利用先进的计算技术——例如，“人工智能(AI)、更快更小的计算硬件、计算驱动的机器人、增强/虚拟现实和物联网(IoT)”——给医疗技术公司带来了几乎无限的利润机会。

 

这种机会伴随着网络攻击带来了“几乎无限的责任”。虽然医疗科技公司多年来一直听到类似的网络攻击警告，但许多公司仍然没有做好充分准备，特别是因为他们严重低估了网络攻击的财务风险。这很大程度上是因为认知偏差“积极幻觉”，即“对未来不切实际的乐观”的系统性决策/判断错误。

 

医疗技术复杂、威胁商业的风险有哪些呢？

 

可以将网络风险分为五类有害事件——1）操作干扰、

 

2）设备问题、

 

3）数据泄露、

 

4）财务和IP盗窃，以及

 

5）合规和销售问题。

 

一个或多个有害事件可以产生一种或多种类型的财务损害：失去销售、客户、投资者和合作伙伴；监管成本；勒索付款；金融盗窃；以及调查和补救费用。

 

 

你不需要知道在上图顶部的灰色方框中关于网络攻击的工作知识，但是你应该知道以下几点:

 

1、网络攻击会导致一个或多个有害事件。

 

2、有害事件会造成一种或多种经济损失。

 

3、网络犯罪分子正在快速、持续地寻找新的漏洞（如下图所示），开发新的网络攻击，并精心设计利用网络攻击赚钱的新方法。

 

 

4、为了经济高效地缓解这些风险，您需要一个多工具、多学科的网络风险缓解系统。

 

有害事件类别示例

 

1.运营中断:

 

一个例子是2020年6月1日，加州大学旧金山分校遭到勒索软件攻击，该校医学院的数据被加密，该机构为此支付了114万美元的赎金。该校还承担了巨额调查费用，并因名誉受损而遭受了难以言表的伤害。著名的网络安全公司Sophos报告称，“2021年，针对医疗保健的勒索软件攻击几乎翻了一番(2021年为66%，2020年为34%)”，并且“平均补救成本从2020年的127万美元上升到2021年的185万美元。”2022年可能会更糟，因为从1月到6月，该机构的调查和执法部门HHS民权办公室报告了“256起黑客攻击和信息泄露事件，高于一年前同期的149起。”对医疗科技/制药公司最昂贵的攻击是2017年默克公司的NotPetya崩溃，该公司公开报告称，这次攻击造成了约13亿美元的损失。

 

2.设备问题:

 

在我们使用这个术语时，设备问题既来自利用网络漏洞的网络事件，也来自这些漏洞的存在。仅仅是漏洞的存在就可以阻止上市前设备的批准，干扰上市后的销售，和/或造成重大的上市后设备漏洞补救成本，通知公众漏洞的声誉损害，以及威胁业务的召回。所有这些都会带来巨大的成本。

 

当网络事件利用设备漏洞导致患者受伤时，医疗技术公司面临更大的财务风险。在这些情况下，责任实际上是无限的。根据电子书health care Security disease Balloon in a Covid-Era World，2020年，美国CISA发布了六次以上的输液泵警告，FDA发布了一系列警告，建议医疗设备制造商保护他们的设备免受各种漏洞的影响，包括Log4Shell、SweynTooth、URGENT/11、Ripple20和SigRed。Ripple20漏洞是一种常见、可怕且具有潜在破坏性的医疗设备漏洞。新技术和新设备带来了利用漏洞的新方法。

 

3.数据泄露:

 

例子包括2019年Zynga被盗的2.18亿个账户，2020年新浪微博(中国的Twitter)被盗的5.38亿个账户，2018年Dubsmash被盗的1.62亿个用户账户。即使是终极科技公司之一，拥有几乎无限安全资源的微软也在2019年遭遇了2.5亿条客户记录的数据泄露。医疗技术和医疗保健提供商正以惊人的速度遭受数据泄露。阅读HHS民权办公室的许多违规调查，其中显示2020年有650起数据违规影响500多个人，2022年有714起。数据泄露给公司造成了数百万美元的损失。Ponemon Institute备受推崇的报告称，2020年美国数据泄露的平均成本为864万美元。此外，像2019年华盛顿州立大学被盗的112万份记录这样的较小漏洞会造成致命的商业损失。华盛顿州不得不支付470万美元来解决数据泄露受害者提起的集体诉讼，2015年，加州大学洛杉矶分校医学院的初级教学医院以750万美元解决了数据泄露诉讼。

