背景鏈接
在醫療器械具備網絡連接功能日益普遍的今天,由醫療器械網絡安全出現問題導致的侵犯患者隱私、醫療器械非預期運行導致患者或使用者受到傷害或死亡引起了各國監管部門的高度重視。本文選自FDA每周通訊,這是一份有關FDA政策的時事通訊,體現了FDA監管最新思路和行業動態。原文作者介紹了美國在促進醫療器械網絡安全問題上的現狀和討論。
美國食品藥品管理局(以下簡稱FDA)工作人員稱,對促進醫療器械領域網絡安全來說,陳舊醫療器械(legacy medical devices)是一個“難以克服的挑戰”。FDA負責人Scott Gottlieb也在同一天表示,解決這些醫療器械帶來的安全風險是FDA面臨的關鍵的挑戰之一。
Suzanne Schwartz是FDA醫療器械與放射健康中心(CDRH)科學與戰略伙伴關系部門副主任,她在為期兩天的FDA網絡安全研討會上稱,陳舊醫療器械對于醫療機構來說至關重要,它們通常因為價格昂貴而很難更新,同時又無法通過新的安全措施進行修補或升級。Schwartz希望改變這些陳舊醫療器械脆弱、易受攻擊的狀態,使它們有更強的適應性以應對當前復雜的網絡安全問題。
該研討會的目的是討論FDA于2018年10月發布的《醫療器械網絡安全管理上市前提交內容》(Content of Premarket Submissions for Management of Cybersecurity in Medical Device)指南草案。該指南草案是針對上市前申請中醫療器械制造商應如何在其上市申報資料中提交網絡安全內容,但Schwartz同時還關注陳舊醫療器械如何實現FDA關于網絡安全的三個原則:可信賴性(trustworthiness),透明(transparency)和適應性強的(resilience)。
她表示,雖然陳舊醫療器械的網絡安全問題通常被認為是一個上市后監管的問題。但事實上,所有醫療器械都將不可避免地變得陳舊和過時,特別這其中很多器械價格昂貴,在這些器械仍然可以被繼續使用的時候就將它們更換成新器械顯然是不合理的。因此,將醫療器械設計成為在其全生命周期內,適應性強、可升級,是產品在上市前的設計研發階段就應該考慮的問題,而不止是上市后監管的問題。
在研討會的前一天,衛生部門協調委員會(HSCC)剛剛發布一項聯合安全計劃,該計劃旨在為開發和維護醫療器械和其他醫療信息技術中的網絡安全功能提供基于產品全生命周期考量的指南。
Gottlieb贊揚了HSCC的計劃,并呼吁通過產品全生命周期來解決網絡安全問題。許多陳舊醫療器械在生產制造時沒有考慮到網絡安全問題,因此設計得比較簡單而不具備較強的適應性可信賴性。它們會因為可能使用不安全軟件、硬件和協議而受到攻擊。而我們在考慮提高醫療器械網絡安全時最重要的任務之一,就是解決這些陳舊器械所面臨的風險。FDA和醫療器械業界應共同考慮如何最好地確保醫療器械網絡安全,同時關注網絡安全問題對陳舊醫療器械的挑戰。
研討會上有專家指出,醫療器械利益相關方仍未就陳舊醫療器械的定義達成一致。包括來自FDA,醫院,醫療器械制造商和網絡黑客在內的與會代表,對“陳舊醫療器械”都有自己的定義。但值得鼓勵的是,一些醫療器械制造商已開始就“陳舊醫療器械”和醫療器械的網絡安全進行理念變革。一位醫療器械制造商代表形容醫療器械行業開始重視網絡安全這一理念的轉變,就好比汽車制造商開始將行駛安全作為產品最大賣點這一理念上的轉變。
FDA和醫療器械利益相關方表示,解決方案之一是使用網絡安全材料清單(cybersecurity bill of materials , CBOM)。該清單要求制造商列出該醫療器械容易受到網絡安全攻擊的軟件和硬件組件。
Schwartz表示,制造商還應該披露產品的薄弱環節,通過信息共享等方式使利益相關者了解可能的網絡安全威脅從而實現FDA的第三個網絡安全原則:透明。如向醫療機構提供網絡安全材料清單,就可以幫助他們在網絡安全事件發生之前就很好地管理其網絡訪問并優先考慮降低風險。
文章來源:
Roza, D. (2019). Gottlieb: Legacy device safety is 'critical' cybersecurity challenge.InsideHealthPolicy.Com's FDA Week, ������25(5) Retrieved from
審評(ping)五(wu)部 楊宇希 供稿 | 
全國服務熱線:
