隨著愈來愈多醫療醫材相互連結、聯網,醫療器材的網路安全(cybersecurity)變得愈來愈重要。近(8)日,美國食品藥物管理局(FDA)發布醫療器材網路安全指南草案,對於醫材涉及網路安全問題時的上市前提交內容提出建議。該指南草案正在徵詢意見至7月7日,將取代FDA在2018年發布的指南草案。
FDA 在《聯邦公報》(Federal Register)中表示,這些建議可以促進有效的上市前審查過程,並有助於確保已上市的醫療器材能夠充分抵禦網路安全威脅。
FDA在指南草案指出,連結性增加使得單個設備成為大型醫療設備系統中的一個元件。因此,如果沒有充分考慮整體系統的網路安全,那麼透過損害系統中任何一個設備的功能,就能威脅整個醫療設備系統的安全性和有效性。
FDA說:「製造商應該考量到其設備可能被使用到一個更大的系統中。」例如,一個沒有與其他裝置連結的溫度計,和一個用在關鍵的安全性控制迴路上的溫度計,兩者的風險不同。
FDA指出,網路安全是設備安全和品質系統規範(Quality System Regulation, QSR)的一部分;此外,透明度對於使用者很重要,使用者必須能獲得設備的網路安全控制、潛在風險和其他相關的資訊。
FDA也列出數個安全目標如驗證(authenticity,包含完整性(integrity))、授權(authorization)、可用性(availability)、機密性(confidentiality) ,以及安全性與可即時更新和修補性,FDA將以這些目標來評估設備的安全性是否充分。
指南寫道,網路安全風險隨著時間的推移而演變,因此,隨著新的風險、威脅和攻擊手法的出現,網路安全控制的有效性可能會降低。由於網路安全是設備安全性和有效性的一部分,網路安全控制應該考慮到預期和實際的使用環境。
此外,指南也對有網路安全風險設備的標示提出建議,包括列出詳細圖表、描述備份與還原的程序。
本月稍早,美國兩黨也合作訂立PATCH (Protecting and Transforming Cyber Health Care Act)法案,對於申請FDA批准的醫材製造商,提出一系列網路安全要求,並要求制訂監測計畫,與上市後更新與修補漏洞的計畫。
參考資料:https://www.healthcareitnews.com/news/fda-releases-medical-device-cybersecurity-draft-guidance
FDA醫療器材網路安全指南草案:
https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions
(編譯/劉馨香)