与所有其他计算机系统一样,联网的医疗设备也容易受到威胁,可能导致数据的机密性、完整性和可用性受到破坏。为了应对这些挑战,医疗保健和公共卫生部门协调委员会(HSCC)联合网络安全工作组最近发布了医疗设备和卫生信息技术(IT)联合安全计划(JSP)。[1]这一新的自愿性计划面向医疗设备制造商(医疗技术)和医疗服务提供商(医疗信息技术和服务机构),旨在进一步提高医疗设备和医疗基础设施的网络安全。
安全设计框架
HSCC 联合网络安全工作组 (JCWG) 是 HSCC 的一个常设工作组,由 200 多个行业和政府组织组成,旨在共同制定战略,以应对卫生部门新出现和持续面临的网络安全挑战。这一合作的成果就是新发布的 JSP。
当然,我们鼓励使用 JSP,因此工作组明确考虑了该计划如何与医疗器械制造商、其合同制造商和供应商以及各级医疗保健行业提供商(医疗器械用户和医疗保健行业 IT 基础设施)已经使用的各种质量和管理系统相匹配。医疗设备制造商和 IT 开发商是国家和全球医疗保健行业的重要支柱,在尽可能保证安全设计方面具有得天独厚的优势。
数字技术的优势之一是其发展和改进的速度。然而,同样快速的发展速度也为敏感的数字技术进入市场后被恶意使用或瞄准提供了机会。在医疗保健领域,参与医疗服务、医疗服务安全和医疗信息技术的人员往往最先发现故障和缺陷以及可能和已知的安全漏洞或漏洞。因此,医疗保健行业相关各方之间的沟通至关重要。
联合工作小组打算为联合战略规划提供一个框架,以解决供应商和最终用户之间所需的透明度和披露问题,以及设计和整个产品生命周期(包括产品报废)的网络安全问题。
医疗器械制造商须知
为了充分利用现有资源和经验,使 JSP 的实施尽可能简单,特别是在医疗器械的设计和开发方面,我们注意使 JSP 的核心原则与全球医疗器械设计和开发中已经使用的原则保持一致。对于那些已经按照医疗器械标准和法规(如国际上的 ISO 13485 和 ISO 14997、美国的 FDA 21 CFR Part 820 和欧盟的新医疗器械法规 (MDR))中规定的质量和管理系统进行操作的人来说,所使用的许多原则并不陌生。JSP 与这些标准和法规一样,涉及整个产品生命周期,JSP 应作为设备设计和开发所有阶段的参考指南,包括网络安全技术解决方案的部署、支持和退役。
联合战略规划涉及以下主要原则:
- 医疗技术产品设计和开发中的网络安全实践
- 处理与网络安全事件和漏洞有关的产品投诉
- 在医疗技术的整个生命周期管理安全风险
- 评估产品网络安全计划的成熟度
那些已经积极从事采用软件和/或互操作功能的医疗器械开发的人应该已经熟悉所有这些原则,因为它们与 FDA 在过去十年中提出的原则如出一辙。这些原则可以在 2005 年发布的《医疗器械所含软件上市前提交内容指南》和 2016 年发布的《医疗器械网络安全上市后管理指南》中找到:
- 医疗机构、患者、医疗服务提供者和医疗设备制造商等利益相关方分担责任
- 在医疗设备的设计和开发过程中解决网络安全问题
- 根据 21 CFR 820.30(g)的要求,为与网络安全有关的设备建立设计输入,并建立网络安全漏洞和管理方法,作为软件验证和风险分析的一部分
在 2016 年的指南中,FDA 建议制造商在制定和实施医疗器械制造商的全面网络安全计划时,应用美国国家标准与技术研究院 (NIST) 的《提高关键基础设施网络安全框架》[4]:
- 建立和交流漏洞接收和处理流程
- 采用协调一致的披露政策和做法
- 部署缓解措施,在被利用之前及早应对网络安全风险
- 针对网络漏洞和威胁开展协作信息共享
使用基于风险的框架,包括风险管理、设计控制和上市后监督,对于确保持续、及时地应对公众健康风险至关重要。 对于器械制造商及其合作伙伴来说,实现这一目标的最佳途径是利用或修改其现有的质量管理系统和上市后程序和流程,以及促进信息共享和风险评估的协作和协调方法。
JSP 的出版就是这样一种合作努力的结果,也是促进所有利益相关者协调和更好地适应这些基本要素的一种机制。JSP 提供了多个附录,其中包含实施医疗器械网络安全设计控制、进行网络安全风险管理以及处理和报告涉及网络安全威胁和故障的投诉的见解、方法和工具,所有利益相关者都可以利用这些见解、方法和工具来履行自己的职责,确保更安全的数字世界和更健康的明天。欲了解更多有关在自己的器械开发项目中应对这些挑战的信息,请立即联系 Premier Research 监管咨询团队。
[1]医疗保健和公共卫生部门协调委员会(HSCC)。(2019 年,1 月 28 日)。联合安全计划(JSP)。Retrieved fromhttps://healthsectorcouncil.org/the-joint-security-plan/.
[2]器械和放射卫生中心。(2005年5月)。医疗器械所含软件上市前提交内容指南》。取自https://www.fda.gov/regulatory-information/search-fda-guidance-documents/guidance-content-premarket-submissions-software-contained-medical-devices。
[3]器械和放射卫生中心。(2016年12月)。医疗器械网络安全的上市后管理》。取自https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical-devices。
[4]Barrett, M. P. (2018, November 10).改善关键基础设施网络安全框架 1.1 版。Retrieved fromhttps://www.nist.gov/publications/framework-improving-critical-infrastructure-cybersecurity-version-11.