可以理解的是,法規(guī)和標(biāo)準(zhǔn)也對"遺留器械"的IT安全提出了要求。然而��,制定這些要求的方式往往會導(dǎo)致混亂��。
例如��,立法者和標(biāo)準(zhǔn)委員會一直無法就共同的定義達(dá)成一致��。一種定義指的是遺留器械的IT安全��,另一種定義指的是舊的器械或現(xiàn)有器械的IT安全��,還有一種定義指的是過渡軟件software in transition的IT安全��。對包含軟件或?qū)儆谲浖尼t(yī)療器械的IT安全要求也不協(xié)調(diào)��。
1. IT安全---哪些器械會受到影響?
a) 背景
本文介紹的是醫(yī)療器械��、
-已投放市場的醫(yī)療器械��,以及��;
-包含軟件或獨(dú)立軟件的醫(yī)療器械,以及��;
-由于缺乏IT安全��,可能存在風(fēng)險��。
可分為以下幾種情況:
1. 已證明符合當(dāng)前要求��。
制造商已確定并證明符合當(dāng)前的IT安全要求��。
2. 尚未證明符合當(dāng)前要求��。
制造商已按照"舊法規(guī)"開發(fā)了器械��。他尚未證明符合新的法規(guī)要求��,例如��,因?yàn)檫@些要求尚不清楚或缺乏資源��。
3. 無法證明符合現(xiàn)行要求��。
制造商已確定無法達(dá)到現(xiàn)行法規(guī)要求��,因此無法證明符合現(xiàn)行法規(guī)要求��,例如,原因是:
-包含的軟件組件(SOUP/OTS)已停產(chǎn)或不再由第三方供應(yīng)商維護(hù)��;
-當(dāng)時的制造商已不復(fù)存在��,或��;
-器械的設(shè)計或技術(shù)已經(jīng)過時��,無法再實(shí)施IT安全措施��。
b) 術(shù)語定義
標(biāo)準(zhǔn)和指南也從概念上區(qū)分了上述情況:
過渡健康軟件
IEC 81001-5-1將"過渡健康軟件Transitional Health Software"描述為:
“HEALTH SOFTWARE, which was released prior to publication of this document, and which does not meet all requirements specified in Clause 4 through Clause 9 of this document.”
遺留器械legacy devices
IMDRF文件N70將軟件無法證明符合當(dāng)前要求的器械定義為"遺留器械legacy devices ":
“medical devices that cannot be reasonably protected against current cybersecurity threats”
該定義僅在"網(wǎng)絡(luò)安全"的背景下提及"遺留legacy"��。在其文件中��,IMDRF只涉及對患者安全有影響的"網(wǎng)絡(luò)安全威脅"��。例如��,僅對安全造成的負(fù)面影響不在該文件的范圍之內(nèi)��。
遺憾的是��,IMDRF中"遺留器械legacy devices "一詞的定義與IEC 62304中的定義不一致��。
“MEDICAL DEVICE SOFTWARE which was legally placed on the market and is still marketed today but for which there is insufficient objective evidence that it was developed in compliance with the current version of this standard.”
該定義(與IMDRF的定義不同)沒有區(qū)分IT安全性是否可以恢復(fù)��,因此也沒有區(qū)分合規(guī)性是否可以恢復(fù)��。它也不考慮軟件的使用年限��。然而��,IEC 62304假設(shè)軟件將繼續(xù)在市場上銷售��。
注意:隨著IEC 62304的推出��,關(guān)于該標(biāo)準(zhǔn)是否必須自動適用于市場上的遺留器械的討論也隨之而來��。該標(biāo)準(zhǔn)的修正案或第二版對此進(jìn)行了澄清:
相應(yīng)的規(guī)范段落要求開展基于風(fēng)險的具體活動��。并非所有情況下都必須追溯性地滿足所有標(biāo)準(zhǔn)要求��。不過��,對于遺留器械來說��,并不存在普遍的"不溯既往grandfathering"��。
c)問題及其相關(guān)性
現(xiàn)在出現(xiàn)的問題是��,在信息技術(shù)安全方面��,即在尚未證明或無法證明符合當(dāng)前要求,必須如何處理遺留器械��。問題是:
是否存在"不溯既往grandfathering"��,即不受限制地繼續(xù)使用市場上"過渡性醫(yī)療軟件transitional health software"或"遺留器械legacy devices"意義上的現(xiàn)有器械��?
