醫(yī)療器械網(wǎng)絡(luò)安全不僅是美國FDA關(guān)注的焦點(diǎn)��,也是美國和其他市場(chǎng)其他立法者和機(jī)構(gòu)關(guān)注的焦點(diǎn)��。這是可以理解的����、因?yàn)橐环矫?����,網(wǎng)絡(luò)安全威脅在不斷增加,另一方面��,醫(yī)療器械的網(wǎng)絡(luò)化程度越來越高��,因此更加脆弱����。此外,診斷和治療等患者護(hù)理也越來越依賴于這些聯(lián)網(wǎng)產(chǎn)品�����。美國在《食品��、藥品和化妝品法案》中增加了對(duì)網(wǎng)絡(luò)設(shè)備的要求�,F(xiàn)DA 發(fā)布了多份有關(guān)網(wǎng)絡(luò)安全的指導(dǎo)文件。
1. FDA 上市前網(wǎng)絡(luò)安全指南
第一份文件長達(dá) 57 頁�,題為"Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submission”。該文件于 2023 年 9 月發(fā)布��。不過�����,F(xiàn)DA 已計(jì)劃在 2024 年 3 月對(duì)此進(jìn)行更新(見第1.4 章 "計(jì)劃更新")��。
1.1 產(chǎn)品生命周期要求
美國FDA的一項(xiàng)核心要求是,制造商必須將網(wǎng)絡(luò)安全納入質(zhì)量管理系統(tǒng)���。為此�,該局制定了安全產(chǎn)品開發(fā)框架(Security Product Development Framework SPDF)�。
1.1.1 SPDF 的目標(biāo)
SPDF 必須涵蓋整個(gè)產(chǎn)品生命周期,并實(shí)現(xiàn) IT 安全��、保密性(confidentiality)�����、完整性(integrity)和可用性(availability)的 "常規(guī)"目標(biāo)��。美國FDA通過產(chǎn)品和系統(tǒng)快速更新或打補(bǔ)丁的能力來補(bǔ)充這些 "CIA 目標(biāo)"��。
1.1.2 SPDF 推動(dòng)的活動(dòng)
FDA 希望制造商通過實(shí)施 "安全風(fēng)險(xiǎn)管理"來實(shí)現(xiàn)其產(chǎn)品的網(wǎng)絡(luò)安全�。在這方面,它參考了 AAMI TIR 57��。
作為這一過程的一部分����,制造商必須開展以下活動(dòng):
-整個(gè)系統(tǒng)的威脅建模��,這需要一個(gè)系統(tǒng)架構(gòu)
-網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估
-互操作性帶來的風(fēng)險(xiǎn)評(píng)估
-評(píng)估現(xiàn)成軟件帶來的風(fēng)險(xiǎn),并創(chuàng)建軟件物料清單SBOM(更多信息請(qǐng)參閱SBOM技術(shù)文章)����。
-評(píng)估剩余 "異常"帶來的安全風(fēng)險(xiǎn)
-持續(xù)評(píng)估上市后階段的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。這些風(fēng)險(xiǎn)可能會(huì)發(fā)生變化�,例如,已知新的攻擊載體或產(chǎn)品不再維護(hù)���。
-這還包括監(jiān)控 "已知漏洞目錄"�����。
-網(wǎng)絡(luò)安全測(cè)試�,檢查將網(wǎng)絡(luò)安全風(fēng)險(xiǎn)降至最低的措施的有效性���,包括滲透和模糊測(cè)試���、靜態(tài)和動(dòng)態(tài)代碼分析以及攻擊面分析。
1.2 產(chǎn)品要求
在附錄中��,美國FDA還提到了與網(wǎng)絡(luò)安全有關(guān)的具體產(chǎn)品要求����。這些要求涉及密碼學(xué)����、認(rèn)證和授權(quán)概念�����、記錄攻擊的能力以及產(chǎn)品補(bǔ)丁���。
