各类医疗设备既存在一定收益,也都带来多种风险。对于美国食品与药物管理局(简称FDA)而言,当能够以合理方式确保受众收益超过风险时,其即允许厂商将相关设备投放市场。如今,医疗设备正越来越多地与互联网、医院网络以及其它医疗设备对接,旨在改善医疗保健效能并增强医疗服务机构为患者提供的诊疗能力。但在交付这些能力的同时,此类设备也将增强网络安全威胁水平;与其它计算机系统一样,医疗设备可能受到安全漏洞的影响,进而导致设备安全性与有效性遭到破坏。

由于我们无法彻底消除威胁与漏洞,因此降低安全风险就成为一项极具挑战性的任务。医疗保健环境极为复杂,各制造商、医院与机构必须共同努力以管理安全风险。

FDA方面针对网络安全威胁的缓解与管理工作提出的具体建议包括:

  • 医疗设备制造商(简称MDM)与医疗保健服务组织(简称HDO)应采取措施以确保采取适当的保护措施。各制造商有责任保持警惕,着力发现与其医疗设备相关的风险与危害,包括与网络安全相关的各类风险。此类组织还应采取适当的缓解措施,旨在解决患者面临的安全风险并确保设备发挥正常效能。

  • 医疗保健服务组织应评估自身网络安全水平,并保护其医院诊疗系统。

通过监控目前市面上已经推出的各类设备,我们正努力组织并整理关于网络安全问题的汇总报告。

FDA举措

FDA正在努力保护公众健康免受网络安全漏洞的影响,具体包括:

  • 2018年10月18日,FDA发布《医疗器械上市前网络安全管理》规定。此份指南性草案向行业提供关于网络安全设备设计、标注以及FDA为可能存在网络安全风险的设备在上市前申报文件中需要体现的建议性内容。

    FDA将于2019年1月29日至30日召开公开研讨会,邀请行业中不同利益相关方共聚一堂,深入讨论以上指南性草案以及草案中关于网络安全素材清单(简称CZBOM)的子议题——这些素材可能成为资产、威胁与安全漏洞识别工作中的关键性因素。

  • 2018年10月,FDA为MITRE的《医疗设备网络安全区域性事件准备与响应手册》提供指导性支持。此份手册描述了准备事务的具体类型,旨在帮助各医疗保健服务组织(简称HDO)更好地为涉及医疗设备的网络安全事件做好准备,并为产品开发人员提供足以解决大规模、影响广泛的安全事件的必要方法,最终避免事件对患者人身安全造成影响。

    除此之外,FDA还与多家利益相关方签订了两份新的谅解备忘录,计划建立起MedISAOSensato-ISAO两大信息共享分析组织(简称ISAO)。这些共享分析组织的目标,在于为制造商提供与FDA共享关于潜在安全漏洞与新兴威胁信息的机会,并通过尽早解决这些问题以帮助制造商更好地保护患者安全。

    FDA还与美国国土安全部签署了一份协议备忘录(简称MOA)。此项协议要求建立一套框架,用以加强与潜在或已确认的医疗设备网络安全漏洞及威胁相关的信息内容的协调与共享工作。双方机构之间的这一合作,意在更好、更及时地应对可能对患者安全构成潜在影响的威胁因素。

  • 2017年5月18日至19日,FDA与国家科学基金会(简称NSF)以及国土安全部科学技术部(简称DHS,S&T)合作举办公共研讨会,题为《医疗器械网络安全:监管科学差距分析》。此次研讨会的目标在于研究FDA目前正在参与的新兴研究机遇; 促进利益相关方单反合作以确保监管科学挑战; 讨论应对这些挑战的对应创新战略; 同时鼓励各利益相关方社区积极开发分析工具、流程与最佳实践,从而提升医疗设备的安全水平。

  • 2017年1月12日,FDA就《医疗器械上市后网络安全管理》指南研讨会,邀请各利益相关方出席以了解指导内容并提出相关疑问。

    此份指南的最终版本发布于2016年12月27日,其中向各制造商通报了FDA方面就医疗设备上市后,立足产品整体生命周期之内的市场营销与分销流程,提出的网络安全漏洞结构化及全面管理方法层面的相关建议。
  • 2016年10月,FDA与国家健康信息共享与分析中心(简称NH-ISAC)以及医疗器械创新、(人身)安全与(网络)安全联盟(简称MDISS)签署了谅解备忘录(简称MOU)。NH-ISAC属于非营利性卫生组织的下辖机构,致力于为公共卫生、安全科学以及物理网络系统安全等领域开发最佳实践,从而解决与医疗技术网络安全风险相关的复杂挑战。此份谅解备忘录扩大了2014年8月FDA与NH-ISAC之间议定的合作范围,并根据《医疗器械上市后网络安全管理》最终修订版建立医疗设备漏洞信息共享框架。

    此次合作与签署谅解备忘录的目标在于:

