ASIP) 為健康資訊系統設置中的聯接器材撰寫一份實務指引(法文版),列出相關的保全要求。
  • 可以提出使用在資料恢復過程的資料恢復解決方案,例如:更換設備時。

K. 在失效安全(Failsafe)模式下運行

  • 某些聯網型醫療器材可以具有(安全)失效保護模式,以便在恢復正常操作時提供資料恢復功能。當檢測到攻擊或檢測到攻擊作用時,可能會觸發失效安全模式。
對於某些類型的醫療器材,可能需要服務維持連續性,特別是對於佩戴或植入式的器材(例如:心臟起搏器)。即使安全性受到威脅或發現完整性受到威脅,仍可建立保證關鍵功能可獲得性的機制。
  • 向客戶發佈或提供的產品文件,宜包括在失效安全模式下使用產品的程序,特別是:
    • 失效安全模式下的功能範圍;
    • 任何性能限制;
    • 實施失效安全模式的過程;
    • 恢復正常模式的過程。
可以調整上述程序以適應客戶環境。
  • 建議計劃:
    • 如何進入失效安全模式,如:當出現安全警報或錯誤操作,探究觸發此模式的原因;
    • 如何退出失效安全模式,如:通過授權人員的強身份查證,須由製造商定義。
(未完,見續篇

張貼者:
標籤: , , , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)