FDA 醫療設備網路安全

在美國任何醫療器械產品上市前,必須提供證據證明該器械安全且有效,並得到 FDA(美國聯邦政府食品和藥物管理局)合法銷售批准。

今天醫療設備安全且有效,正面臨著工具太多,持續管理網路安全難度越來越大,加上設備缺乏可見性,形成多重巨大網路安全挑戰。

以國際標準而言,開創醫療設備產品安全,必需符合以下兩個重要的要求:

  整個生命週期內管理產品網絡安全。

  整個生命週期內管理產品網絡合規性。

既然國際標準有提到生命週期,在這裡先就生命週期及風險分配解說如下,然後再繼續說到醫療設備產品安全

 

IEC 62304 標準將軟體生命週期分解為五個過程

 1. 發展

 2. 維護 

 3. 風險管理 

 4. 配置管理 

 5. 問題解決

 

IEC 62304 並依風險分配至三個軟體安全等級

 A 級:不會造成傷害或健康損害。

 B 級:可能受傷,但不嚴重。

 C 級:可能導致死亡或重傷。

IMDRF  (MDRF國際醫療器械監管機構論壇)致力於在醫療器械的整個產品生命週期 (TPLC) 中協調網路安全方法,

於 2011 年由澳大利亞、巴西、加拿大、中國、歐盟、日本和美國的醫療器械監管機構以及WHO 的代表成立,

是一個自願性機構,目標是加速國際醫療器械監管的協調和統合。

2020 年 3 月發布的 IMDRF/CYBER WG/N60 最終指南提供了醫療器械網路安全原則和實踐方法,

廣泛考慮多種醫療設備的網路安全,不侷限於連接設備,並針對製造商、所有利益相關者提出建議,

 

IMDRF/CYBER WG/N60 主要兩個概念

 1. 傳統醫療設備無法通過更新現在與未來網路安全威脅來保護

 2. 落實網路安全需要 SBOM 詳細的庫存報告,按名稱、來源、版本和構建標示每個軟體組件,包括任何組成醫療設備的商業、開源或現成軟體組件

面對製造、經銷、運營商,IMDRF 聲明 (IMDRF 對傳統設備的網路安全建議)SBOM 能夠幫助他們管理產品和相關風險如下:

 ● 製造商:應採用行業法規部署 SBOM 具兼容性的格式、語法和標記

 ● 經銷商:應通過 SBOM 讓買家了解所使用的組件和潛在的安全風險來幫助做出購買決策

 ● 運營商:使用 SBOM 促進與製造商的合作,識別可能存在漏洞的軟體、更新要求以及執行適當的安全風險管理

非營利組織 (AAMI  醫療器械促進協會)成立於 1967 年,齊心協力促進健康技術的進步並關注患者安全,

由擁有 10,000 名醫療技術專業人士的社群所組成,總部位於美國,獲得美國國家標準協會 (ANSI) 的認可,

該組織負責協調所有美國自願性標準的制定和推廣。

2019 年 AAMI 發布技術資訊報告 TIR 97(針對上市後階段) 與 TIR 517(針對上市前階段)。

TIR 97 指導組織如何通過威脅情報、漏洞監控和事件響應進行持續的安全事件處理來實現上市後醫療設備的安全,

 

TIR 97 標準將直接和間接造成患者身體傷害的事件都定義為“傷害”

包括降低設備有效性以及破壞數據安全性,FDA 也將 TIR 97 指定為"共識標準"鼓勵自願性的網路安全落實。

 

醫療設備產品安全是設備製造商的最大的挑戰

 ● 越來越多的設備正在成為軟體定義

 ● 關鍵設備軟體被發現更多漏洞,造成供應鏈巨大風險

 ● 所有行業都被引入了新的產品網絡安全法規

 ● 新產品受到的安全要求,所承受的巨大壓力已經影響到上市時間,

 ● 被要求醫療設備網絡安全,作為 483 檢查的一部分,更多的法規、更多的要求和更多的醫療設備製造商被調查網絡安全。

 ● FDA 設備與放射健康中心戰略合作與技術創新辦公室主任Suzanne Schwartz 博士說:

     網絡安全不是可選的,如果醫療機構確定不存在堅定的網絡安全並且它對患者安全構成風險……我們會阻止醫療設備授權……”

 

網絡安全正成為將醫療設備推向市場的最大障礙

今天的醫療設備組件中充斥著大量軟件,這意味著它們的安全風險永遠不會停止變化,因此需要儘早並經常進行軟體風險分析。

並執行三大階段:

 ● 設計階段、

 ● 開發階段:向 FDA 提交流程 ( 停止開發的風險)

 ● 後期製作風險階段 :FDA 將監控,(網絡安全調查、風險召回、品牌受損風險)

 

傳統方法不再適用今天醫療設備的安全規範

 ● 往往需要在多個工具在醫療設備之間導航

 ● 在每一個組件級別都會實施威脅檢測

 ● 僅加速安全威脅檢測

 ● 允許定期安全快照

 ● 需要大量手動優先級排序、記錄保存和管理工作

 ● 使用通用物聯網工具或重新利用 IT 工具

 

傳統方法與 Cybellum 漏洞管理平台比較

    傳統方法                     Cybellum 漏洞管理平台

 ● 需要在多個工具之間轉換           ● 一個集成的安全平台,連接整個產品生命週期生態系統

 ● 專注於單個組件級別的威脅檢測        ● 關注跨組件、產品和系統的威脅管理

 ● 只加速安全威脅檢測             ● 同時加快合規性、安全管理和產品開發

 ● 允許定期安全快照              ● 對每個版本進行持續評估(版本控制)

 ● 需要大量手動優先級排序、記錄保存和管理   ● 自動化流程

 ● 使用通用物聯網工具或重新利用 IT工具     ● Cybellum 漏洞管理平台,專為您的行業打造

若您需要訂閱 Cybellum 網路安全、漏洞風險管理 平台 / 或想得到更多網路安全、漏洞風險管理資訊 / 或其他服務。請聯繫艾索科技

艾索科技聯繫表單: 點我連結

艾索科技連絡電話:(02)2500-6210

網頁連結:Cybellum 漏洞管理平台介紹

善意提醒:國際標準也會順帶考核您具有:主導產品合規企劃能力、解決方案是證明您具有:主導面對問題應對能力,

最後才是稽核您具有:主導產品生命週期安全能力 並通過認證。