  1. 建立相关机制,借此在受信空间之内由NH-ISAC、MDISS以及FDA共享关于医疗设备网络安全漏洞及威胁的信息;

  2. 促进对共享风险评估框架的开发,确保利益相关方能够持续有效地评估已确认网络安全漏洞所带来的患者安全与公共卫生风险,同时帮助其采取及时且适当的行动以降低风险水平。

FDA还就网络安全漏洞发布了六项针对特定产品的安全通告:

  • 2018年10月11日,FDA发布首份安全通告,向患者与医疗保健服务机构告知软件更新消息,旨在解决与美敦力(Medtronic)植入式心脏设备相关的网络安全漏洞(因程序员失误导致)。

  • 2018年4月17日,FDA发布安全通告,向患者与医疗保健服务机构告知关于发布额外固件更新的消息,旨在确认雅培(原名St. Jude Medical)植入式心脏设备中发现的网络安全漏洞并解决电池寿命低于原设计水平的问题。

  • 2017年8月29日,FDA发布安全通告,向患者与医疗保健服务机构告知关于发布固件更新的消息,旨在解决雅培(原名St. Jude Medical)植入式心脏设备中发现的网络安全漏洞。相关漏洞由独立研究公司于2016年发现,雅培通过此次固件更新继续处理已确认存在的漏洞问题。

  • 2017年1月9日,FDA发布安全通告,确认St. Jude Medical植入式心脏设备以及Merlin@home发射器中存在安全漏洞。此前某家独立研究公司发布关于这些漏洞的相关信息,FDA随后据此确认了相关安全漏洞的存在。

  • 2015年7月31日,FDA发布安全通告,确认Hospira与某独立研究方提出的,Symbiq输液系统可通过医院网络进行远程访问的问题。

  • 2015年5月13日,FDA发布安全通告,强调Hospira LifeCare PCA3与PCA6输液泵系统中存在安全漏洞。此前某独立研究方发布了关于漏洞的相关信息,FDA与Hospira随后确认输液系统中确实存在相关安全漏洞。

在上述案例当中,FDA并未发现任何因网络安全事件造成的患者伤亡状况,亦未发现任何故意针对临床环境下各类漏洞设备或系统的攻击活动。然而,这些漏洞可能允许未经授权的人士执行远程访问,控制受感染设备并发出命令,从而带来严重的潜在伤害性后果。医疗保健服务机构可采取安全通告中提出的解决建议以降低此类未授权访问风险。

  • 2016年1月20日到21日,FDA举办一场公开研讨会,题为《携手共进:医疗设备网络安全协作方法》,旨在将不同利益相关方聚焦起来,共同讨论医疗设备生态系统以及医疗设备网络安全领域的各项复杂挑战。此次研讨会的目的在于强调以往的合作努力,同时提高驮运现有成熟模式的认识——这些模式将有助于对网络安全状态、标准与开发工具加以评估。

  • 2014年10月29日,FDA就《医疗器械上市前网络安全管理提交内容》指南召开研讨会,邀请各利益相关方参加以更多了解指南内容并提出相关疑问。

    此份指南的最终版本发布于2014年10月2日,其中包含面向医疗设备制造商的网络安全管理建议以及应在产品上市前提交的信息。此份指南旨在补充以下FDA指导性文件:医疗器械上市前提交内容指南行业指南:包含现成(简称OTS)软件的网络医疗设备的网络安全

  • 2014年10月21日至22日,FDA召开题为《医疗设备与医疗保健网络安全协作方法》的研讨会,旨在就医疗设备与医疗保健网络安全问题向各医疗保健机构与公共卫生部门征求意见。此次研讨会的目标在于鼓励各利益相关方间开展合作,确定挑战并讨论有助于促进医疗设备网络安全水平的战略与最佳实践。

  • 2013年6月13日,FDA发布题为《医疗设备与医院网络安全》的安全通告,其中建议各医疗设备制造商与医疗保健机构采取措施以确保建立适当的保护机制,旨在降低因网络攻击而导致设备故障的可能性。

相关资源

  1. 医疗设备上市前网络安全管理提交内容:行业及食品与药物管理局工作人员指南草案

  2. 美敦力植入式心脏设备网络安全更新:FDA安全通告

  3. 针对部分雅培(原St. Jude Medical)植入式心脏设备电池寿命的警告与网络安全固件更新:FDA安全通告

  4. 用于解决雅培(原St. Jude Medical)植入式心脏起搏器中已确定网络安全漏洞的固件更新:FDA安全通告

  5. 在St. Jude Medical植入式以及设备与Merlin@home发射器中发现的网络安全漏洞:FDA安全通告

  6. 联邦注册局通知:《医疗设备上市后网络安全管理》,行业与FDA指南草案

  7. 医疗设备上市后网络安全管理——行业及食品与药物管理局工作人员指南(PDF格式,1.2 MB)

附加信息

本文由安全内参翻译自FDA

声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。