這個問題的答案至關(guān)重要��。更新非常老舊器械的軟件往往不再可能(經(jīng)濟(jì)上)��,因?yàn)椋?/span>
-所使用的技術(shù)已不復(fù)存在或尚未更新(編程環(huán)境��、庫)��;
-更新無法在舊硬件上運(yùn)行��;
-在開發(fā)過程中沒有提供簡單的(遠(yuǎn)程)維護(hù)機(jī)制��;
-運(yùn)營商不愿意支付軟件維護(hù)費(fèi)用��。
如果放棄"不溯既往grandfathering"原則��,許多制造商可能會被迫從市場上撤回器械��。
2. 對現(xiàn)有器械沒有普遍的“不溯既往grandfathering”原則
對于上述問題,答案顯而易見:
- 在信息技術(shù)安全方面��,對 "遺留器械"沒有普遍的不溯既往原則��!
- 對制造商造成的經(jīng)濟(jì)后果��,甚至可能導(dǎo)致患者護(hù)理質(zhì)量下降��,都不是放棄遺留器械IT安全的理由��。
注意:法規(guī)要求制造商持續(xù)分析并確保已投放市場的器械的信息技術(shù)安全��。但是��,這并不意味著禁止運(yùn)營商繼續(xù)使用這些器械��。例如��,即使制造商多年前就停用了心臟起搏器的編程裝置��,運(yùn)營商也不能取消該裝置��。這是因?yàn)椴僮魅藛T必須繼續(xù)為使用編程起搏器的患者提供服務(wù)��。相反��,MITRE的要求允許制造商將與"遺留器械的IT安全"相關(guān)的任務(wù)移交給運(yùn)營商operators��。
a)理由1:信息技術(shù)安全風(fēng)險的特殊性
采取充分的信息技術(shù)安全措施的動機(jī)在于網(wǎng)絡(luò)攻擊造成的威脅��。信息技術(shù)安全要求特別高(或至少看起來特別高)有幾個原因:
-惡意濫用造成的高風(fēng)險
IT安全漏洞與高風(fēng)險相關(guān):器械可能會被攻擊者完全控制��,例如��,他們會導(dǎo)入篡改過的器械軟件��,訪問同一網(wǎng)絡(luò)中的其他設(shè)備或收集大量病人數(shù)據(jù)��。
-濫用速度快��,使PMS數(shù)據(jù)的效益相對化
根據(jù)上市后的數(shù)據(jù)來評估器械目前對網(wǎng)絡(luò)攻擊的"抵御能力"非常困難��。在瞬息萬變的網(wǎng)絡(luò)世界中��,攻擊載體��、攻擊工具和攻擊者的能力都在不斷變化��。我們必須預(yù)料到��,即使攻擊尚未發(fā)生��,也只是時間問題。
因此��,僅僅因?yàn)闆]有相反的信息��,就認(rèn)定"遺留器械"具有足夠的IT安全性是沒有意義的��。相反��,必須不斷改進(jìn)"設(shè)計安全"��,并在器械的生命周期內(nèi)實(shí)施相應(yīng)的IT安全活動��。
b)理由2:法規(guī)要求
制造商必須遵守法規(guī)和規(guī)范要求��。
3. 對"遺留器械"信息技術(shù)安全的監(jiān)管要求
a) MDR/IVDR
MDR和IVDR在各自附錄I的一般安全和性能要求中規(guī)定��,醫(yī)療器械必須具備符合最新技術(shù)水平的IT安全性��。與所有基本要求一樣��,它們不區(qū)分遺留和非遺留器械��。不過��,它們確實(shí)要求制造商向操作人員提供IT安全方面的規(guī)范��。
b) IEC 62304
IEC 62304要求審查是否符合所有規(guī)范性要求��,因此也要求審查遺留器械的IT安全性��。該標(biāo)準(zhǔn)第4.4章要求制造商分析風(fēng)險并進(jìn)行差距分析��。根據(jù)這些結(jié)果��,必須開展標(biāo)準(zhǔn)規(guī)定的"新器械"活動��。該標(biāo)準(zhǔn)并未區(qū)分這些要求是否與IT安全有關(guān)��。
c) ISO 14971
該風(fēng)險管理標(biāo)準(zhǔn)要求制造商開展"生產(chǎn)和生產(chǎn)后階段的活動"��。這也包括檢查是否:
-是否存在新的危害(也就是新的風(fēng)險)��,以及��;
-總體技術(shù)水平是否仍然符合要求��。
這就意味著��,必須不斷分析所有與IT安全相關(guān)的風(fēng)險是否都已知曉��,并根據(jù)最新技術(shù)水平加以控制��。
