美国食品和药物管理局FDA是美国医疗器械领域的监管机构,已发布了一份专门针对医疗器械网络安全的上市后管理的指导文件。该文件强调了医疗器械制造商和其他参与医疗器械运营的各方在与已投放市场的器械相关的网络安全问题背景下需要考虑的最重要方面。
由于其法律性质,FDA指南是一份非约束性文件,提供了额外的说明和建议。因此,它无意引入新的规则和要求。此外,该机构明确指出,可以采用替代方案,前提是这种方案符合现行监管要求并已事先获得当局批准。
定义
首先,该指南提供了所使用的最重要术语和概念的定义,包括以下内容:
- 补偿控制是部署的保障措施或对策,代替或不存在设备制造商设计的控制。 进一步说明,这些措施是外在的,应由用户按照制造商提供的说明进行引入。
- 受控风险代表由于设备的特定网络安全漏洞而导致患者伤害的足够低(可接受)的残余风险。
- 网络安全例行更新和补丁被解释为对设备进行的更改,以提高设备安全性和/或仅修复与患者伤害受控风险相关的那些漏洞。 同时,当局强调,这一概念的范围不包括制造商为了废除不遵守适用的监管要求或降低不受控制的风险而进行的修改。需要提及的是,此类修改是提前安排好的,并且可以以软件更新或硬件升级的形式或以任何其他形式进行,具体取决于相关医疗设备的设计。如上所述,此类修改被视为设备增强而不是修复。除了对设备本身的实际更改外,这些更改还可能包括对标签、使用说明或设备随附的任何其他文档的更改。由于其法律性质,此类变更无需向 FDA 报告。然而,
- 威胁是指任何可能对设备、组织运营(包括使命、功能、形象或声誉)、组织资产、个人或其他组织通过未经授权的访问、破坏、披露、修改信息和/或拒绝服务。
- 威胁建模是一种通过识别目标和漏洞来优化网络/应用程序/互联网安全的方法,然后定义对策以防止或减轻威胁对系统的影响。 根据该指南,这种方法可用于识别与医疗设备相关的漏洞。
- 不受控制的风险是指由于补偿控制和风险缓解措施不足而导致的患者伤害的 不可接受的残余风险。
- 漏洞代表信息系统、系统安全程序、内部控制、人类行为或实施中可能被威胁利用的弱点。
一般原则
正如 FDA 发布的其他专门针对网络安全问题的指导文件中提到的那样,从当局的角度来看,网络安全领域的责任应该由参与医疗设备运营的所有各方分担。因此,确保防范网络安全风险需要医疗器械制造商、医疗机构和用户的有效合作。负面后果可能不仅包括可能对患者造成的伤害,还包括披露个人和医疗数据(本质上非常敏感),或对连接到同一网络的其他医疗设备造成的影响。据说 有效的网络安全风险管理旨在通过降低设备功能因网络安全不足而有意或无意地受到损害的可能性来降低患者的风险。 为确保实现这一目标,应在产品生命周期的所有阶段(包括上市前和上市后阶段)采取适当措施。
在描述上市前阶段要考虑的方面时,当局参考了其专门针对医疗器械网络安全管理的上市前提交内容的指导文件,它为医疗器械制造商提供了额外的建议。特别是,该机构鼓励医疗器械制造商(软件开发商)在早期设计和开发阶段考虑网络安全问题,因为在这种情况下,可以实施必要的措施和控制,相比之下,这种实施将需要更少的时间和资源在后期实施类似的变化。据称,适当的措施应反映在描述设备应满足的要求的设计输入中。根据该指南,所涵盖的事项应包括以下要素:
- 识别资产、威胁和漏洞;
- 评估威胁和漏洞对设备功能和最终用户/患者的影响;
- 评估威胁和漏洞被利用的可能性;
- 确定风险水平和适当的缓解策略;
- 评估剩余风险和风险接受标准。
除了在设计和开发过程中要采取的措施外,该指南还强调了设备投放市场后需要考虑的关键点。当局特别指出,在上市前阶段实施的措施和控制无法完全减轻网络安全风险。因此,医疗器械制造商应适当制定和实施全面的网络安全风险管理计划,描述用于以最有效的方式减轻与医疗器械相关的风险的方法。此外,医疗设备制造商应立即采取必要的额外措施来解决新发现的漏洞。如指南所述,此类网络安全风险管理计划应涵盖以下方面:
- 监控网络安全信息源,以识别和检测网络安全漏洞和风险;
- 了解、评估和检测漏洞的存在和影响;
- 建立和沟通漏洞接收和处理的流程;
- 使用威胁建模,通过开发保护、响应和恢复网络安全风险的缓解措施,明确定义如何维护设备的安全和基本性能。
总之,本文描述了医疗设备制造商在网络安全风险方面所采用的建议方法。该文件概述了医疗器械生命周期的上市前和上市后阶段需要考虑的最重要方面。
资料来源:https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical-devices
