以安全為設計原則的醫療 IoT 及穿戴式裝置

連線式醫療裝置受到網路攻擊的情形與日俱增，而且這種攻擊所造成的影響比醫療系統遭駭更為嚴重。《哈佛商業評論》指出：「雖然醫療系統遭駭很可怕，但是醫療裝置遭駭的後果可能更不堪設想。」此外，《連線》雜誌則指出：「醫療裝置是下一個安全破口。」

為了使醫療裝置的安全性滴水不漏，必須符合美國食品藥物管理局 (FDA) 的要求及其他安全標準。然而，在穿戴式醫療裝置及物聯網 (IoT) 裝置的設計過程中，要實現這項作法又談何容易。

穿戴式醫療裝置的安全性可能成為更大的挑戰

在固定地點使用端點裝置所面臨的安全性問題，儼然已是相當大的挑戰。然而，穿戴式裝置面臨的安全性問題更為嚴峻。主要原因如下：

1. 穿戴的裝置可能並不正確
2. 穿戴者可以四處走動，而且幾乎不限任何地點
3. 使用裝置的人員可能有誤

然而，我們可以採取某些安全措施，判定裝置是否獲授權發送資料。以 Apple Watch 為例，除了跌倒偵測的功能外，Apple Watch 的 API 會要求其執行下列動作：

• 通知使用者，他們需要在 iPhone 上授予權限
• 透過 iPhone 上的健康授權對話方塊，向使用者發出提醒
• 使用 iPhone 完成授權後撥打電話
• 在 Apple Watch 上處理來自 iPhone 的授權結果

您除了得知裝置是否獲授權發送資料以外，還必須判斷裝置是否受到欺騙攻擊、是否有其他裝置正在發送資料，以及該裝置發送的資料是否正確。您也必須檢查裝置發送的資料內容是否準確，以及該裝置是否在正確的時間收到資料。

醫療裝置的安全法規

若要符合 FDA 及其他安全要求，首先要瞭解這些標準。為了避免發生令人難堪的安全漏洞而付出慘重的代價，請遵循以下數位健康要求：

• FDA 建議 – 在 2018 年的準則草案中，FDA 將網路安全風險分為第一階 (Tier 1) 的「高網路安全風險」及第二階 (Tier 2) 的「標準網路安全風險」。第一階有兩個標準：(i) 裝置連接其他產品或網路 (無論為有線或無線)，以及 (ii) 發生可直接傷及多名病患的網路安全事件。該準則草案建議採取以下安全措施：身分驗證、加密、識別、授權與修正。雖然這份準則並未強制執行，然而還是值得注意。截止 2020 年中，該準則仍處於草案階段，但隨時可能獲得正式採用。建議遵照這份準則處理所有新裝置。該準則與先前頒布且仍屬有效的 2014 年準則相仿，但規範更為詳實。
• NIST 網路安全架構 – FDA 的建議正是採用 NIST 網路安全架構為基礎。第一階建議如下：
  • 為防未經授權的使用情形，請將存取權的授予對象僅限為信任的使用者和裝置，並且對安全關鍵指令進行驗證並檢查權限。
  • 維護程式碼、資料及執行的完整性，以確保所涵蓋的內容受到信任。
  • 維護資料機密性。
  • 設計裝置以即時偵測網路安全威脅。
  • 設計裝置以因應潛在的網路安全事件，並控制事件造成的影響。
  • 設計裝置以復原因網路安全事件而受損的功能或服務。

  第一階設計也建議採取彈性措施，例如密碼驗證與身分驗證、安全設置以及網路安全 BOM (CBOM)。

  第二階提出了相同的建議，然而如果基於風險考量表明這些品項均不恰當，則可予以忽略。

• HIPAA (病患資料隱私) – 《健康保險可攜性與責任法案》(HIPAA) 與安全性分離。然而，為了符合 HIPAA，必須確保安全性。以下是其要求：
  • 確保安全設計採用使用者導向設計
  • 確保從裝置到資料庫，以及資料庫實體存取控制的端對端安全性
  • 如果資料傳輸時缺乏病患的身分識別資料，則無隱私權疑慮。在資料庫中將病患的姓名與代碼配對。
• CE 安全性要求 – FDA 準則要求的內容較 CE 詳實，但兩者內容相似：裝置必須安全、有效且具備防護措施。CE 安全性要求注重資料保護 (請參閱 GDPR)，並且比美國的病患資料要求更為嚴格。
  
