SBOM喊话医疗器械网络安全:别慌,我罩你!Part Ⅱ

1. 前文回顾

大家好!本文的上半篇,我们对SBOM在医疗器械行业中的应用有了一个大体的了解,同时还相对详细地探讨了制造商对于SBOM的收集、生成、分发、维护的一些注意事项分享。(想要回顾可查看我们发布的Part Ⅰ)

而本篇作为Part Ⅱ,将为大家分享对于医疗机构来说SBOM获取和使用的一些注意事项以及SBOM的实际运用案例分享。在过去的十年里,医疗环境已经数字化,数字技术遍布医疗行业的每个部分。这种数字化转型让医疗领域在其行政和临床职能中依赖于软件和软件驱动的设备。不幸的是,这种数字化进程的快速发展也伴随着网络安全威胁的急剧上升。由于HCP领域越来越依赖于数字化和互联,这直接影响了不同的HCP组织和机构,包括大型医疗系统、小型农村医疗设施和日益增长的流动性医疗组织比如家庭护理。所以,对于HCP来说,SBOM的获取和管理是我们需要重点讨论的部分

2. HCP在获取和管理SBOM时需要注意的事项

对于HCP来说,SBOM应该在其采购设备之初就纳入风险管理的一部分。HCP应要求制造商为任何会集成到其网络基础设施的设备提供SBOM。为了能够更好的使用SBOM,医疗机构应确保他们有能力获取和吸收SBOM。对HCP来说,拥有一份完整和准确的软件和硬件资产清单是至关重要的。这份清单应保持最新的状态,包含具有唯一设备标识符的医疗设备,以便与其他资产管理系统和资产内容数据源(如SBOM)相关联。HCP需要了解其网络上运行的硬件资产和相关软件。一旦获得了SBOM,就应该对其进行管理,使组织和机构利益最大化。

2.1 获取和管理SBOM的注意事项

HCP需要了解硬件资产和相关软件,以及在HCP网络环境中存在和运行的软件即医疗设备(SaMD)。HCP可以使用既定的信息技术和资产管理来清点那些直接从开发商那里购买的软件或定制开发的软件。但是,对这些采购的现成设备中的软件进行清点是很不现实的。SBOM增加了MDM和HCP之间共享信息的透明度。以下是一些针对外部来源的SBOM和医疗机构自身拥有的SBOM相关事项的讨论:

  • 采购:在采购过程中供应商需要提供SBOM,使HCP能够审查设备使用的组件。HCP应该注意的是,SBOM在采购和交付期间可能随时会发生变化
  • 标准格式交付:SBOM的交付应基于标准的格式并尽可能实现自动化分发和有效的获取机制。这使得信息能够有效地被HCP获取,并储存在一个安全的地方以保护数据的完整性。可以考虑的三种主要格式是CycloneDX、SPDX和SWID
  • 独特的设备标识符:由于HCP的设备会存在多个型号和版本,所以最好的方式是能让设备的SBOM有一个唯一标识符,以方便准确地定位到某个SBOM对应的是哪一台设备。如IMDRF 应用指南所述,唯一标识符(UDI)在产品层面上就要运用起来,以确保正确地对应到设备和制造商,但也包括医疗设备软件的版本号或设备本身的版本号(如果适用)。由于缺乏标准化的软硬件唯一标识符,可能需要手动进行定位。
  • 完整度:SBOM的完整程度会影响到其可利用的程度。SBOM里的元素至少应包括作者姓名(公司名称和/或个人姓名)、时间戳、组件供应商(供货商)、组件名称、组件版本、唯一标识符和相互关系。(见PartⅠ3.2.1)。
  • 沟通的及时性:当在SBOM中发现存在已知漏洞的组件时,强烈建议MDM和HCP进行及时的沟通,以确保MDM能为解决该漏洞做出相应的动作,如果必要,应得到相关行政机构的批准。
  • 加强设备管理:HCP需要有建立和管理内部SBOM库的能力,让内部的每个设备都能有与之对应的SBOM,以加强对设备管理。举例如下:

【1】搜索和查询能力:存储库除了需要有搜索和查询功能外,最好也能实现对已知漏洞的查询,从而便于对HCP的大量设备进行风险管理。HCP甚至可能需要对所采购设备中包含的嵌套软件(nested software)级别进行查询以了解是否存在漏洞。 【2】更新和维护:存储库需要支持在设备的整个生命周

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值