母親胎兒監護儀通常由主機、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件組成,供母親的心電、無創血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動監測用,檢測胎兒心率采用超聲多普勒原理,可在圍產期對胎兒進行連續監護,并在出現異常時及時提供報警信息。母親胎兒監護儀在我國屬于第二類醫療器械注冊產品,本文以此產品為例,說說醫療器械網絡安全風險評估。
母親胎兒監護儀通常由主機、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件(心電導聯、無創血壓袖套、脈搏氧飽和度傳感器、體溫傳感器等)組成,供母親的心電、無創血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動監測用,檢測胎兒心率采用超聲多普勒原理,可在圍產期對胎兒進行連續監護,并在出現異常時及時提供報警信息。母親胎兒監護儀在我國屬于第二類醫療器械注冊產品,本文以此產品為例,說說醫療器械網絡安全風險評估。
一、母親胎兒監護儀簡介
母親胎兒監護儀通常由主機、超聲探頭、宮縮壓力傳感器及與之相連接的其他附件(心電導聯、無創血壓袖套、脈搏氧飽和度傳感器、體溫傳感器等)組成,供母親的心電、無創血壓、脈搏、血氧飽和度、體溫、呼吸、宮縮壓力以及胎兒心率、胎動監測用,檢測胎兒心率采用超聲多普勒原理,可在圍產期對胎兒進行連續監護,并在出現異常時及時提供報警信息。
隨著網絡技術發展,為了提高醫院產科的工作效率與質量,方便醫院同時對多個孕婦進行監護,越來越多母親胎兒監護儀能通過網絡鏈接到醫院中央監護工作站,將監測到的患者生理數據傳輸到工作站方便集中管理。中央監護工作站利用獨特的聯網技術,負責收集、處理、分析和輸出來自多個床位的監護信息,同時對多個患者進行監護,為醫護人員提供了大大的便利。但同時,由于鏈入網絡,也增加了由于網絡入侵而導致數據丟失、數據被惡意篡改、患者隱私泄漏的風險,產品開發商與使用者須了解產品的這些風險,共同進行防護。
二、母親胎兒監護儀網絡安全風險及控制措施
2.1硬件資源
硬件固件作為信息的載體,若存在質量問題,會為數據的存儲、傳輸帶來風險。常見風險有:①設備故障。如無線超聲探頭硬件損壞,將直接影響胎兒心率的測量和與主機之間的通信。應嚴格管控物料采購,保證關鍵元器件的質量。②電磁泄漏。網絡端口、傳輸線路都有可能因為屏蔽不嚴而造成電磁泄漏,從而影響數據傳輸。應做好相關屏蔽和防輻射工作。③電池損耗。如無線超聲探頭一般采用內部電池供電,若電池耗盡,直接導致設備不能工作,影響數據傳輸。可設置低電量提醒功能來提醒用戶及時更換電池或設備。
2.2網絡入侵
醫療器械相關數據包括健康數據與設備數據,母親胎兒監護儀可以通過有線或無線網絡將患者信息和生理參數數據傳輸給中央監護系統或者手機App等移動設備。在進行網絡傳輸時,很可能遭到竊聽、篡改、竊取等惡意入侵。
常見風險有:①用戶密碼被獲取。涉及到患者信息的軟件一般有設置用戶訪問控制,在用戶注冊、登錄中央監護系統軟件或者App軟件時,密碼可能通過網絡、界面被獲取,而導致患者隱私信息和健康數據泄漏。可以通過將用戶登錄界面密碼輸入的部分設計為輸入密碼隱藏,用戶注冊信息經本地加密后通過密文傳輸并在數據庫中以密文形式存放等措施,來保護用戶密碼不被竊取。用戶也可以通過以設置復雜密碼的形式來減少密碼被盜風險。②未經授權設備接入系統。偽裝的設備或程序可能通過網絡惡意接入系統,給設備發送錯誤指令,例如停止對某床位的監護,導致該床患者未能被及時監護可能引發醫療事故。控制措施:使系統與設備的通迅通過私有協議完成,必須完成協議規定的交互邏輯,方可允許設備鏈接。③數據被竊取。網絡傳輸的數據可能被惡意竊取,導致患者信息、健康數據泄漏,例如有的母親胎兒監護儀將數據無線傳輸給手機App,傳輸過程被第三方非法獲取。控制措施:數據傳輸中,健康數據和患者敏感數據加密后在網絡上傳和存儲。④數據完整性被破壞。網絡傳輸的數據可能被第三方通過特殊工具篡改,當母親胎兒監護儀通過有線或者無線向中央監護系統或者手機App發送數據時,第三方截取數據篡改后再發送到接收端,使監護人員得到錯誤的數據,不能準確地進行監護而對患者造成傷害。控制措施:系統數據協議使用檢驗來判斷數據完整性,通訊雙方對收到的報文進行協議格式、規則的一致性核對,對一致性核對或者校驗錯誤的報文一律丟棄,并提醒用戶檢查。
2.3軟件系統
軟件漏洞:中央監護系統軟件或手機App存在安全漏洞,或者軟件所運行系統存在漏洞,設備很容易受到攻擊,影響系統的正常運行,可能導致患者數據丟失。控制措施:設置防火墻,定期進行漏洞掃描。
惡意軟件:互聯網紛繁復雜,當中央監護系統或手機遭到病毒、木馬、蠕蟲等惡意軟件攻擊,將導致整個系統癱瘓,可能導致患者數據丟失。控制措施:安裝防病毒軟件,經常對系統進行殺毒,不要安裝一些來源不明的軟件,將數據進行存儲備份。
軟件更新失敗:當中央監護系統軟件或手機App在通過網絡更新時,如果升級包受到惡意軟件攻擊,導致更新失敗或對運行環境造成損害。控制措施:所有升級包進行校驗,校驗失敗時安裝自動中斷,并提醒用戶升級包可能存在安全隱患,App軟件更新指定用戶到主流的應用市場更新軟件。
2.4云服務
母親胎兒監護儀將數據傳輸到手機App,為了方便數據存儲與管理,有的手機App有云服務功能,儲存患者數據。第三方用戶可能未經授權登錄云服務臺,對配置進行惡意更改,云服務也可能受到惡意攻擊,導致大量患者信息或者健康數據泄漏。控制措施:云服務控制臺通過賬號設置手機綁定,憑密碼登錄的同時還需要手機驗證才能通過,否則無法登錄。通過控制臺程序設置安全組策略,啟用專用VPC,必要時購買云盾服務,通過多種手段來抵御互聯網不明的惡意攻擊。
2.5 U盤、移動硬盤
患者的健康數據可能通過U盤或者移動硬盤進行轉移或儲存,若U盤或者移動硬盤中毒,將通過網絡接口將病毒傳入系統,從而影響系統正常運行或者數據丟失。控制措施:確保所用存儲設備經過殺毒軟件全盤掃描,且無安全威脅時方可拷貝。
網絡安全威脅無處不在,本文以母親胎兒監護儀為例,列舉了部分網絡安全風險,并不是全部的風險都被識別。為了保障醫療器械的安全有效使用,醫療器械的網絡安全需要醫療器械注冊申請人、用戶和信息技術服務商的共同努力和通力合作才能得以保障。