为什么 FDA 和 MITRE 也提及 SBOM ？ - 解读《医疗器械网络安全区域事件准备和响应手册》

背景

在数字时代，软件安全已经成为政府、企业、组织等各个层面关注的重要问题。虽然软件是一种无形资产，但是由于忽视软件安全所带来的国家安全、企业安全、个人隐私等各个方面的严重问题却是“有形”的。

在医疗领域，数字医疗市场规模持续增长。据 BCG 报告数据显示，中国数字化医疗用户已达 6.2 亿（引用自：BCG&腾讯《2020 数字化医疗洞察报告》）。疫情后国家陆续出台了多项政策来推动数字化医疗领域的发展。但同时，数字革命推动物联网（IoT）、医疗物联网（IoMT）、软件即医疗设备（SaMD）和联网设备大规模的渗透到医疗环境中，无论是在医院还是家庭，都有可能出现针对受损的联网医疗设备和设备所连接的网络的攻击和入侵行为。

在美国，从 2020 年中期到 2021 年底，82%的医疗系统报告了网络安全事件，其中 34%是勒索软件攻击事件（引用自：HIPPA Journal）。这些攻击往往是非常复杂的，并对多个 IT 系统造成了严重影响，导致业务运营大面积被迫中断，这种中断往往持续数周或数月。

美国联邦调查局互联网犯罪投诉中心（IC3）警告说，使用过时和/或缺乏适当安全功能的医疗设备存在网络风险，会严重影响病人生命安全、个人数据安全和医院运营。IC3 在一份报告中指出，除了过时的软件外，医疗设备可能会因为如下的情况而变得脆弱、易被攻击：易被利用的默认设置、缺少安全功能的定制化软件、在开发时未考虑网络安全的产品。报告建议使用端点保护，如安装防病毒软件和数据加密，更新默认密码，管理组成设备的资产，并监测漏洞。

医疗领域已成为黑客的高价值攻击目标，医疗设备越来越多地成为恶意网络攻击的“重灾区”，这不仅会导致数据泄露，也增加了医疗服务成本，并且它们最终会影响病人的健康状况。

2021 年 FDA（美国食品和药物管理局）发布了医疗器械网络安全指南草案，国际医疗器械监管机构论坛也发布了管理医疗器械 SBOMs 的原则和实践指南草案。此次 FDA 与 MITRE 发布的医疗器械网络安全区域事件准备和响应手册（Medical Device