美国政府最近警告说,许多制造商面临供应链中断的困扰,重建供应链是重中之重。一些分析人士认为,在新冠疫情消退之前,可能需要几个月甚至几年的时间才能恢复。
医疗设备制造商并未被排除在这种供应链中断之外,但也不能在供应链恢复之前暂停生产。企业需要保持生产顺畅,这就需要寻找新的供应商。然而,新的供应商或者没有经过审查的供应商将会带来新的风险,以及将漏洞和威胁引入产品或设备生命周期的可能性。
最薄弱的环节
正如行业媒体最近报道的那样,包括菲利普斯和通用电气医疗保健公司在内的许多主要医疗保健制造商都面临着供应链挑战。供应的延迟影响了他们在数量和时间上满足生产预期的能力。未能达到这些预期影响了他们的利润,这些企业在去年第四季度出现了明显的亏损。
未能交付
在许多情况下,由于生产或运输的延误,供应线也受到了影响。即使生产了产品,也无法迅速进入生产的下一步。这导致企业必须预先订购和存储比以往更多的备件,以建立库存,并确保其生产链的一致性。
这种对库存或过度订购的需求,促使许多企业寻找能够稳定供应的替代供应商。随着新供应商的出现,新组件、未经测试的组件和新漏洞的潜在风险也随之增加。
这就是面临的挑战呈指数增长的地方。当值得信赖和经过审查的供应商被迅速更换或扩充时,网络威胁和漏洞进入产品或设备生命周期的风险会显著增加。
即使在最好的时期,供应链问题也是企业最薄弱的环节之一。其挑战不仅在于它们如何影响生产能力,还在于它们如何影响最终产品的安全性。对于任何复杂的医疗设备,都有许多提供硬件和软件的供应商。将这些组件组装成最终产品的制造商对各种组件或软件的控制和可见性有限,这给最终产品及其用户带来了巨大的风险。而更换供应商只会增加他们的风险状况。
审查新供应商
有时,避免短缺的唯一方法是找到不同的供应商来满足要求。这对于医疗设备尤其重要,因为准时生产和及时交付可能是一个生死攸关的问题。
当新的供应商加入时,仍然需要建立信任。由于以前并不了解,因此选择需要更加谨慎,尤其是在审查供应商产品的质量时必须监控软件漏洞,这对产品安全至关重要。这是第一步,为了满足美国食品药品监督管理局(FDA)对医疗设备的严格要求,确保组件互操作、容错并且不存在任何固有漏洞至关重要。
代码中的漏洞
任何时候从开源库开发或集成代码时,都可能存在未发现的缺陷。任何包含软件的设备都可能在其中或其使用的软件库中出现错误。在开发过程的早期评估这一点,对于安全产品开发和尽早发现漏洞以降低风险和减少损害至关重要。
如今,开发软件更多的是组合而不是编写,利用商业和开源软件来创建设备功能的核心。这些组件在加快构建时间的同时,也引入了潜在的漏洞。例如,直到最近,Log4j库才被认为是行业标准和日志功能的安全开源补充。2021年12月,这些库被确定为具有远程代码执行(RCE)漏洞,该漏洞获得了10分的最高CVSS分数。在发现之后,世界各地的企业都争先恐后地修补这一漏洞,以免网络攻击者利用。
商业软件也不能免受安全漏洞的影响。Ripple20库也被认为是一个相对安全且符合行业标准的软件组件而其易受攻击的状态使许多设备容易受到网络攻击。
软件方面的挑战是导致总统拜登下令通过透明度帮助改善软件供应链安全的部分原因。该命令规定,软件物料清单(SBOM)应该可以供制造商、供应商和消费者使用。软件物料清单(SBOM)应包含基于美国国家电信和信息管理局(NTIA)最低要素的标准,其中包括有关软件组件、其版本和依赖性的深入信息。有了这些信息,企业可以在现有漏洞和新漏洞出现时对其进行跟踪。
信任但要验证
与新供应商合作的第一步是从安全角度验证他们的技术。跟踪这项工作的结果对于确定可靠的供应商以及可能提供有缺陷或易受攻击产品的供应商至关重要。然而,验证供应商组件和产品软件的安全状况并不容易。在许多情况下,源代码并不容易获得,因此必须通过其他途径获得可见性,例如不依赖于源代码可用的二进制分析。
并非每个漏洞评估工具都能提供准确的结果,可靠的解决方案需要了解已发现漏洞的潜在范围和可访问性。这一信息将有助于缩小漏洞是否适用于其产品。使用验证和测试工具来评估编译的代码,对于保证不提供直接代码可见性的产品的安全性至关重要。
在医疗设备方面,信任供应商面临更大的风险。确保使用正确的解决方案进行尽职调查至关重要。使用正确的平台实施完整的评估流程将使企业能够在不牺牲安全性的情况下有效应对新供应商的挑战。
