醫(yī)療設(shè)備制造商并未被排除在這種供應(yīng)鏈中斷之外,但也不能在供應(yīng)鏈恢復(fù)之前暫停生產(chǎn)。企業(yè)需要保持生產(chǎn)順暢,這就需要尋找新的供應(yīng)商。然而,新的供應(yīng)商或者沒(méi)有經(jīng)過(guò)審查的供應(yīng)商將會(huì)帶來(lái)新的風(fēng)險(xiǎn),以及將漏洞和威脅引入產(chǎn)品或設(shè)備生命周期的可能性。
最薄弱的環(huán)節(jié)
正如行業(yè)媒體最近報(bào)道的那樣,包括菲利普斯和通用電氣醫(yī)療保健公司在內(nèi)的許多主要醫(yī)療保健制造商都面臨著供應(yīng)鏈挑戰(zhàn)。供應(yīng)的延遲影響了他們?cè)跀?shù)量和時(shí)間上滿足生產(chǎn)預(yù)期的能力。未能達(dá)到這些預(yù)期影響了他們的利潤(rùn),這些企業(yè)在去年第四季度出現(xiàn)了明顯的虧損。
未能交付
在許多情況下,由于生產(chǎn)或運(yùn)輸?shù)难诱`,供應(yīng)線也受到了影響。即使生產(chǎn)了產(chǎn)品,也無(wú)法迅速進(jìn)入生產(chǎn)的下一步。這導(dǎo)致企業(yè)必須預(yù)先訂購(gòu)和存儲(chǔ)比以往更多的備件,以建立庫(kù)存,并確保其生產(chǎn)鏈的一致性。
這種對(duì)庫(kù)存或過(guò)度訂購(gòu)的需求,促使許多企業(yè)尋找能夠穩(wěn)定供應(yīng)的替代供應(yīng)商。隨著新供應(yīng)商的出現(xiàn),新組件、未經(jīng)測(cè)試的組件和新漏洞的潛在風(fēng)險(xiǎn)也隨之增加。
這就是面臨的挑戰(zhàn)呈指數(shù)增長(zhǎng)的地方。當(dāng)值得信賴和經(jīng)過(guò)審查的供應(yīng)商被迅速更換或擴(kuò)充時(shí),網(wǎng)絡(luò)威脅和漏洞進(jìn)入產(chǎn)品或設(shè)備生命周期的風(fēng)險(xiǎn)會(huì)顯著增加。
即使在最好的時(shí)期,供應(yīng)鏈問(wèn)題也是企業(yè)最薄弱的環(huán)節(jié)之一。其挑戰(zhàn)不僅在于它們?nèi)绾斡绊懮a(chǎn)能力,還在于它們?nèi)绾斡绊懽罱K產(chǎn)品的安全性。對(duì)于任何復(fù)雜的醫(yī)療設(shè)備,都有許多提供硬件和軟件的供應(yīng)商。將這些組件組裝成最終產(chǎn)品的制造商對(duì)各種組件或軟件的控制和可見(jiàn)性有限,這給最終產(chǎn)品及其用戶帶來(lái)了巨大的風(fēng)險(xiǎn)。而更換供應(yīng)商只會(huì)增加他們的風(fēng)險(xiǎn)狀況。
審查新供應(yīng)商
有時(shí),避免短缺的唯一方法是找到不同的供應(yīng)商來(lái)滿足要求。這對(duì)于醫(yī)療設(shè)備尤其重要,因?yàn)闇?zhǔn)時(shí)生產(chǎn)和及時(shí)交付可能是一個(gè)生死攸關(guān)的問(wèn)題。
當(dāng)新的供應(yīng)商加入時(shí),仍然需要建立信任。由于以前并不了解,因此選擇需要更加謹(jǐn)慎,尤其是在審查供應(yīng)商產(chǎn)品的質(zhì)量時(shí)必須監(jiān)控軟件漏洞,這對(duì)產(chǎn)品安全至關(guān)重要。這是第一步,為了滿足美國(guó)食品藥品監(jiān)督管理局(FDA)對(duì)醫(yī)療設(shè)備的嚴(yán)格要求,確保組件互操作、容錯(cuò)并且不存在任何固有漏洞至關(guān)重要。
代碼中的漏洞