1.3 文檔要求
所有這些活動(dòng)都必須形成大量文件���,如:
-網(wǎng)絡(luò)安全管理計(jì)劃
-包含各種 "視圖"(如 "多患者傷害視圖 "和 "可更新性和可打補(bǔ)丁性視圖")的架構(gòu)文件
-SBOM
-隨附材料和使用說明
FDA 甚至對(duì) "安全問題"的發(fā)布進(jìn)行了規(guī)范,并參考了NEMA 題為 "Manufacturer Disclosure Statement for Medical Device Security"的要求����。
1.4 計(jì)劃更新
僅僅過了半年多,美國FDA認(rèn)為有必要修訂該文件�����。它已公布了計(jì)劃修改的草案����。其中一個(gè)原因是修訂后的《食品��、藥品和化妝品法案》第 524b 節(jié)。
1.4.1 定義的修改
美國FDA現(xiàn)正更準(zhǔn)確地說明它把什么算作網(wǎng)絡(luò)設(shè)備:即使是一個(gè) USB 端口或串行端口也可確定該設(shè)備具有連接互聯(lián)網(wǎng)的能力����。因此,《食品����、藥品和化妝品法案》第 524B 條的要求以及美國FDA對(duì)醫(yī)療器械網(wǎng)絡(luò)安全的要求必須適用。
1.4.2 高級(jí)網(wǎng)絡(luò)安全管理計(jì)劃
此外���,美國FDA希望看到更詳細(xì)的網(wǎng)絡(luò)安全管理計(jì)劃:
-該計(jì)劃應(yīng)精確描述制造商如何開發(fā)�、發(fā)布和推出補(bǔ)丁��。
-它還更精確地規(guī)定了制造商必須如何披露漏洞和"利用"�����。
-畢竟��,該計(jì)劃必須在整個(gè)生命周期內(nèi)得到維護(hù)���,應(yīng)區(qū)分產(chǎn)品是將繼續(xù)得到維護(hù)��,還是已經(jīng)停產(chǎn)但仍在使用���。
1.4.3 對(duì)變更通知的變更
計(jì)劃擴(kuò)大Guidance Document on Pre-Market Cybersecurity的范圍�����,這也會(huì)影響到向美國FDA提交的變更通知�����。這樣�����,主管部門希望了解產(chǎn)品的哪些部分發(fā)生了變化����,可能或應(yīng)該對(duì)網(wǎng)絡(luò)安全產(chǎn)生影響���。例如產(chǎn)品結(jié)構(gòu)����、加密算法和新的連接功能�����。
1.4.4 其他變化
今后,美國FDA在決定產(chǎn)品是否 "實(shí)質(zhì)等同"時(shí)�,也將考慮網(wǎng)絡(luò)安全�����。這意味著制造商在指定 "實(shí)質(zhì)等同器械"時(shí)必須明確考慮網(wǎng)絡(luò)安全�����。
2. 網(wǎng)絡(luò)安全的上市后管理
2016 年發(fā)布的題為 "Post-Market Management of Cybersecurity in Medical Devices"的第二份指南顯然已顯老態(tài)��。
美國FDA認(rèn)識(shí)到�����,制造商無法在開發(fā)過程中預(yù)測(cè)和應(yīng)對(duì)未來所有與網(wǎng)絡(luò)安全相關(guān)的威脅����。因此,它要求制造商在開發(fā)之后仍要不斷分析這些威脅并采取適當(dāng)措施����。
2.1 上市后的信息來源
制造商應(yīng)評(píng)估的信息來源包括:
-安全研究人員的發(fā)現(xiàn)
-自身測(cè)試
-軟件和硬件供應(yīng)商
-醫(yī)院等客戶
-專門收集、分析和傳播相關(guān)信息的機(jī)構(gòu)
2.2 措施
FDA 建議使用 NIST 框架(美國國家標(biāo)準(zhǔn)與技術(shù)研究院),其要素(識(shí)別����、保護(hù)、檢測(cè)����、響應(yīng)和恢復(fù))在第一份指導(dǎo)文件中也有提及。
-了解您的醫(yī)療器械必須滿足哪些基本(臨床)性能特征�����。
