医疗器械网络安全不仅是美国FDA关注的焦点，也是美国和其他市场其他立法者和机构关注的焦点。这是可以理解的、因为一方面，网络安全威胁在不断增加，另一方面，医疗器械的网络化程度越来越高，因此更加脆弱。此外，诊断和治疗等患者护理也越来越依赖于这些联网产品。美国在《食品、药品和化妆品法案》中增加了对网络设备的要求，FDA 发布了多份有关网络安全的指导文件。

 

1. FDA 上市前网络安全指南

 

第一份文件长达 57 页，题为"Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submission”。该文件于 2023 年 9 月发布。不过，FDA 已计划在 2024 年 3 月对此进行更新（见第1.4 章 "计划更新"）。

 

1.1 产品生命周期要求

 

美国FDA的一项核心要求是，制造商必须将网络安全纳入质量管理系统。为此，该局制定了安全产品开发框架(Security Product Development Framework SPDF)。

 

1.1.1 SPDF 的目标

 

SPDF 必须涵盖整个产品生命周期，并实现 IT 安全、保密性(confidentiality)、完整性(integrity)和可用性(availability)的 "常规"目标。美国FDA通过产品和系统快速更新或打补丁的能力来补充这些 "CIA 目标"。

 

1.1.2 SPDF 推动的活动

 

FDA 希望制造商通过实施 "安全风险管理"来实现其产品的网络安全。在这方面，它参考了 AAMI TIR 57。

 

作为这一过程的一部分，制造商必须开展以下活动：

 

-整个系统的威胁建模，这需要一个系统架构

 

-网络安全风险评估

 

-互操作性带来的风险评估

 

-评估现成软件带来的风险，并创建软件物料清单SBOM（更多信息请参阅SBOM技术文章）。

 

-评估剩余 "异常"带来的安全风险

 

-持续评估上市后阶段的网络安全风险。这些风险可能会发生变化，例如，已知新的攻击载体或产品不再维护。

 

-这还包括监控 "已知漏洞目录"。

 

-网络安全测试，检查将网络安全风险降至最低的措施的有效性，包括渗透和模糊测试、静态和动态代码分析以及攻击面分析。

 

1.2 产品要求

 

在附录中，美国FDA还提到了与网络安全有关的具体产品要求。这些要求涉及密码学、认证和授权概念、记录攻击的能力以及产品补丁。

 

1.3 文档要求

 

所有这些活动都必须形成大量文件，如:

 

-网络安全管理计划

 

-包含各种 "视图"（如 "多患者伤害视图 "和 "可更新性和可打补丁性视图"）的架构文件

 

-SBOM

 

-随附材料和使用说明

 

FDA 甚至对 "安全问题"的发布进行了规范，并参考了NEMA 题为 "Manufacturer Disclosure Statement for Medical Device Security"的要求。

 

1.4 计划更新

 

仅仅过了半年多，美国FDA认为有必要修订该文件。它已公布了计划修改的草案。其中一个原因是修订后的《食品、药品和化妆品法案》第 524b 节。

 

1.4.1 定义的修改

 

美国FDA现正更准确地说明它把什么算作网络设备：即使是一个 USB 端口或串行端口也可确定该设备具有连接互联网的能力。因此，《食品、药品和化妆品法案》第 524B 条的要求以及美国FDA对医疗器械网络安全的要求必须适用。

 

1.4.2 高级网络安全管理计划

 

此外，美国FDA希望看到更详细的网络安全管理计划：

 

-该计划应精确描述制造商如何开发、发布和推出补丁。

 

-它还更精确地规定了制造商必须如何披露漏洞和"利用"。

 

-毕竟，该计划必须在整个生命周期内得到维护，应区分产品是将继续得到维护，还是已经停产但仍在使用。

 

1.4.3 对变更通知的变更

 

计划扩大Guidance Document on Pre-Market Cybersecurity的范围，这也会影响到向美国FDA提交的变更通知。这样，主管部门希望了解产品的哪些部分发生了变化，可能或应该对网络安全产生影响。例如产品结构、加密算法和新的连接功能。