 

4.IP和金融盗窃:

 

数字医疗技术公司是IP盗窃的主要目标。

 

5.销售、合作伙伴和合规性问题:

 

医疗设备公司面临的两大网络风险是与上市前网络安全要求相关的设备审批问题和延迟，以及无法向客户和合作伙伴证明您的设备的网络安全——他们通常采用比监管机构更严格的网络安全要求。

 

数字医疗技术公司需要了解市场对其安全性的需求，包括他们将如何回答医疗设备安全性制造商披露声明(MDS2)中的问题，许多大型医疗保健提供商在购买您的设备前会要求这些问题。

 

此外，在制定网络风险缓解策略时，医疗技术公司需要考虑其网络风险的真实潜在成本，包括所有上市前和上市后成本。另一种形式的合作伙伴网络风险通过您的供应链出现: 例如，您的设备中集成的软件或硬件存在计算漏洞，需要昂贵的补救措施和/或导致设备故障，从而伤害患者。

 

财务伤害类型

 

1.销售、客户、投资者和合作伙伴损失:这些包括有害事件导致销售、客户、投资者和合作伙伴损失的成本。在许多情况下，医疗技术公司将被要求通知人民和/或监管机构有关有害事件:

 

• HIPAA涵盖的数据泄露: HIPAA涵盖了许多医疗技术公司，HIPAA泄露通知规则(45 CFR 164.400-414)要求在不安全的受保护健康信息泄露后通知HHS和公众。

• 上市公司的数据泄露: SEC要求上市公司提供任何符合实质性标准的网络事件通知，包括数据泄露。2022年3月，SEC提出了更加严格的数据违规报告要求。

• FDA要求报告:《医疗器械报告(MDR)条例》( 21 CFR Part 803)要求器械制造商在得知他们的任何器械可能导致死亡或严重伤害时向FDA报告。FDA医疗器械上市后网络安全管理指南要求器械制造商报告与网络事件和/或网络漏洞相关的不可控剩余风险。

• 非医疗保健隐私法: GDRP和每个州都有隐私法，可能需要通知。

 

因此，在你公司经历的几乎每一次重大网络事件之后，你的潜在客户、客户、投资者和合作伙伴都会发现发生了什么。在许多情况下，了解你的网络事件会降低别人对你的信心，让你失去销售、客户、投资者和合作伙伴。更糟糕的是伤害患者的设备问题，因为这些有害事件会损害您的声誉，并通过集体诉讼或个人诉讼产生令人震惊的责任。

 

2.调查和补救成本:

 

这包括您调查导致有害事件的网络攻击的成本，以及将您的运营和/或产品至少恢复到原始状态的成本。这些成本可能相当高。如上所述，Sophos发现，“(遭受勒索软件攻击的医疗保健公司)的平均补救成本从2020年的127万美元上升到2021年的185万美元。”另一个主要的财务风险是，一些计算漏洞——即使从未被网络事件实际利用——将会非常严重，以至于FDA需要昂贵的补救措施和/或召回。

 

3.法律和合同成本:

 

这些成本包括违反现有合同(如SLA)的有害事件和/或导致对您提起诉讼的成本。许多医疗技术公司在制定网络风险策略时没有考虑这些成本。为了避免这种情况，医疗技术公司需要部署多学科方法来减轻网络风险。

 

4.监管成本:

 

这些成本包括任何相关监管机构调查您的网络事件、对您采取负面行动(例如罚款或执法行动)和/或要求您的公司补救网络事件造成的损害的成本。调查和补救成本略有重叠，尽管发生网络事件的公司几乎总是有调查和补救成本，但不一定有监管成本。

 

5.勒索付款:

 

这些是向网络攻击者支付赎金的费用，以恢复您的运营和/或防止从您那里窃取的信息的传播。

 

6.金融盗窃:

 

这些是攻击者从您那里窃取资金时的直接金钱损失。

 

加剧网络风险的4个因素

 

不幸的是，正如下面这张信息图所介绍的，有四个因素大大加剧了医疗技术公司的网络风险:

 

 

日益严格的法规:

 

美国、欧盟和世界各地的监管机构不断提高医疗设备网络安全要求的严格程度。

 