-確定當(dāng)無法滿足這些性能特征時(shí)(在本例中�����,由于網(wǎng)絡(luò)安全問題)會(huì)產(chǎn)生的風(fēng)險(xiǎn)�����。
-分析該問題如何發(fā)生��。為此�����,請(qǐng)使用上述信息。
-評(píng)估這些潛在問題及其可能性��,例如使用通用漏洞評(píng)分系統(tǒng)����。
-分析對(duì)健康的影響,即可能造成損害的嚴(yán)重程度����。
-評(píng)估風(fēng)險(xiǎn)的可接受性��。
-消除薄弱環(huán)節(jié)(始終)�����,確保措施的有效性�����,并將這一切記錄在案�����。
-培訓(xùn)用戶�����。
在這一點(diǎn)上,F(xiàn)DA 提到�����,根據(jù) 21 CFR 第 806.10 部分�,改善網(wǎng)絡(luò)安全的主動(dòng)措施無需向 FDA 報(bào)告。
2.3 臨時(shí)結(jié)論
美國FDA的要求規(guī)定了人們對(duì)正常市場(chǎng)監(jiān)督的期望�。值得注意的是:
-該文件在某些地方出人意料地具體,例如關(guān)于需要評(píng)估的信息來源和使用的方法��。
-文件回答了何時(shí)報(bào)告網(wǎng)絡(luò)安全相關(guān)行動(dòng)的問題�����。
-文件對(duì)術(shù)語(如漏洞利用�����、補(bǔ)救��、威脅����、威脅建模)進(jìn)行了定義����,并給出了大量示例���。
3. 與歐洲的重大差異
3.1 生命周期階段
美國FDA希望在制造商的計(jì)劃("網(wǎng)絡(luò)安全管理計(jì)劃")中反映上市后的要求�����。有趣的是����,它在 "上市前指導(dǎo)文件"中提出了這些要求��。
另一方面����,在歐洲��,當(dāng) IEC 81001-5-1 協(xié)調(diào)一致時(shí)�����,預(yù)計(jì)質(zhì)量管理系統(tǒng)將完全映射所有上市前和上市后流程�。
3.2 文件
FDA 對(duì) SBOM 的要求要精確得多:IEC 81001-5-1 和 MDCG 2019-16 最多提及 SBOM�,而 FDA 則鏈接到 NTIA 規(guī)范����,并增加了其他要求(如 SBOM 各要素支持結(jié)束的說明)。
FDA 非常重視 "架構(gòu)視圖"���,并非常精確地說明了其期望����。
3.3 其他
此外����,美國FDA還希望通過指標(biāo)來評(píng)估制造商應(yīng)對(duì)已知漏洞的能力。
美國FDA 還提供了具體的提交工件清單���,并聲明 "網(wǎng)絡(luò)設(shè)備"一詞可指所有數(shù)據(jù)接口(明確包括 USB)�,因此其期望也非常明確���。歐盟則通過 MDCG 2019-16 和 IEC 81001-5-1 留出了更多的解釋空間���。
包含軟件或?qū)儆谲浖尼t(yī)療器械通常都有數(shù)據(jù)接口。因此��,它們的設(shè)計(jì)必須具有足夠的網(wǎng)絡(luò)安全性。
美國FDA在其針對(duì)上市前和上市后的兩份指導(dǎo)文件中詳細(xì)描述了其要求���。此外���,它還提供了實(shí)施公認(rèn)共識(shí)標(biāo)準(zhǔn)的實(shí)際幫助。
令人欣慰的是����,這份清單還提到了 IEC 81001-5-1,因?yàn)樵摌?biāo)準(zhǔn)在世界其他地區(qū)已經(jīng)具有約束力(如日本)或協(xié)調(diào)性(歐盟正在制定中)���。
隨著最新計(jì)劃對(duì)《上市前指導(dǎo)》的調(diào)整�����,美國FDA正在把標(biāo)準(zhǔn)提得更高。因?yàn)橹圃焐淘趯?duì)已獲批準(zhǔn)的產(chǎn)品進(jìn)行修改時(shí)����,現(xiàn)在也面臨著網(wǎng)絡(luò)安全要求。
京公網(wǎng)安備11010802046783號(hào)