可以理解的是，法规和标准也对"遗留器械"的IT安全提出了要求。然而，制定这些要求的方式往往会导致混乱。

 

例如，立法者和标准委员会一直无法就共同的定义达成一致。一种定义指的是遗留器械的IT安全，另一种定义指的是旧的器械或现有器械的IT安全，还有一种定义指的是过渡软件software in transition的IT安全。对包含软件或属于软件的医疗器械的IT安全要求也不协调。

 

1. IT安全---哪些器械会受到影响？

 

a) 背景

 

本文介绍的是医疗器械、

 

-已投放市场的医疗器械，以及；

 

-包含软件或独立软件的医疗器械，以及；

 

-由于缺乏IT安全，可能存在风险。

 

可分为以下几种情况：

 

1. 已证明符合当前要求。

 

制造商已确定并证明符合当前的IT安全要求。

 

2. 尚未证明符合当前要求。

 

制造商已按照"旧法规"开发了器械。他尚未证明符合新的法规要求，例如，因为这些要求尚不清楚或缺乏资源。

 

3. 无法证明符合现行要求。

 

制造商已确定无法达到现行法规要求，因此无法证明符合现行法规要求，例如，原因是：

 

-包含的软件组件（SOUP/OTS）已停产或不再由第三方供应商维护；

 

-当时的制造商已不复存在，或；

 

-器械的设计或技术已经过时，无法再实施IT安全措施。

 

b) 术语定义

 

标准和指南也从概念上区分了上述情况：

 

过渡健康软件

 

IEC 81001-5-1将"过渡健康软件Transitional Health Software"描述为：

 

“HEALTH SOFTWARE, which was released prior to publication of this document, and which does not meet all requirements specified in Clause 4 through Clause 9 of this document.”

 

遗留器械legacy devices

 

IMDRF文件N70将软件无法证明符合当前要求的器械定义为"遗留器械legacy devices "：

 

“medical devices that cannot be reasonably protected against current cybersecurity threats”

 

该定义仅在"网络安全"的背景下提及"遗留legacy"。在其文件中，IMDRF只涉及对患者安全有影响的"网络安全威胁"。例如，仅对安全造成的负面影响不在该文件的范围之内。

 

遗憾的是，IMDRF中"遗留器械legacy devices "一词的定义与IEC 62304中的定义不一致。

 

“MEDICAL DEVICE SOFTWARE which was legally placed on the market and is still marketed today but for which there is insufficient objective evidence that it was developed in compliance with the current version of this standard.”

 

该定义（与IMDRF的定义不同）没有区分IT安全性是否可以恢复，因此也没有区分合规性是否可以恢复。它也不考虑软件的使用年限。然而，IEC 62304假设软件将继续在市场上销售。

 

注意：随着IEC 62304的推出，关于该标准是否必须自动适用于市场上的遗留器械的讨论也随之而来。该标准的修正案或第二版对此进行了澄清：

 

相应的规范段落要求开展基于风险的具体活动。并非所有情况下都必须追溯性地满足所有标准要求。不过，对于遗留器械来说，并不存在普遍的"不溯既往grandfathering"。

 

c)问题及其相关性

 

现在出现的问题是，在信息技术安全方面，即在尚未证明或无法证明符合当前要求，必须如何处理遗留器械。问题是：

 

是否存在"不溯既往grandfathering"，即不受限制地继续使用市场上"过渡性医疗软件transitional health software"或"遗留器械legacy devices"意义上的现有器械？

 

这个问题的答案至关重要。更新非常老旧器械的软件往往不再可能（经济上），因为：

 

-所使用的技术已不复存在或尚未更新（编程环境、库）；

 

-更新无法在旧硬件上运行；

 

-在开发过程中没有提供简单的（远程）维护机制；

 

-运营商不愿意支付软件维护费用。

 

如果放弃"不溯既往grandfathering"原则，许多制造商可能会被迫从市场上撤回器械。

 

2. 对现有器械没有普遍的“不溯既往grandfathering”原则

 

对于上述问题，答案显而易见：

 