主要的例子是欧盟关于医疗器械的法规745/2017 (MDR)和关于体外诊断医疗器械的法规746/2017 (IVDR)，这两个法规都于2017年5月25日通过并生效。MDR于2021年5月26日全面生效，IVDR于2022年5月26日全面生效。在MDCG 2019-16医疗设备网络安全指南中可以找到对这些更严格的医疗设备要求的很好解释。

 

2022年4月，FDA发布了一份“上市前网络安全”指南草案，取代了其2018年的上市前网络安全指南草案。该指南涵盖所有包含软件、固件、可编程逻辑和医疗设备软件(SaMD)的设备。这一更加严格的监管计划的重点包括:

 

• 更加重视网络安全如何与FDA的质量体系法规相关联(QSR)，包括建议使用安全产品开发框架(SPDF)来实现这一目标。SPDF包含设备整个产品生命周期的所有方面，包括开发、发布、支持和退市。

 

• 建议设计过程包括在设计过程中进行威胁建模: 例如，网络攻击者如何攻击设备，以及制造商如何防止此类攻击。

 

• 推荐软件材料清单(SBOM)而不是网络安全材料清单(CBOM)。FDA声明SBOM应包括软件组件描述符(名称、版本、制造商)、提供的支持级别、支持终止日期以及任何已知的漏洞。

 

• 虽然它取消了对制造商将其产品分类到风险等级的要求，但它要求制造商在上市前提交的报告中提供更多细节，包括提供医疗保健提供商可以用来有效修补设备漏洞的技术手册。

 

虽然新的指南草案是自愿的，但FDA声明，“不遵循指南将会产生更大的、可能的复杂性或潜在的困难，以解决审查过程中出现的问题。这意味着潜在的延迟。”这使得它在本质上和实际上都是“非自愿的”。

 

不断增长的大规模攻击面和计算技术依赖性:

 

就其本质而言，医疗技术公司通过不断增加更多计算技术来努力创新和降低成本，尤其是在以下领域:

 

• 增强的计算能力/互联网接入和新的软件应用程序和硬件，以提供他们的创新产品。

 

• 通过云存储、移动设备和患者家中的医疗技术系统来消除传统的安全边界。

 

• 需要复杂的数据分析技术(例如，机器学习和人工智能)来扰乱市场和战胜现有企业。

 

计算技术的每一次增强都增加了公司的网络攻击风险，增加了其网络攻击面(即，可被用来对您进行网络攻击的物理和数字漏洞的总和)及其对计算技术的依赖。不幸的是，今天的数字医疗设备公司的攻击面和对计算技术的依赖是巨大的，并且在一个危险的时刻增长:也就是说，即将出现的主要网络犯罪方式如下所述。这一严峻的现实，加上其他因素，强烈支持将多学科网络风险缓解策略融入到您的产品开发过程和任何计算技术的使用中。

 

网络安全专业人员流动性大:

 

根据Nominet CISO压力报告，所有行业的首席信息安全官(CISO)的平均任期为26个月。这种流失是一个严重的问题，既造成了高昂的人才搜索费用，也使公司与可靠、长期的网络安全领导相比缺乏保护。可以看下这些“网络安全劳动力需求”的事实和2021年网络安全劳动力研究。

 

重大的、迫在眉睫的网络犯罪浪潮:

 

网络犯罪分子的经济动机是历史上最高的，正在增长，并将产生前所未有的基于勒索的网络犯罪浪潮，通常被称为勒索软件。大多数数字医疗设备领导者都了解勒索软件的基本知识，即在感染后，它使用加密使计算机瘫痪，然后要求支付恢复操作的手段，甚至采取破坏性行动使设备变得不可用(如NotPetya)。但很少有领导人知道，最近支付赎金的趋势创造了一个充满活力的勒索软件生态系统，甚至包括出售带有免费试用和技术支持的勒索软件的软件服务平台。结合全球计算技术使用的快速增长，这一充满活力的生态系统将产生前所未有的勒索型网络犯罪浪潮，而此时学术机构缺乏安全/预防资金，网络安全人员的流失速度也达到了历史最高水平。

 

此外，网络攻击变得越来越复杂，比如最近的太阳风崩溃和微软Exchange服务器黑客攻击。2020年初，攻击者入侵了太阳风公司的软件开发环境，并在太阳风公司广泛使用的IT监控软件的更新中安装了一个复杂的网络攻击工具(称为后门)。通过更新他们的Solarwinds软件，客户安装了一个后门，允许攻击者安装额外的恶意软件并发起更多的攻击。因为太阳风的整体攻击非常复杂，几个月都没有被发现；危及至少18，000名Solarwinds客户的计算系统，包括财富500强公司、许多美国政府机构和一些大学和学院，没有人知道损害的程度。

