根據(jù)國(guó)內(nèi)《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)審查指導(dǎo)原則》��,具有以下特征的醫(yī)療器械需要考慮網(wǎng)絡(luò)安全:
• 電子數(shù)據(jù)交換:醫(yī)療器械能夠通過網(wǎng)絡(luò)(包括無線�����、有線網(wǎng)絡(luò))或存儲(chǔ)媒介進(jìn)行單向或雙向數(shù)據(jù)傳輸���。
無線網(wǎng)絡(luò)包括Wi-Fi(IEEE 802.11)、藍(lán)牙(IEEE 802.15)���、射頻��、紅外�����、4G/5G等形式��。
• 遠(yuǎn)程訪問與控制:醫(yī)療器械支持基于網(wǎng)絡(luò)的實(shí)時(shí)或非實(shí)時(shí)訪問與控制���。
• 用戶訪問:醫(yī)療器械允許通過軟件用戶界面或電子接口進(jìn)行人機(jī)交互���。
美國(guó)FDA在《FD&C法案》第524B(c)節(jié)將“網(wǎng)絡(luò)設(shè)備”定義為:
(1)包括由主辦方作為器械或在器械中確認(rèn)、安裝或授權(quán)的軟件���,
(2)具有連接到互聯(lián)網(wǎng)的能力�����,以及
(3)包含由主辦方確認(rèn)��、安裝或授權(quán)的任何此類易受網(wǎng)絡(luò)安全威脅的技術(shù)特征的設(shè)備�����。
[Section 524B(c) of the FD&C Act defines "cyber device" as a device that
(1) includes software validated, installed, or authorized by the sponsor as a device or in a device, (2) has the ability to connect to the internet, and
(3) contains any such technological characteristics validated, installed, or authorized by the sponsor that could be vulnerable to the cybersecurity threats.]
因此�����,根據(jù)FDA的定義���,即使醫(yī)療器械不打算連接到互聯(lián)網(wǎng),但只要它們有能力連接到互聯(lián)網(wǎng)��,它們就被視為“網(wǎng)絡(luò)設(shè)備”��。即使某些醫(yī)療器械設(shè)計(jì)為不直接連接到互聯(lián)網(wǎng)��,它們可能通過醫(yī)院內(nèi)部網(wǎng)絡(luò)間接連接���,這使得它們?nèi)匀幻媾R網(wǎng)絡(luò)安全威脅���,如未授權(quán)訪問、數(shù)據(jù)泄露或惡意軟件攻擊��,因此���,也被視為網(wǎng)絡(luò)設(shè)備��。
許多醫(yī)療器械包含軟件和固件��,這些可能包含漏洞��,即使設(shè)備不聯(lián)網(wǎng)���,也可能通過其他方式(如USB驅(qū)動(dòng)器)被利用,因此���,只要設(shè)備有可能存在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)��,都被視為網(wǎng)絡(luò)設(shè)備��。
而且���,醫(yī)療器械的供應(yīng)鏈可能引入安全風(fēng)險(xiǎn)��,包括使用未經(jīng)充分測(cè)試的第三方組件�����,這些組件可能包含已知的安全漏洞��,因此��,含第三方組件的醫(yī)療設(shè)備也被視為網(wǎng)絡(luò)設(shè)備���。
京公網(wǎng)安備11010802046783號(hào)