美國政府最近警告說，許多制造商面臨供應(yīng)鏈中斷的困擾，重建供應(yīng)鏈?zhǔn)侵刂兄?。一些分析人士認(rèn)為，在新冠疫情消退之前，可能需要幾個(gè)月甚至幾年的時(shí)間才能恢復(fù)。

醫(yī)療設(shè)備制造商并未被排除在這種供應(yīng)鏈中斷之外，但也不能在供應(yīng)鏈恢復(fù)之前暫停生產(chǎn)。企業(yè)需要保持生產(chǎn)順暢，這就需要尋找新的供應(yīng)商。然而，新的供應(yīng)商或者沒有經(jīng)過審查的供應(yīng)商將會(huì)帶來新的風(fēng)險(xiǎn)，以及將漏洞和威脅引入產(chǎn)品或設(shè)備生命周期的可能性。

最薄弱的環(huán)節(jié)

正如行業(yè)媒體最近報(bào)道的那樣，包括菲利普斯和通用電氣醫(yī)療保健公司在內(nèi)的許多主要醫(yī)療保健制造商都面臨著供應(yīng)鏈挑戰(zhàn)。供應(yīng)的延遲影響了他們?cè)跀?shù)量和時(shí)間上滿足生產(chǎn)預(yù)期的能力。未能達(dá)到這些預(yù)期影響了他們的利潤，這些企業(yè)在去年第四季度出現(xiàn)了明顯的虧損。

未能交付

在許多情況下，由于生產(chǎn)或運(yùn)輸?shù)难诱`，供應(yīng)線也受到了影響。即使生產(chǎn)了產(chǎn)品，也無法迅速進(jìn)入生產(chǎn)的下一步。這導(dǎo)致企業(yè)必須預(yù)先訂購和存儲(chǔ)比以往更多的備件，以建立庫存，并確保其生產(chǎn)鏈的一致性。

這種對(duì)庫存或過度訂購的需求，促使許多企業(yè)尋找能夠穩(wěn)定供應(yīng)的替代供應(yīng)商。隨著新供應(yīng)商的出現(xiàn)，新組件、未經(jīng)測(cè)試的組件和新漏洞的潛在風(fēng)險(xiǎn)也隨之增加。

這就是面臨的挑戰(zhàn)呈指數(shù)增長的地方。當(dāng)值得信賴和經(jīng)過審查的供應(yīng)商被迅速更換或擴(kuò)充時(shí)，網(wǎng)絡(luò)威脅和漏洞進(jìn)入產(chǎn)品或設(shè)備生命周期的風(fēng)險(xiǎn)會(huì)顯著增加。

即使在最好的時(shí)期，供應(yīng)鏈問題也是企業(yè)最薄弱的環(huán)節(jié)之一。其挑戰(zhàn)不僅在于它們?nèi)绾斡绊懮a(chǎn)能力，還在于它們?nèi)绾斡绊懽罱K產(chǎn)品的安全性。對(duì)于任何復(fù)雜的醫(yī)療設(shè)備，都有許多提供硬件和軟件的供應(yīng)商。將這些組件組裝成最終產(chǎn)品的制造商對(duì)各種組件或軟件的控制和可見性有限，這給最終產(chǎn)品及其用戶帶來了巨大的風(fēng)險(xiǎn)。而更換供應(yīng)商只會(huì)增加他們的風(fēng)險(xiǎn)狀況。

審查新供應(yīng)商

有時(shí)，避免短缺的唯一方法是找到不同的供應(yīng)商來滿足要求。這對(duì)于醫(yī)療設(shè)備尤其重要，因?yàn)闇?zhǔn)時(shí)生產(chǎn)和及時(shí)交付可能是一個(gè)生死攸關(guān)的問題。

當(dāng)新的供應(yīng)商加入時(shí)，仍然需要建立信任。由于以前并不了解，因此選擇需要更加謹(jǐn)慎，尤其是在審查供應(yīng)商產(chǎn)品的質(zhì)量時(shí)必須監(jiān)控軟件漏洞，這對(duì)產(chǎn)品安全至關(guān)重要。這是第一步，為了滿足美國食品藥品監(jiān)督管理局(FDA)對(duì)醫(yī)療設(shè)備的嚴(yán)格要求，確保組件互操作、容錯(cuò)并且不存在任何固有漏洞至關(guān)重要。