 

一个现实的网络攻击场景

 

对于这个网络攻击场景，我们创建了一个虚构但真实的医疗技术公司、设备和网络攻击。该场景代表公司、设备和攻击的混合体，与真实公司、设备或攻击的任何相似之处都是无意的。

 

该公司及其设备: ACME公司开发了一种设备“Less Depressed”，并在FDA的批准下，将其商业化，它被植入大脑，以监控与抑郁有关的神经递质(去甲肾上腺素、血清素和多巴胺)，识别与抑郁情绪/情绪有关的模式，创建定制系统以缓解患者的抑郁，并通过在正确的时间触发正确剂量的适当神经化学物质的释放来实施定制系统。该设备包括(1)具有CPU、固件、存储器和蓝牙连接的复杂植入物；(2)由强大的机器学习软件组成的广泛的后端，以及(3)带有仪表板的移动应用程序，允许患者和他们的护理人员实时查看正在发生的事情。在袭击发生时，美国有10，000名患者患有轻度抑郁症。

 

网络攻击

 

网络攻击有三个部分:

 

• 渗透开发环境: 

 

攻击者向该公司的软件开发人员发送电子邮件，其中附有吸引人的附件，其中包含恶意侦察木马，一旦打开，攻击者就可以进入开发环境。只需打开一次恶意电子邮件附件，攻击者就可以访问并秘密研究软件开发环境。

 

• 数据窃取和恶意应用程序更新:

 

攻击者利用他们对开发环境的访问权限进行了以下操作:

 

--从正在更新的数据库中识别并复制未加密的受保护健康信息(PHI );和

--创建一个后门，允许他们上传一个虚假/恶意的应用程序，当安装后，他们可以与应用程序/设备通信并控制它们，并终止公司与应用程序/设备通信和控制它们的能力。

 

恶意应用程序使攻击者能够(除其他外)通过恶意蓝牙更新使设备永远不可操作(称为“砖块”)；关闭设备；甚至导致设备出现故障，伤害病人。

 

• 他们的勒索需求:

 

在核实几乎所有设备应用都安装了恶意更新后，攻击者要求公司在48小时内支付他们1500万美元的比特币；否则，他们将同时在网上发布PHI，并通过蓝牙攻击“拦截”所有设备。因为攻击者终止了该公司与应用程序/设备通信和控制应用程序/设备的能力，并且只给了该公司48小时的付款时间，所以该公司的防御选项受到了严重限制。最好的防御措施是分别指导10，000名患者卸载该应用程序，这在48小时内是不可行的。这给该公司带来了支付1500万美元的巨大压力。

 

是否支付赎金是一个复杂、困难的决定。在这个现实场景中，该公司决定不付款，而是加速关闭所有设备并承担后果。其专家说服该公司，支付赎金并不能保证停止威胁。

 

发生了什么:

 

不幸的是，在48小时内，该公司无法重新控制其设备，因为该公司无法重新建立与它们的通信。这意味着他们必须指导患者删除设备应用程序，而不是重新安装它。他们在48小时内与患者沟通的努力导致只有5000名患者删除了恶意应用程序。因此，由于他们没有支付赎金，攻击者使用恶意的蓝牙更新来“砖化”其他5000台设备，使它们永久无法操作，并要求5000名受影响的患者中的每一位进行手术来移除它们。我们估计每次手术和后续护理的费用约为50，000美元，没有任何预先协商的折扣。我们还假设，突然关闭设备可能会产生不可预见的危险后果，但在这种情况下不会发生。

 

网络攻击造成的经济损失:

 

下面总结了经济损失。

 

• 调查和补救成本:

 

该公司放弃了一切，立即调查发生了什么，并尝试补救他们的计算环境，以阻止对设备和患者的进一步攻击和伤害。这种类型的网络取证调查和补救需要广泛的专业知识，非常昂贵，可能非常耗时，并且远远超出了大多数医疗技术公司的内部资源。即使有成功的机会，该公司也需要立即联系一支训练有素的网络法医专家团队——很少有医疗科技公司会提前安排这种事情。因此，假设他们有这样的权限，该公司将需要雇用一个大型专家调查团队，并为立即采取行动支付额外费用:例如，五个人在两天内每天花费2000美元，仅前48小时就总计20000美元。几乎可以肯定的是，该公司需要在最初的48小时之外继续调查和补救。我们估计，此次网络攻击的调查和补救总成本将超过30万美元，并高达100万美元。

