FDA发布医疗设备网络安全指导手册 但只是建议建立应急响应机制而非强制

近期勒索软件猖獗，11月初的时候，安全加报道了 真是丧心病狂 勒索软件盯上了医院 为了病人安危院方只能缴纳1万7千美元赎金 ，最近美国食品药品监督管理局（FDA）发布了上市后医疗设备的网络安全管理指导手册，敦促制造商在产品的整个生命周期内对产品进行安全控制。

FDA上市前网络安全管理指导手册

2014年，FDA发布了上市前网络安全管理指导手册，提供了一系列建议，包括通过各种认证手段将访问权限局限于可信用户、确保只安装授权的固件和软件、实现网络事件检测、响应与恢复功能。该文件为医疗设备制造商提供了网络安全功能指南，以帮助加强这些设备的安全性，防止被攻击者利用。

FDA这次新发布的指导手册关注的是设备部署在医院网络、病人的家庭网络或病人身体里后如何控制网络安全风险。

FDA建议制造商建立、维护相应流程，用以识别安全隐患、评估和控制相关风险并监控安全控制措施的有效性。

FDA是做什么的

FDA是食品药品监督管理局（Food and Drug Administration）的简称。FDA有时也代表美国FDA，即美国食品药品监督管理局，美国FDA是国际医疗审核权威机构，由美国国会即联邦政府授权，专门从事食品与药品管理的最高执法机关；

小编注：嗯，FDA在执法活动中，经常可以在影视剧中看到跟FBI、CSI等部门一起出镜 ：）

是一个由医生、律师、微生物学家、药理学家、化学家和统计学家等专业人士组成的致力于保护、促进和提高国民健康的政府卫生管制的监控机构。其它许多国家都通过寻求和接收 FDA 的帮助来促进并监控其本国产品的安全。

FDA建议医疗器械制造商应与安全组织一起建立应急响应机制

制造商应有流程监控、检测设备的网络安全漏洞，包括自研软硬件与第三方部件。漏洞信息获取渠道包括独立研究人员、内部测试、软硬件供应商、医疗机构及信息共享与分析专业组织。

一旦发现漏洞，厂商需能够评估其严重性，基于漏洞利用工具的可用性与利用的复杂性来估计漏洞利用的概率。厂商还应有对应流程评估漏洞被利用后对病人造成的伤害。

鼓励制造商维护对应流程，在漏洞利用前迅速安装补丁与更新。常规更新与补丁无需FDA审核。另外，漏洞无需上报FDA，除非造成了负面事件或死亡，或无法在披露后60天之内修复。

值得注意的是，建议并不具有约束性，这意味着制造商并无实施建议的法律义务。

2016年发生了93起医疗数据泄露事件

虽然还未收到任何导致死亡或人身伤害的网络安全漏洞报告，专家已在多个医疗设备中发现了严重缺陷。 MedSec近期声称在圣犹达医疗公司（St. Jude Medical）产品中发现了严重安全漏洞 ，但是公司否认了该指称，甚至将这家安全公司告上法庭。

恶意攻击方越来越频繁地将矛头对准医疗行业。TrapX最近所做的一项研究发现，虽然2016年数据遭到泄露的病历数量由2015年的接近1.12亿降低到约1200万，而发生的医疗数据泄露事件却由2015年的57起增长到2016年的93起。

因为病历价值持续下降，网络攻击者将目光转向了勒索软件攻击与医疗设备劫持，试图以此获利。