摘要
美国食品和药物管理局(fda)的一个专家小组表示,联网医疗设备越来越容易受到网络安全威胁。如何与病人沟通这个问题很重要。
很多人没有意识到网络安全风险常见的医疗设备,如胰岛素泵和心脏起搏器,但这些医疗设备可以容易窃听和错误,会议上专家说美国食品和药物管理局(FDA)的病人参与咨询委员会(PEAC) 9月10日。
医生和医疗保健提供者可能不知道如何就这些问题对患者进行教育——如果他们给患者的信息太少,患者可能不知道什么时候用他们的设备获得帮助。如果医生给病人提供了太多的信息或者用他们不懂的语言,病人可能会变得不必要的焦虑。
破解严重问题
当大多数人设想有人入侵电子设备时,他们首先想到的通常不是胰岛素泵之类的医疗设备,但咨询委员会会议上至少有两位发言者描述了通过逆向工程入侵他们自己的医疗设备是多么容易。
其中一个因素与医疗设备随时间的变化有关。根据FDA的一份简报文件,许多医疗设备,包括手术激光系统、血压袖口、透析系统和核磁共振成像仪,以前都是“植入病人体内或用于医院或诊所诊断、治疗或管理健康状况的独立技术”。
现在,许多这些设备都有软件组件,并通过无线接入网络和其他网络相互连接。这些因素增加了设备的功能,但也带来了一些问题,包括暴露病人的私人信息,以及病人没有意识到的错误,比如注射了错误剂量的胰岛素。
“在医疗设备网络安全中,风险通常与未经授权的人(威胁)利用漏洞(如设备软件或固件中的安全弱点)访问一个或多个患者的设备有关。例子包括不适当的起搏器起搏或电击,或输液泵不适当的剂量。
小组成员讨论了医疗保健提供者应该告知患者的信息类型、有效的信息交流方式,以及何时以及如何报告设备的问题。
用户友好的方法是关键
委员会成员一再表示,许多设备及其附带的说明都很笨重,难以理解。修复某些问题需要软件更新和补丁,但是更新设备(如手机)的警报经常发生,一些用户忽略警报,因为他们知道一旦更新设备,就可能丢失有价值的信息。
医疗服务提供者应该使用病人能够理解的文化上合适的语言,如果必要的话,还应该使用翻译。他们应该提供一小部分的信息,让病人有时间处理和理解。如果可能的话,医疗工作者也应该考虑使用图片和可视显示而不是文字。
一位与会者说,由于无法预测哪种网络安全风险会影响特定的医疗设备,医疗服务提供商更难以就风险和好处进行有意义的对话,但许多患者更希望获得尽可能多的信息。
一些与会者说,何时提供健康教育与如何提供信息同样重要。例如,许多病人在麻醉后醒来、压力大、害怕或疼痛时,就记不住别人给他们的信息。
此外,患者对沟通方式的偏好也各不相同:一些人喜欢打传统电话,另一些人喜欢发短信或电子邮件,还有一些人喜欢在邮件中接收信件。了解患者的通信偏好将有助于在需要时提供设备警告和警报,并确保患者能够阅读它们。
另一个需要考虑的因素是,居住在农村地区的患者可能无法使用互联网、更新的电话技术和电话服务提供商。
需要持续警惕
几位小组成员表示,由于网络安全风险的某些因素尚不清楚,因此并不总是有可能预见到可能出现的问题或缺陷;因此,对问题保持持续的警惕是必要的,就网络安全风险及时有效地与医疗设备用户沟通也是必要的。
应对攻击最重要的因素是计划,比如2017年5月的WannaCry勒索软件攻击。然而,网络安全事件响应副主任Natashia Tamari表示,仅为特定事件制定计划往往是无效的。
“我们可以为非常具体的情况制定计划,但这对我们没有帮助;我们必须让框架和(考虑)我们如何相互沟通,谁需要在房间里和协调是什么样子,因为那是真的会是什么关键在准备这些类型的漏洞,”日本酱油解释道。
FDA措施
在考虑是否就医疗设备网络安全向公众发布安全信息时,FDA考虑了许多因素,比如该设备被成功开发的可能性;这种攻击发生的速度有多快,对患者群体的影响有多大;以及采取有效对策需要多长时间。
“由于这些原因,FDA对医疗设备的通信方法网络安全已经先行,前瞻性和积极的漏洞识别和验证开发之前,当有一个缓解,而不是等待一个信号或损害的指标清单,”据FDA发布会上文档。
几位与会者强调了FDA在保护患者方面的作用,以及在医疗设备出现问题时为所有医疗设备使用者提供服务的作用。
“策略和及时沟通的原则一样重要,”美国肾病患者协会患者权益咨询委员会主席保罗·t·康韦(Paul T. Conway)在会上说。
与及时沟通同样重要的是,当有关医疗设备的网络安全担忧得到确认时,FDA不希望过早披露此类担忧,因为它不希望向可能使用这些担忧造成伤害的个人提供信息。
有关网络安全和医疗设备的更多信息,包括上市前和上市后医疗设备网络安全的最终指导文件,可在FDA的网页上查阅。
来源:Medscape
此文系悬壶济世网原创整理,没有授权,请勿转载!