該安全補(bǔ)丁已經(jīng)發(fā)布����,用以修復(fù)為支持緊急護(hù)理而設(shè)計(jì)的硬編碼解鎖代碼。這顯示了植入設(shè)備在人身安全和信息安全方面現(xiàn)存的矛盾���。醫(yī)療設(shè)備常常需要具備急診救治功能,因此患者們可以在有需要的時(shí)刻得到可能挽救生命的治療��。然而����,這一功能也有安全隱患,它可能被不法分子利用�,進(jìn)而造成嚴(yán)重后果。在產(chǎn)品研發(fā)過(guò)程中找到平衡點(diǎn)���,化解這個(gè)矛盾必不可少��。這也解釋了為什么需要一個(gè)全面�、系統(tǒng)的項(xiàng)目來(lái)確保安全性。這一點(diǎn)軟件安全構(gòu)建成熟度模型(BSIMM)也指出過(guò)�。
總的來(lái)說(shuō),醫(yī)療產(chǎn)品可以為患者提供便利����,但同時(shí)也帶來(lái)了一定的風(fēng)險(xiǎn)。最廣為人知的風(fēng)險(xiǎn)即是處方藥的副作用�。舉個(gè)例子,止咳藥在緩解咳嗽的同時(shí)也會(huì)導(dǎo)致少數(shù)人群出現(xiàn)嗜睡的生理反應(yīng)���;外科手術(shù)也相似���。醫(yī)生會(huì)和患者解釋手術(shù)的裨益,也會(huì)說(shuō)明潛在的風(fēng)險(xiǎn)�����,比如術(shù)后感染���。這些風(fēng)險(xiǎn)有時(shí)非??膳拢贿^(guò)它們發(fā)生的概率極小��。在這些例子中��,醫(yī)生和患者之間有關(guān)手術(shù)利弊的討論是以科學(xué)研究為依據(jù)�,風(fēng)險(xiǎn)會(huì)根據(jù)真實(shí)病例歸類(lèi),用百分比表示出來(lái)����。大多數(shù)人可以理解“千分之一的人會(huì)產(chǎn)生嗜睡反應(yīng)”的概念,在知情的情況下做出決定���。
但是�,這類(lèi)數(shù)據(jù)并不存在于安全漏洞中�����。因此���,患者與其醫(yī)生之間的利弊討論不是基于經(jīng)驗(yàn)證據(jù)。醫(yī)療行業(yè)需要一套能分析安全性利弊的替代方案���。
應(yīng)對(duì)安全性問(wèn)題
醫(yī)學(xué)設(shè)備行業(yè)發(fā)布補(bǔ)丁通常周期都很長(zhǎng)�����。盡管美國(guó)食品藥品監(jiān)督管理局已經(jīng)說(shuō)明那些嚴(yán)格針對(duì)安全漏洞的發(fā)布不再需要遵循同樣的質(zhì)量體系規(guī)定流程�,但是制造商仍有責(zé)任確保他們的系統(tǒng)更新安全有效。換句話(huà)說(shuō)���,安裝的軟件補(bǔ)丁仍需要嚴(yán)格的分析�����、研發(fā)���、認(rèn)證和驗(yàn)證,以確保其按預(yù)期運(yùn)行并且不會(huì)引入新的風(fēng)險(xiǎn)��。補(bǔ)丁可能會(huì)產(chǎn)生不利的影響(比例高達(dá)30%)�,近期發(fā)生的Spectre 及 Meltdown處理器安全漏洞就是很好的例子。制造商需要實(shí)行必要的測(cè)試以確保所有修補(bǔ)都能正常運(yùn)行���。
醫(yī)療設(shè)備安全主要涉及識(shí)別和減少風(fēng)險(xiǎn)���。制造商需要在整個(gè)研發(fā)生命周期融入信息安全風(fēng)險(xiǎn)管理,這個(gè)流程的重要性和人身安全風(fēng)險(xiǎn)管理是一樣的�。這意味著他們需要開(kāi)展結(jié)構(gòu)風(fēng)險(xiǎn)分析��、威脅模型分析���、自動(dòng)代碼審查以及安全測(cè)試等活動(dòng)。
這是一個(gè)廣泛涉及醫(yī)療護(hù)理和信息安全問(wèn)題��,就像修補(bǔ)單個(gè)設(shè)備一樣�。這里有一份駭人的數(shù)據(jù):三分之一的醫(yī)療應(yīng)用程序毫無(wú)隱私條款;三分之一會(huì)與第三方共享信息����;另外三分之一則完全沒(méi)有采取加密方式來(lái)保護(hù)用戶(hù)信息。有鑒于此��,許多人建議醫(yī)療護(hù)理行業(yè)應(yīng)該對(duì)個(gè)人隱私管理進(jìn)行變革����。
如果你在下載一款醫(yī)療應(yīng)用程序,那么你極有可能在毫不知情的情況下泄露了個(gè)人信息��。雖然醫(yī)療應(yīng)用程序在上市前必須進(jìn)行加密�����,但它們大部分都不滿(mǎn)足這一條件����。消費(fèi)者應(yīng)該明白,要獲得這些移動(dòng)醫(yī)療應(yīng)用程序的好處����,他們將失去對(duì)其私人健康數(shù)據(jù)的控制權(quán)。
此外����,想象一下,你無(wú)意中通過(guò)移動(dòng)應(yīng)用程序提交的數(shù)據(jù)���,卻用于將你的生物信息與潛在的醫(yī)學(xué)疾病聯(lián)系起來(lái)���。這信息是否應(yīng)該傳達(dá)給你?應(yīng)該如何呈現(xiàn)��?甚至你想知道自己是否在追求一些可能不會(huì)發(fā)生的事情嗎��??總而言之����,安全性可以推動(dòng)新型醫(yī)療模式的發(fā)展,為患者帶來(lái)巨大利益�,但同時(shí)也是許多困擾的根源�����。為了讓患者充分受益����,信息安全性必須成為醫(yī)療機(jī)構(gòu)的首要關(guān)注點(diǎn)���。???
