医疗设备网络安全基准报告

关键要点

最近发布的医疗设备网络安全基准报告由医疗设备创新联盟MDIC与Booz Allen联合开发，目的是支持制造商在评估其当前安全态势时，同时督促这些供应商在为医疗行业开发产品时采取更积极的态度。

虽然在其他行业的被动安全策略可能奏效，但“医疗设备制造商不应选择被动应对在网络攻击发生前，必须建立强健的网络安全协议，”研究人员表示。

该基准报告基于对17家设备制造商的调查，在44个问题中搜集信息，运用能力成熟度模型整合CMMI框架来评估产品和服务的成熟度。

成熟度评分定义0尚未启动1启动2管理3已实施4强化5优化

调查的平均得分为151，处于“已启动”和“已管理”之间，只有35的供应商的得分在15到199之间，只有24的得分高于该范围。

制造商之间的得分分布几乎相等，得分在10149和20249之间，得分在05到099之间的比例稍微低一些。得分最高的领域是组织结构，平均得分为168，风险管理和投诉处理的平均得分为147。

在风险管理成熟度方面得分最高的制造商是较大的公司，在员工人数和收入方面表现突出。但研究人员发现，低分的医疗设备制造商与其报告的规模或收入之间没有相关性。

更为引人注目的是，报告显示大多数设备制造商不进行常规的第三方风险评估。该报告同样指出，第三方风险评估的成熟度与设备制造商的规模或收入之间并没有明显的关联，这表明该领域是降低威胁和风险管理的关键领域。

总体而言，研究结果表明，“网络安全成熟度在医疗设备制造商之间存在显著差异”，整个行业在网络安全成熟度方面普遍较低，尤其是在设计控制方面。

具体建议取决于制造商的预算、优先事项和人口统计信息，但绝大多数供应商都迫切需要改善产品的安全政策和程序的组织领导力，确立设备的使用期限，并在60天内修复中至严重的漏洞。

研究人员承认，由于样本数据的局限性，结果可能存在不足，但这些调查结果揭示了当前行业网络安全的状态，以及广泛的改进空间。

此外，MDIC和Booz Allen强调，该报告旨在“激发对话，让医疗技术社区适应不断演变的威胁环境。”行业领导者被邀请分享问题和反馈。

SC Media也多次报道了这些措施的必要性，因为医疗设备在设计时并未考虑网络安全。食品药品管理局FDA已表示正在努力强化审批流程，以包括网络安全相关程序，但有关这些程序的立法提案却在最新的FDA预算案中被排除。

目前，设计安全的设备的责任仍然是自愿的行为。

自2021年4月以来，MDIC与Booz Allen合作制定了这一行业基准报告，评估医疗技术行业的网络安全成熟度。他们选择了医疗保