任何時(shí)候從開(kāi)源庫(kù)開(kāi)發(fā)或集成代碼時(shí),都可能存在未發(fā)現(xiàn)的缺陷。任何包含軟件的設(shè)備都可能在其中或其使用的軟件庫(kù)中出現(xiàn)錯(cuò)誤。在開(kāi)發(fā)過(guò)程的早期評(píng)估這一點(diǎn),對(duì)于安全產(chǎn)品開(kāi)發(fā)和盡早發(fā)現(xiàn)漏洞以降低風(fēng)險(xiǎn)和減少損害至關(guān)重要。
如今,開(kāi)發(fā)軟件更多的是組合而不是編寫(xiě),利用商業(yè)和開(kāi)源軟件來(lái)創(chuàng)建設(shè)備功能的核心。這些組件在加快構(gòu)建時(shí)間的同時(shí),也引入了潛在的漏洞。例如,直到最近,Log4j庫(kù)才被認(rèn)為是行業(yè)標(biāo)準(zhǔn)和日志功能的安全開(kāi)源補(bǔ)充。2021年12月,這些庫(kù)被確定為具有遠(yuǎn)程代碼執(zhí)行(RCE)漏洞,該漏洞獲得了10分的最高CVSS分?jǐn)?shù)。在發(fā)現(xiàn)之后,世界各地的企業(yè)都爭(zhēng)先恐后地修補(bǔ)這一漏洞,以免網(wǎng)絡(luò)攻擊者利用。
商業(yè)軟件也不能免受安全漏洞的影響。Ripple20庫(kù)也被認(rèn)為是一個(gè)相對(duì)安全且符合行業(yè)標(biāo)準(zhǔn)的軟件組件而其易受攻擊的狀態(tài)使許多設(shè)備容易受到網(wǎng)絡(luò)攻擊。
軟件方面的挑戰(zhàn)是導(dǎo)致總統(tǒng)拜登下令通過(guò)透明度幫助改善軟件供應(yīng)鏈安全的部分原因。該命令規(guī)定,軟件物料清單(SBOM)應(yīng)該可以供制造商、供應(yīng)商和消費(fèi)者使用。軟件物料清單(SBOM)應(yīng)包含基于美國(guó)國(guó)家電信和信息管理局(NTIA)最低要素的標(biāo)準(zhǔn),其中包括有關(guān)軟件組件、其版本和依賴性的深入信息。有了這些信息,企業(yè)可以在現(xiàn)有漏洞和新漏洞出現(xiàn)時(shí)對(duì)其進(jìn)行跟蹤。
信任但要驗(yàn)證
與新供應(yīng)商合作的第一步是從安全角度驗(yàn)證他們的技術(shù)。跟蹤這項(xiàng)工作的結(jié)果對(duì)于確定可靠的供應(yīng)商以及可能提供有缺陷或易受攻擊產(chǎn)品的供應(yīng)商至關(guān)重要。然而,驗(yàn)證供應(yīng)商組件和產(chǎn)品軟件的安全狀況并不容易。在許多情況下,源代碼并不容易獲得,因此必須通過(guò)其他途徑獲得可見(jiàn)性,例如不依賴于源代碼可用的二進(jìn)制分析。
并非每個(gè)漏洞評(píng)估工具都能提供準(zhǔn)確的結(jié)果,可靠的解決方案需要了解已發(fā)現(xiàn)漏洞的潛在范圍和可訪問(wèn)性。這一信息將有助于縮小漏洞是否適用于其產(chǎn)品。使用驗(yàn)證和測(cè)試工具來(lái)評(píng)估編譯的代碼,對(duì)于保證不提供直接代碼可見(jiàn)性的產(chǎn)品的安全性至關(guān)重要。
在醫(yī)療設(shè)備方面,信任供應(yīng)商面臨更大的風(fēng)險(xiǎn)。確保使用正確的解決方案進(jìn)行盡職調(diào)查至關(guān)重要。使用正確的平臺(tái)實(shí)施完整的評(píng)估流程將使企業(yè)能夠在不犧牲安全性的情況下有效應(yīng)對(duì)新供應(yīng)商的挑戰(zhàn)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)