专管药品安全的FDA，被迫转行要和黑客作斗争了

FDA 是美国的食品药品监督管理局，其职能和我国的食药局类似，都是专门管理各种食物和药物以及医疗器械安全的部门。但是随着科技的进步，越来越多的医疗器械加入了智能的元素，导致 FDA 不得不卷入与黑客的战争中。

今天，FDA 发布了一份关于医疗设备的新互联网安全指南，要求含有智能联网功能的医疗设备制造商应该在设备出售后持续对医疗设备的运转状态和数据进行监控，以保证及时发现漏洞并修补漏洞——但这个建议在现行法律上和安全上可能带来更大的风险。

一方面，医疗设备会产生大量与病人相关的敏感数据，这些数据在美国的法律框架下属于患者的隐私，在未经过患者一一同意的情况下，设备生产厂商是不能进行收集的。另一方面，目前大多数的医疗设备为了能够安全工作都仅限在医院的内网使用，医院内网与外网的物理分隔让这些设备免于受到黑客的远程攻击，但同时也隔绝了制造商监控这些设备的可能性。事实上，要求医疗设备只能在医院内部使用还是 FDA 2015 年曾经发出的警告。

FDA 的科学和战略合作伙伴主任 Suzanne Schwartz 在一篇关于新安全指南的博客中表示，医院内网的隔离机制在防御黑客攻击中起到的作用并不明显，随着黑客攻击越来越复杂，让这些设备保持离线可能会有更大的风险。

FDA 于 2014 年 10 月曾经发布过一套早期的建议，这一次发布的新建议主要指导厂商应该如何在设备离开工厂之后进行维护和漏洞的识别。FDA 建议设备制造商建立信息共享和分析组织，以共同应对某些设备可能均会出现的问题。同时，FDA 规定除非有患者因为某一设备的漏洞导致重伤或死亡，否则设备制造商无需将漏洞报给 FDA。但设备制造商应在发现漏洞的 30 天内告知所有使用设备的用户，并在 60 天内修正漏洞并向同行公布这一漏洞的原理。