为什么FDA和MITRE也提及SBOM ？

妮妮安

背景

在数字时代，软件安全已经成为政府、企业、组织等各个层面关注的重要问题。虽然软件是一种无形资产，但是由于忽视软件安全所带来的国家安全、企业安全、个人隐私等各个方面的严重问题却是“有形”的。
在医疗领域，数字医疗市场规模持续增长。据BCG报告数据显示，中国数字化医疗用户已达6.2亿（引用自：BCG&腾讯《2020数字化医疗洞察报告》）。疫情后国家陆续出台了多项政策来推动数字化医疗领域的发展。但同时，数字革命推动物联网（IoT）、医疗物联网（IoMT）、软件即医疗设备（SaMD）和联网设备大规模的渗透到医疗环境中，无论是在医院还是家庭，都有可能出现针对受损的联网医疗设备和设备所连接的网络的攻击和入侵行为。
在美国，从2020年中期到2021年底，82%的医疗系统报告了网络安全事件，其中34%是勒索软件攻击事件（引用自：HIPPA Journal）。这些攻击往往是非常复杂的，并对多个IT系统造成了严重影响，导致业务运营大面积被迫中断，这种中断往往持续数周或数月。
美国联邦调查局互联网犯罪投诉中心（IC3）警告说，使用过时和/或缺乏适当安全功能的医疗设备存在网络风险，会严重影响病人生命安全、个人数据安全和医院运营。IC3在一份报告中指出，除了过时的软件外，医疗设备可能会因为如下的情况而变得脆弱、易被攻击：易被利用的默认设置、缺少安全功能的定制化软件、在开发时未考虑网络安全的产品。报告建议使用端点保护，如安装防病毒软件和数据加密，更新默认密码，管理组成设备的资产，并监测漏洞。
医疗领域已成为黑客的高价值攻击目标，医疗设备越来越多地成为恶意网络攻击的“重灾区”，这不仅会导致数据泄露，也增加了医疗服务成本，并且它们最终会影响病人的健康状况。
2021年FDA（美国食品和药物管理局）发布了医疗器械网络安全指南草案，国际医疗器械监管机构论坛也发布了管理医疗器械SBOMs的原则和实践指南草案。此次FDA与MITRE发布的医疗器械网络安全区域事件准备和响应手册（Medical Device Cybersecurity Regional Incident Preparedness and Response Playbook）对于医院和医疗服务机构应对医疗设备网络安全事件时的应急管理能力和事件响应能力起到了补充建议的作用。
目的

本手册提供了一个由利益相关者驱动、开源、可定制的框架，医院和医疗服务机构可以选择将该手册纳入其应急计划。其最终目的是减少对临床护理的影响，以及医疗设备网络安全事件对患者造成直接伤害的可能性。
本手册还讨论了与网络和应急风险管理有关的建议，提升网络安全事件准备活动，认识到网络威胁带来的风险。虽然网络安全事件与自然灾害的应急准备和响应有相似之处，但网络安全有其独特的特点，风险发生的途径多种多样，因此需要将网络事件具体整合到一个医疗机构的紧急情况计划中。
手册的受众群体

医院和医疗服务机构是本手册的主要受众，其中包括：参与医疗器械网络安全事件准备和响应的工作人员，包括但不限于临床医生、医疗技术管理专业人士和信息技术人员、应急响应、风险管理和设施工作人员。
设备制造商及其他支持医院和医疗服务机构相关应对工作的外部实体，包括系统维护承包商和卫生系统、区域和国家承担相关响应工作的实体。
涉及范围

本手册旨在提升医疗机构对医疗设备网络安全问题的准备和响应。特别值得关注的是那些可能会引起病人安全问题的威胁或漏洞，并有可能造成更大规模的影响，导致更多的病人受到影响。
医疗机构可能无法按照本手册中的要求对医疗设备做到全面的覆盖，对于没有医疗设备网络安全响应计划的医疗机构，可以以本手册作为一个起点来实施相关工作。该手册建议医疗机构与相关的政府机构和企业进行合作来推进对网络安全事件的应急响应。
涉及SBOM的相关条款

SBOM的全称是Software Bill of Materials，中文译为软件物料清单，它不是一种特定的文件格式。BOM这个定义广泛存在于传统制造业，用以跟踪和记录产品的部件，当部件产生缺陷的时候，可以准确清晰快速地定位到缺陷影响的部件。那么同理，在软件领域，它的作用是能够实时跟踪软件中使用的第三方组件来管理整个软件供应链。
SBOM有不同的格式，但是其实质都是对于组件、依赖、漏洞、许可证、版权等信息的展示。
在本手册的6.1.1章节医疗器械采购中，明确规定了将网络安全纳入医疗设备采购的要求信息，可以加强医疗设备的网络安全。对于医疗设备采购的其中一个要点就是要求供应商提供软件物料清单（SBOM）来使医疗机构能够识别和解决脆弱的设备组件。这些信息对应急响应计划的制定很有价值。SBOM可以对组织机构的设备库存进行梳理和优先排序，有助于在安全事件发生时做出更迅速、更聚焦的反应。
在6.1.2章节医疗器械资产清单中规定了一个基本的准备原则是了解哪些系统连接到医疗机构的网络中，或医疗机构依赖的网络。通过维护一个集中管理的、有关每个医疗设备的基线信息，医疗机构可以更好地在网络事件发生之前、之时和之后对医疗设备进行了解和管理。这其中包括历史遗留设备和用于研究的设备或在其他非网络上的设备。定期更新医疗设备的信息（最好是实时的更新和/或发生变化时更新），将有助于确保在安全事件发生时，组织中的库存信息是最新的，以便能够迅速找到被攻击的设备并对其进行修复。这些设备信息中就包括了包含如下信息的SBOM（软件物料清单）: 组件版本、发布信息、补丁状态等等。该手册中建议医疗机构在医疗设备采购实践中将要求制造商同时提供SBOM和响应的查询功能考虑在内，以维护设备资产库存。
对医疗设备制造厂商的要求

医疗设备厂商在医疗设备安全事件响应过程中扮演重要角色，医疗设备厂商对设备的了解、验证漏洞的能力、评估设备的入侵或破坏程度，并制定修复措施，这对于发生安全事件后恢复医疗机构的正常医疗服务功能至关重要。
在某些情况下，医疗设备维护合同可能会限制医疗机构的干预，使其完全依赖医疗设备制造厂商（或其他维护承包商）来对任何需要的设备进行改动。在其他情况下，如果嵌入式设备组件包含或导致漏洞，可能需要咨询第三方供应商。
解读

随着我国医疗设备制造水平的不断提升，在满足国内医疗机构需求的同时，我国出现了大量的企业将医疗设备出口到美欧等发达国家和地区。2021年我国医疗器械对外贸易总额达1349.4亿美元，其中仪器设备占比高达20%以上，且对欧美市场的出口额占显著比例。
由于近期针对软件供应链攻击活动呈现极速增长的态势，出口型医疗设备制造商应该及早建立以安全与合规并重的开源治理体系，一方面确保自身产品更加安全与合规，另一方面满足上游用户的要求。
对于医疗设备制造业，开源合规治理是相对比较新的概念，首先需要建立进行开源合规治理重要性的意识，对于为什么要进行开源治理，怎么进行开源治理尚不清晰。相较于互联网企业，我国医疗体系的信息化建设整体发展较为缓慢，建立开源治理体系尚需一定的时间。但是对于大量的医疗设备出口企业，建立以开源合规为导向的开源软件治理体系的需求非常急迫。