 

• 法律、监管和合同成本:

 

该公司将被要求通知HHS关于PHI数据泄露的情况，以及FDA关于对设备的攻击和相关漏洞的情况。该公司还将被要求通知患者和公众。因此，这次攻击可能会引发FDA和HHS的调查。这意味着该公司可能需要雇用两个不同的昂贵的外部律师: 一个专门从事FDA调查，另一个专门从事OCR(公民权利办公室)调查。每次调查都可能导致昂贵的罚款，而FDA的调查可能导致更昂贵的召回。我们估计了以下成本:

 

-至少15万美元的法律费用

-至少10万美元的监管罚款

-召回成本至少为(包括手术成本)加上其他5000台设备的费用。

 

此外，该公司可能会承担重大责任，因为它必须赔偿参与为患者提供设备的其他实体，如医院系统和其他医疗保健提供商，这些实体因攻击而产生了成本，包括2.5亿美元的天文数字的手术费用(每次手术5，000 x 5万美元)。也可能有合同条款允许客户撤销他们的购买协议。

 

更大的潜在经济损失来自不可避免的诉讼，尤其是集体诉讼或跨地区诉讼。这些诉讼可以由患者和/或受影响的医疗服务提供者提起，原告律师协会已经做好了充分的准备并有足够的资金提起这些诉讼。仅仅为这些诉讼辩护就可能花费1500万到2000万美元，解决这些诉讼可能包括每次手术的费用(5万美元)和每个原告10万美元的损害赔偿。总额可能高达7.7亿美元:2000万美元的辩护费用加上7.5亿美元的损害赔偿金(5000名原告15万美元)。

 

• 失去销售、客户、投资者和合作伙伴:因为这种攻击将是公开的，包括许多细节，如设备易受攻击和被堵塞、手术和可能的成本，几乎所有的客户、潜在客户、合作伙伴和投资者都会知道。这种知识可能会导致以下几点:

 

- 严重影响未来的销售。

- 使现有客户和合作伙伴能够取消所有采购和/或分销协议。

- 阻止投资者进一步支持公司。

 

仅这一项财务损失就可能导致公司破产，即使该公司拥有涵盖许多其他财务损失的出色保险(见下一节)，但基于医疗技术公司通常购买的保险范围，这不太可能。

 

• 关于保险的特殊部分:

 

为了简要介绍一些保险问题，请考虑以下内容:

健康保险公司支付的任何费用都可能引发针对该公司的赔偿诉讼。

典型的网络责任政策将涵盖赎金支付、调查、仅限于数据泄露和监管行动的法律成本、监管罚款和第三方隐私责任索赔。有些可能涵盖收入损失，但这种覆盖通常有严格的限制和例外。

但是，该公司需要强大的专业保险(例如，技术专业人员和医疗专业人员责任保险)，以涵盖与诉讼和健康保险公司赔偿索赔相关的任何成本。

 

底线总估计:

 

这一现实场景的总潜在财务损失令人难以置信:

 

• 调查和补救: 30万美元

 

• 法律、监管和合同成本(不包括诉讼): 125万美元。

 

• 诉讼费用: 7.7亿美元。

 

• 失去销售、客户、投资者和合作伙伴:破产

 

很少有医疗科技公司能够幸免于此。

 

对网络攻击的财务影响不切实际的乐观往往导致医疗科技公司对此类攻击准备不足。有时，一个有效的解药是一个“激励”练习，在这个练习中，你量化每种有害事件的最坏情况下的经济损失。一个捷径是根据您的业务模式调整我们现实的网络攻击场景，并让一个多学科团队(财务、运营、销售/营销、IT、法律和风险管理)合作评估有害事件最坏情况下的财务损失。

 

【结论】

 

总体而言，网络风险是数字医疗设备公司面临的最大财务威胁之一。不幸的是，太多的数字医疗设备公司正在使用传统的、以技术为中心的方法来降低网络风险，这种方法比以利润为中心的、多工具、多学科的网络风险降低方法更昂贵、效率更低。