d) IEC 81001-5-1
IEC 81001-5-1更具體地針對遺留器械的IT安全,其中關(guān)于"過渡健康軟件"的規(guī)范性附錄F尤為重要��。這類軟件不應(yīng)等同于IEC 62304所指的"遺留器械"��。附錄F要求制造商:
-進(jìn)行與標(biāo)準(zhǔn)要求的差距分析��;
-制定計劃��,使軟件達(dá)到符合標(biāo)準(zhǔn)的狀態(tài)��;
-根據(jù)標(biāo)準(zhǔn)開展上市后活動��。
注意:IEC 81001-5-1 希望制造商(隨著時間的推移)達(dá)到其要求��。該標(biāo)準(zhǔn)不允許籠統(tǒng)地說風(fēng)險已得到控制��。
e) IMDRF指南
IMDRF出版了兩份網(wǎng)絡(luò)安全指南:
-IMDRF WG/N60 FINAL2020 Principles and Practices for Medical Device Cybersecurity
-IMDRF WG/N70 FINAL:2023 Principles and Practices for the Cybersecurity of Legacy Medical Devices
第二份文件的范圍是IMDRF所定義的遺留軟件("無法針對當(dāng)前網(wǎng)絡(luò)安全威脅提供合理保護(hù)的醫(yī)療器械")��。
作為制造商最重要的任務(wù)��,第二項準(zhǔn)則要求:
-從開發(fā)開始:
考慮第三方軟件及其供應(yīng)商的支持期限��;
盡可能安全地開發(fā)器械��,以便能夠長期保證IT安全��。
-從支持方面:
繼續(xù)監(jiān)控并通報漏洞和風(fēng)險��;
向運(yùn)營商明確告知計劃和實(shí)際的支持終止時間��,包括第三方軟件的終止時間��。
f) MITRE指導(dǎo)方針
MITRE文件介紹了提高這些器械網(wǎng)絡(luò)安全的方法��。它將自己視為IMDRF文件的補(bǔ)充��,并借鑒了其"全產(chǎn)品生命周期流程(Total Product Lifecycle Process��,TPLC)��。由于"設(shè)計安全"難以追溯實(shí)現(xiàn)��,因此更多的措施轉(zhuǎn)移到了操作人員身上��。該文件詳細(xì)闡述了操作人員和制造商之間的互動及其各自的任務(wù)��,并將其轉(zhuǎn)化為八項具體建議:
-試點(diǎn)數(shù)據(jù)收集��,為遺留器械風(fēng)險管理的決策提供支持��;
-開發(fā)信息共享協(xié)議模板��,提高透明度;
-建立安全架構(gòu)工作組��;
-制定醫(yī)療器械模塊化設(shè)計研究計劃��;
-開展漏洞管理協(xié)調(diào)研究��;
-為與遺留網(wǎng)絡(luò)風(fēng)險相關(guān)的角色開發(fā)能力模型��;
-確定勞動力發(fā)展資源��;
-參與互助伙伴關(guān)系��。因此��,在醫(yī)療器械生態(tài)系統(tǒng)中分擔(dān)責(zé)任和任務(wù)是最重要的��,也符合遺留挑戰(zhàn)的復(fù)雜性��。
因此��,該文件似乎是對IEC 81001-5-1的有益補(bǔ)充��,后者僅在附錄F中列出了制造商的任務(wù)��。
4. 總結(jié)
醫(yī)療器械不可能采用" fire-and-forget"的方法��。相關(guān)標(biāo)準(zhǔn)和法規(guī)規(guī)定��,制造商有義務(wù)評估其器械在整個生命周期內(nèi)構(gòu)成的風(fēng)險��,并確保器械的安全性��。這尤其適用于網(wǎng)絡(luò)安全��。在許多情況下��,制造商面臨著一個抉擇:為了管理這些風(fēng)險��,他們可以停止銷售器械��,或者通過重新設(shè)計器械來實(shí)現(xiàn)網(wǎng)絡(luò)安全��。修改義務(wù)并不局限于制造商繼續(xù)銷售的器械��。它也適用于已經(jīng)投放市場的器械��。MITRE為制造商提供了與運(yùn)營商共同管理網(wǎng)絡(luò)安全風(fēng)險的機(jī)會��。IEC 81001-5-1沒有描述這種方法��。因此��,同時使用這兩份文件會很有幫助。
京公網(wǎng)安備11010802046783號