  適用文件包括《醫療裝置法規》(MDR) 附件 I、軟體方面的 EN62304，以及關於危害分析的 EN14971。必備實務如下：
  • 實務 1：安全性管理
  • 實務 2：安全要求規格
  • 實務 3：以安全為設計原則
  • 實務 4：安全實作
  • 實務 5：安全性驗證與認證測試
  • 實務 6：安全相關問題管理
  • 實務 7：安全更新管理
  • 實務 8：安全準則 - 文件

針對有關 IT 網路特性的作業環境以及產品設計期間無法實作的 IT 安全措施，判定相關的最低要求是製造商的責任。這表示製造商即便不提供網路，仍然必須負責向使用者提供資訊，說明如何在安全網路中使用裝置。

採用以安全為設計原則的方法

醫療裝置安全標準對於醫療 IoT 與穿戴式裝置設計而言至關重要，但要符合這些要求並不容易。若要符合安全要求，唯一方法是以安全為設計原則。這種方式提供許多好處，包括下列幾項：

• 有效及早移除安全缺陷
• 由附加式改採內建式安全性
• 降低責任歸屬風險
• 可強化系統恢復力
• 降低成本

如何以安全為設計原則

首先，請瞭解法規要求。在開始設計產品前先釐清產品要求。在產品設計中納入安全性並進行測試，以確保符合所有要求。

圖 1：如何以安全為設計原則進行實作 (圖片來源：Voler Systems)

瞭解法規要求並釐清其內容只是成功的一半

在設計醫療裝置時，也應該考慮下列要素：

• 技術的選擇：裝置所使用的技術是否已證實可靠？
• 技術方面的弱點：這個技術平台是否有已知的弱點？
• 系統設計：這個系統的風險位於何處？靜態資料跟傳輸中資料各有不同的弱點。
• 風險評估：應將總體風險分為個別的細項，各自列出風險與必須採取的行動。
• 密碼：需要何種層級的密碼？密碼層級過高須耗費更多功率與時間。
• 加密：加密不只是使用加密演算法保護資料。管理安全金鑰更為重要。
• 威脅偵測：如何在發生任何損害前偵測到威脅？
• 滲透測試：僱用道德駭客嘗試攻擊系統。
• 開發人員：開發人員是否參與威脅建模分析？他們是否瞭解設計組織以安全為設計原則的作法？
• 可維護性：是否存在對可維護性及其度量工具的要求？
• 顧及隱私的設計。設計原則是否顧及隱私 (HIPAA 和 GDPR)？
• 後續改良。如何實作持續改良與裝置開發？在產品的生命週期中，安全性會受到愈來愈嚴峻的挑戰。

為了成功實作以上所有措施，請僱用內部 IoT 工程師或可靠的第三方顧問。例如，Voler 曾受託開發 XEEDA Wallet，這是世界上第一個智慧型手機專用的加密貨幣硬體錢包。Voler 在產品開發的每一步驟都以安全為設計原則，並採用極高的安全性層級 (EAL 5 級) 設計該產品，其中採用多重因素身分驗證、內建式生物辨識安全功能，以及其他重要的安全措施。Voler 按時並在預算內完成了這項充滿挑戰的設計任務。

結論

隨著醫療保健方面的網路安全與隱私權問題日益嚴重，安全性應成為產品設計的首要優先事項。產品設計必須符合 FDA、CE 及其他安全要求，方能確保裝置的安全性滴水不漏，並且可避免安全漏洞所引發的後果，這些後果不僅得付出慘重的代價，也令人難堪。

Voler 可以協助為任何裝置選擇正確的安全設計，並且可針對次世代 IoT 及穿戴式裝置的設計與開發方面，提供專業指導。Voler 也能協助挑選適當的技術、評估所採用的電子元件組合是否正確，以確保產品安全性與可靠性。

敬請洽詢 Voler，瞭解更多資訊。