 

1.4.4 其他变化

 

今后，美国FDA在决定产品是否 "实质等同"时，也将考虑网络安全。这意味着制造商在指定 "实质等同器械"时必须明确考虑网络安全。

 

2. 网络安全的上市后管理

 

2016 年发布的题为 "Post-Market Management of Cybersecurity in Medical Devices"的第二份指南显然已显老态。

 

美国FDA认识到，制造商无法在开发过程中预测和应对未来所有与网络安全相关的威胁。因此，它要求制造商在开发之后仍要不断分析这些威胁并采取适当措施。

 

2.1 上市后的信息来源

 

制造商应评估的信息来源包括：

 

-安全研究人员的发现

 

-自身测试

 

-软件和硬件供应商

 

-医院等客户

 

-专门收集、分析和传播相关信息的机构

 

2.2 措施

 

FDA 建议使用 NIST 框架（美国国家标准与技术研究院），其要素（识别、保护、检测、响应和恢复）在第一份指导文件中也有提及。

 

-了解您的医疗器械必须满足哪些基本（临床）性能特征。

 

-确定当无法满足这些性能特征时（在本例中，由于网络安全问题）会产生的风险。

 

-分析该问题如何发生。为此，请使用上述信息。

 

-评估这些潜在问题及其可能性，例如使用通用漏洞评分系统。

 

-分析对健康的影响，即可能造成损害的严重程度。

 

-评估风险的可接受性。

 

-消除薄弱环节（始终），确保措施的有效性，并将这一切记录在案。

 

-培训用户。

 

在这一点上，FDA 提到，根据 21 CFR 第 806.10 部分，改善网络安全的主动措施无需向 FDA 报告。

 

2.3 临时结论

 

美国FDA的要求规定了人们对正常市场监督的期望。值得注意的是:

 

-该文件在某些地方出人意料地具体，例如关于需要评估的信息来源和使用的方法。

 

-文件回答了何时报告网络安全相关行动的问题。

 

-文件对术语（如漏洞利用、补救、威胁、威胁建模）进行了定义，并给出了大量示例。

 

3. 与欧洲的重大差异

 

3.1 生命周期阶段

 

美国FDA希望在制造商的计划（"网络安全管理计划"）中反映上市后的要求。有趣的是，它在 "上市前指导文件"中提出了这些要求。

 

另一方面，在欧洲，当 IEC 81001-5-1 协调一致时，预计质量管理系统将完全映射所有上市前和上市后流程。

 

3.2 文件

 

FDA 对 SBOM 的要求要精确得多：IEC 81001-5-1 和 MDCG 2019-16 最多提及 SBOM，而 FDA 则链接到 NTIA 规范，并增加了其他要求（如 SBOM 各要素支持结束的说明）。

 

FDA 非常重视 "架构视图"，并非常精确地说明了其期望。

 

3.3 其他

 

此外，美国FDA还希望通过指标来评估制造商应对已知漏洞的能力。

 

美国FDA 还提供了具体的提交工件清单，并声明 "网络设备"一词可指所有数据接口（明确包括 USB），因此其期望也非常明确。欧盟则通过 MDCG 2019-16 和 IEC 81001-5-1 留出了更多的解释空间。

 

包含软件或属于软件的医疗器械通常都有数据接口。因此，它们的设计必须具有足够的网络安全性。

 

美国FDA在其针对上市前和上市后的两份指导文件中详细描述了其要求。此外，它还提供了实施公认共识标准的实际帮助。

 

令人欣慰的是，这份清单还提到了 IEC 81001-5-1，因为该标准在世界其他地区已经具有约束力（如日本）或协调性（欧盟正在制定中）。

 

随着最新计划对《上市前指导》的调整，美国FDA正在把标准提得更高。因为制造商在对已获批准的产品进行修改时，现在也面临着网络安全要求。