隨著科技的發展,無線��、互聯網等網絡連接能力的日益集成����,醫療器械相關的醫療健康信息和其他信息,實現了通過網絡的頻繁交換�����,這使得診療更加高效���。
然而�,醫療行業面臨的網絡安全威脅正在變得越來越頻繁和越來越嚴重。網絡安全事件可能使醫院網絡癱瘓��,致使有聯網功能的醫療器械可能無法正常運行���,從而使醫療機構的患者護理服務中斷��。這種網絡攻擊會造成如診斷/或治療延遲�����,從而可能會導致患者傷害。
越來越多的連接導致單個器械作為更大的醫療器械系統的一部分���。這些系統可以包括醫療機構網絡、其他器械��,和軟件更新服務器以及其他互連的組件���。因此����,需要對這些系統的所有方面進行充分的網絡安全考慮����,減緩或避免網絡安全威脅,以保證器械系統中的任何資產的安全性和/或有效性�,包括足夠的網絡安全����,以及其作為更大系統一部分的安全性��。
●網絡器械的示例(包括但不限于滿足如下要求的器械或系統)
a. 可以與其他器械/系統通訊;
b. 有一個網絡/服務器連接或有可能將來與網絡/服務器(目前已經禁用了的)連接;
c. 有可能使用未使用的端口進行網絡連接;
d. 使用了任何形式的無線通信��,例如藍牙、Wi-Fi,蜂窩��、RF�、感應;
e. 有一個USB端口/物理媒介端口(例如記憶卡、JTAG);
f. 允許進行軟件/固件下載(例如,軟件/固件升級或打補丁);
g. 允許云存儲或云服務��。
●歐盟針對醫療器械網絡安全的要求
歐盟于2020年7月更新發布了醫療器械網絡安全指南MDCG2019-16 Rev.1.
原文鏈接:https://health.ec.europa.eu/document/download/b23b362f-8a56-434c-922a-5b3ca4d0a7a1_en?filename=md_cybersecurity_en.pdf
指南中匯總了MDR法規附錄I關于網絡安全的要求(見下圖)��,其中有一部分是醫療器械通用的要求(如14.1�,14.4�,14.5,17.1,22.1�,23.1)����,該指南也給出了如何滿足這些要求的詳細指導����。
上圖中所適用的MDR法規要求同樣也適用于IVDR法規EU 2017/746 �����,比對關系如下表
MDCG 2019-16指南中關于醫療設備網絡安全風險管理的具體要求如下:
◇網絡安全風險管理
網絡安全(Cybersecurity)風險管理過程與產品安全風險管理流程具有相同的要素,所有要素都記錄在網絡安全風險管理計劃中�。流程要素包括網絡安全風險分析�����、網絡安全風險評估、網絡安全風險控制����、剩余網絡安全風險評估和報告�。當網絡安全風險或控制措施可能對安全性(safety)和有效性產生影響時(如下圖所示)�����,應將其納入安全風險評估�����。同樣,任何可能對網絡安全產生影響的產品安全風險控制或考慮都應包括在網絡安全風險分析中���。
例如,“屏蔽”屏幕顯示對于普通設備可能是一種適當的網絡安全(Cybersecurity)控制措施����,以減少個人數據的泄露���,但當醫療設備用于介入使用或顯示生命體征時���,則“屏蔽”屏幕是一個安全(safety)問題,因此不應實施�����;或�,在緊急情況下,醫務人員必須能夠沒有限制地使用植入的心臟設備�,但在正常操作條件下需要采取強有力的網絡安全措施����。
●FDA對醫療器械網絡安全的風險管理要求
歐盟于2020年7月更新發布了醫療器械網絡安全指南MDCG2019-16 Rev.1.
◇《FD&C法案》第524B(c)條中給出了網絡器械(cyber device)的定義:
a. 包括經申報者確認�����、安裝或授權的軟件的器械�,這個軟件可以本身是器械或是器械的一部分����,
b. 具有連接互聯網的能力的器械,以及
c. 包含任何經申報者確認��、安裝或授權的易受網絡安全威脅的技術特征的器械���。
◇FDA網絡安全最終指南“Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions”(20230926)
原文鏈接:https://www.fda.gov/media/119933/download
◇FDA網絡安全最終指南對于器械網絡安全風險管理的要求
FDA指出器械或更大器械系統的網絡安全風險可以通過使用SPDF來合理控制��。SPDF全稱是Secure Product Development Framework�����,網絡安全產品開發框架,指的是減少產品中漏洞數量和嚴重性的一組過程�����。SPDF包括產品壽命周期的所有方面����,包括設計�、開發、發布��、支持和退市。
作為使用SPDF的一部分��,制造商應在獲得新信息時應更新其安全風險管理文檔,例如在開發過程中和器械發布后發現新的威脅����、漏洞、資產或不利影響時
執行網絡安全(Cybersecurity)風險管理不同于執行ISO 14971所述的安全(safety)風險管理����。執行這兩個風險管理的區別在于網絡安全方面與安全方面本身的區別���,可能的危害的范圍和風險評估因素可能不同, 需要在如下框架下綜合考慮。
在作風險評估時�����,應該考慮到���,網絡安全和安全風險評估過程之間存在耦合,因此當對一種類型的風險(如安全),制造商需要評估對其他類型風險(如網絡安全)的影響,反之亦然�。
FDA建議器械制造商進行安全風險評估和單獨的網絡安全風險評估,以確保更全面地識別和管理患者安全風險。
◇FDA建議制造商可以根據AAMI TIR57中描述的來出具網絡安全風險管理計劃和報告�����。
網絡安全風險管理報告應包括系統威脅建模、網絡安全風險評估、軟件材料清單(SBOM)�、組件支持信息�����、漏洞評估和未解決異常評估這些文件要素�。
除了包含上述文件要素外����,網絡安全風險管理報告還應:
a. 總結風險評估方法和過程,
b. 詳細說明網絡安全風險評估的剩余風險結論����,
c. 詳細說明作為制造商風險管理流程的一部分而開展的風險緩解活動����,以及
d. 提供威脅模型�、網絡安全風險評估、SBOM和測試文件以及其他相關網絡安全風險管理文件之間的可追溯性�����。
●附:醫療器械網絡安全能力的檢測內容參考
