随着信息技术在医疗设备中的广泛应用,医疗设备安全问题日益受到监管机构和行业各方的高度重视。2023年10月1日,美国食品药品监督管理局(FDA)正式要求所有运行软件的医疗设备制造商必须建立并维护软件物料清单(SBOM)。这一要求旨在提升医疗设备供应链的透明度,增强对软件组件的监控和管理能力,从而有效防范和降低网络安全风险。医疗设备制造商(MDM)正面临前所未有的挑战与机遇,如何顺应政策推动,合理利用SBOM工具,实现设备安全与合规的双重目标,成为行业关注的焦点。软件物料清单(SBOM)是一份详细列出了构成软件应用、服务、接口及运行环境所有软件组件的清单,涵盖专有及第三方组件的信息,且以机器可读的标准格式存储。通过SBOM,制造商及相关利益方能够清晰追踪设备中所包含的软件组件来源及版本信息,在发现安全漏洞时,实现快速定位和响应,极大地提升了医疗设备的安全管理水平。
2023年SBOM强制实施的政策背景与行业影响不容小觑。此举符合拜登总统签署的行政命令,要求美国政府及其供应商实施供应链安全最佳实践,其中SBOM是关键一环。医疗设备在美国医疗体系中的重要性显著,联邦政府医疗支出占美国医疗总支出的约28%,涉及医保、医疗补助及退伍军人事务部等多个领域,因此相关产品合规性不仅是法规要求,更是保障整体医疗服务安全的核心。医疗环境内的信息系统和网络连接设备因其复杂性和长期使用的特性,极易成为勒索软件及其他网络攻击的目标。传统医疗设备通常运行在老旧平台上,缺乏自动更新机制,且直接停机风险巨大,因此防护措施尤为重要。通过在设备采购合同中加入SBOM要求,医疗机构能够更有效地甄别和管理内部设备软件风险。
尽管SBOM工具在市场上日益普及,制造商和医疗机构仍面临SBOM标准和实践尚未统一的挑战。当前主要存在三大SBOM标准体系:SPDX、CycloneDX和软件识别标签(SWID),它们在格式、信息结构和应用侧重点上各有不同,增加了跨厂商设备管理和信息共享的复杂度。医疗行业迫切需要制定更符合特定行业需求的SBOM应用规范,例如考虑HIPAA合规组件识别等领域特定要求。从安全运营的角度看,医疗机构需要培养具备SBOM理解和使用能力的专业团队,对设备软件供应链进行持续性监控。此举不仅能识别开放源代码及第三方组件的缺陷,还能积极推动设备制造商加速漏洞修复和补丁发布。医疗设备制造商方面,也应确保设备具备便捷的远程软件和固件更新能力,以缩短漏洞修复周期,提高产品的生命周期安全管理能力。
ActiveState作为行业领先的企业,提供了简便且标准化的方式来生成和追踪SBOM,支持多种编程语言运行环境的自动构建和SBOM自动生成,帮助制造商实现设备开发环境的复现和历史追踪。其平台能验证软件构建环境的完整性,确保CI/CD流程中的软件包一致性,杜绝多余或缺失组件存在潜在的安全隐患。此外,通过集成漏洞利用交换(VEX)数据,制造商能实时告知用户哪些已知漏洞经评估后被确定为不可被利用,从而减轻使用者的安全焦虑。当然,即使具备完善的SBOM管理,医疗设备在实际使用中依然难免遭遇新漏洞。因此,制造商应借助工具实现自动化通知与漏洞预警,持续更新开放源代码组件库,自动重新构建运行环境以加快打补丁的效率,从根本上降低平均漏洞修复时间(MTTR),提升响应速度。这种自动化和标准化的软硬件管理体系不仅优化了制造商的安全管理流程,也极大增强了医疗机构对设备安全的掌控能力。
展望未来,SBOM将在医疗设备行业中发挥越来越核心的角色。随着政策推动和技术成熟,行业整体将迈向更规范、更透明的软件供应链管理。医疗设备生产商与医疗服务提供者之间的协作也将更加紧密,共同应对网络安全威胁,保障患者安全与数据隐私。同时,此举还有助于推动医疗行业数字化转型步伐,使智能医疗设备真正实现安全、可靠和高效。总体而言,2023年医疗设备SBOM政策的实施标志着医疗软件安全管理迈入了全新阶段。对于医疗设备制造商而言,积极适应标准发展、完善自身的SBOM生成和运用能力,是保持市场竞争力和合规要求的关键。
医疗机构则需强化对SBOM的理解和应用能力,将其纳入信息安全和风险管理的重要组成部分,构建更完善的医疗网络安全防线。随着标准逐渐统一和技术的不断进步,医疗设备SBOM必将成为保障患者健康与医疗服务持续稳定的重要基石。
