随着医疗设备对互联和软件的依赖性不断增强,其代码库的规模和复杂性都在增长,并且越来越依赖第三方和开源软件组件,医疗器械企业做好准备面对与日俱增的网络安全风险了吗?
根据Cybellum近日发布的《2022年医疗器械网络安全:趋势和预测调查报告》,医疗器械企业的网络安全信息爆棚,99%的受访者表示他们至少对自己能够应对网络攻击有一定的信心;三分之一的受访者称自己100%有信心。此外,只有5%的受访者认为同行比自己的企业准备得更充分。
100%的盲目自信
但是当调查具体深入时,我们发现相当一部分医疗企业的“100%的信心”开始缺乏底气。
当被问及设备软件安全暴露最多的领域(上图)时,34%的受访者表示事件响应是他们最大的差距。缺乏事件响应能力,表明相当一部分医疗企业距离实现网络安全就绪仍有很长的路要走。此外,只有13%的公司表示他们没有什么可改进的,远低于此前表示“100%就续“的企业比例(33%)
值得注意的是,37%的设备安全专家表示,合规性实际上是他们暴露最多的问题。虽然合规并不意味着你是安全的,但如果不先合规就很难保证安全。
受访者最多遵守的法规是FDA的《医疗器械网络安全管理上市前提交内容》,但这仅占54%的公司,46%的公司承认他们尚未合规(下图):
安全尚未左移
目前53%的医疗器械企业没有使用二进制代码分析来验证其代码的安全性或发现供应链中的风险。46%的企业在设计阶段就设定了安全要求,而其余的企业在开发过程的早期没有适当的流程来实现安全左移。
调查结果显示,近三分之二的企业依赖每月的设备固件测试计划。通常,企业使用DAST和二进制代码分析的频率更低(下图):
报告链接:
https://security.cybellum.com/state-of-medical-device-cybersecurity-2022