代碼中的漏洞

任何時(shí)候從開源庫開發(fā)或集成代碼時(shí)，都可能存在未發(fā)現(xiàn)的缺陷。任何包含軟件的設(shè)備都可能在其中或其使用的軟件庫中出現(xiàn)錯(cuò)誤。在開發(fā)過程的早期評(píng)估這一點(diǎn)，對(duì)于安全產(chǎn)品開發(fā)和盡早發(fā)現(xiàn)漏洞以降低風(fēng)險(xiǎn)和減少損害至關(guān)重要。

如今，開發(fā)軟件更多的是組合而不是編寫，利用商業(yè)和開源軟件來創(chuàng)建設(shè)備功能的核心。這些組件在加快構(gòu)建時(shí)間的同時(shí)，也引入了潛在的漏洞。例如，直到最近，Log4j庫才被認(rèn)為是行業(yè)標(biāo)準(zhǔn)和日志功能的安全開源補(bǔ)充。2021年12月，這些庫被確定為具有遠(yuǎn)程代碼執(zhí)行(RCE)漏洞，該漏洞獲得了10分的最高CVSS分?jǐn)?shù)。在發(fā)現(xiàn)之后，世界各地的企業(yè)都爭(zhēng)先恐后地修補(bǔ)這一漏洞，以免網(wǎng)絡(luò)攻擊者利用。

商業(yè)軟件也不能免受安全漏洞的影響。Ripple20庫也被認(rèn)為是一個(gè)相對(duì)安全且符合行業(yè)標(biāo)準(zhǔn)的軟件組件而其易受攻擊的狀態(tài)使許多設(shè)備容易受到網(wǎng)絡(luò)攻擊。

軟件方面的挑戰(zhàn)是導(dǎo)致總統(tǒng)拜登下令通過透明度幫助改善軟件供應(yīng)鏈安全的部分原因。該命令規(guī)定，軟件物料清單(SBOM)應(yīng)該可以供制造商、供應(yīng)商和消費(fèi)者使用。軟件物料清單(SBOM)應(yīng)包含基于美國國家電信和信息管理局(NTIA)最低要素的標(biāo)準(zhǔn)，其中包括有關(guān)軟件組件、其版本和依賴性的深入信息。有了這些信息，企業(yè)可以在現(xiàn)有漏洞和新漏洞出現(xiàn)時(shí)對(duì)其進(jìn)行跟蹤。

信任但要驗(yàn)證

與新供應(yīng)商合作的第一步是從安全角度驗(yàn)證他們的技術(shù)。跟蹤這項(xiàng)工作的結(jié)果對(duì)于確定可靠的供應(yīng)商以及可能提供有缺陷或易受攻擊產(chǎn)品的供應(yīng)商至關(guān)重要。然而，驗(yàn)證供應(yīng)商組件和產(chǎn)品軟件的安全狀況并不容易。在許多情況下，源代碼并不容易獲得，因此必須通過其他途徑獲得可見性，例如不依賴于源代碼可用的二進(jìn)制分析。

并非每個(gè)漏洞評(píng)估工具都能提供準(zhǔn)確的結(jié)果，可靠的解決方案需要了解已發(fā)現(xiàn)漏洞的潛在范圍和可訪問性。這一信息將有助于縮小漏洞是否適用于其產(chǎn)品。使用驗(yàn)證和測(cè)試工具來評(píng)估編譯的代碼，對(duì)于保證不提供直接代碼可見性的產(chǎn)品的安全性至關(guān)重要。

在醫(yī)療設(shè)備方面，信任供應(yīng)商面臨更大的風(fēng)險(xiǎn)。確保使用正確的解決方案進(jìn)行盡職調(diào)查至關(guān)重要。使用正確的平臺(tái)實(shí)施完整的評(píng)估流程將使企業(yè)能夠在不犧牲安全性的情況下有效應(yīng)對(duì)新供應(yīng)商的挑戰(zhàn)。