- 在信息技术安全方面，对 "遗留器械"没有普遍的不溯既往原则！

 

- 对制造商造成的经济后果，甚至可能导致患者护理质量下降，都不是放弃遗留器械IT安全的理由。

 

注意：法规要求制造商持续分析并确保已投放市场的器械的信息技术安全。但是，这并不意味着禁止运营商继续使用这些器械。例如，即使制造商多年前就停用了心脏起搏器的编程装置，运营商也不能取消该装置。这是因为操作人员必须继续为使用编程起搏器的患者提供服务。相反，MITRE的要求允许制造商将与"遗留器械的IT安全"相关的任务移交给运营商operators。

 

a)理由1：信息技术安全风险的特殊性

 

采取充分的信息技术安全措施的动机在于网络攻击造成的威胁。信息技术安全要求特别高（或至少看起来特别高）有几个原因：

 

-恶意滥用造成的高风险

 

IT安全漏洞与高风险相关：器械可能会被攻击者完全控制，例如，他们会导入篡改过的器械软件，访问同一网络中的其他设备或收集大量病人数据。

 

-滥用速度快，使PMS数据的效益相对化

 

根据上市后的数据来评估器械目前对网络攻击的"抵御能力"非常困难。在瞬息万变的网络世界中，攻击载体、攻击工具和攻击者的能力都在不断变化。我们必须预料到，即使攻击尚未发生，也只是时间问题。

 

因此，仅仅因为没有相反的信息，就认定"遗留器械"具有足够的IT安全性是没有意义的。相反，必须不断改进"设计安全"，并在器械的生命周期内实施相应的IT安全活动。

 

b)理由2：法规要求

 

制造商必须遵守法规和规范要求。

 

3. 对"遗留器械"信息技术安全的监管要求

 

a) MDR/IVDR

 

MDR和IVDR在各自附录I的一般安全和性能要求中规定，医疗器械必须具备符合最新技术水平的IT安全性。与所有基本要求一样，它们不区分遗留和非遗留器械。不过，它们确实要求制造商向操作人员提供IT安全方面的规范。

 

b) IEC 62304

 

IEC 62304要求审查是否符合所有规范性要求，因此也要求审查遗留器械的IT安全性。该标准第4.4章要求制造商分析风险并进行差距分析。根据这些结果，必须开展标准规定的"新器械"活动。该标准并未区分这些要求是否与IT安全有关。

 

c) ISO 14971

 

该风险管理标准要求制造商开展"生产和生产后阶段的活动"。这也包括检查是否：

 

-是否存在新的危害（也就是新的风险），以及；

 

-总体技术水平是否仍然符合要求。

 

这就意味着，必须不断分析所有与IT安全相关的风险是否都已知晓，并根据最新技术水平加以控制。

 

d) IEC 81001-5-1

 

IEC 81001-5-1更具体地针对遗留器械的IT安全，其中关于"过渡健康软件"的规范性附录F尤为重要。这类软件不应等同于IEC 62304所指的"遗留器械"。附录F要求制造商：

 

-进行与标准要求的差距分析；

 

-制定计划，使软件达到符合标准的状态；

 

-根据标准开展上市后活动。

 

注意：IEC 81001-5-1 希望制造商（随着时间的推移）达到其要求。该标准不允许笼统地说风险已得到控制。

 

e) IMDRF指南

 

IMDRF出版了两份网络安全指南：

 

-IMDRF WG/N60 FINAL2020 Principles and Practices for Medical Device Cybersecurity

 

-IMDRF WG/N70 FINAL:2023 Principles and Practices for the Cybersecurity of Legacy Medical Devices

 

第二份文件的范围是IMDRF所定义的遗留软件（"无法针对当前网络安全威胁提供合理保护的医疗器械"）。

 

作为制造商最重要的任务，第二项准则要求：

 

-从开发开始：

 

考虑第三方软件及其供应商的支持期限；

 

尽可能安全地开发器械，以便能够长期保证IT安全。

 

-从支持方面：

 

继续监控并通报漏洞和风险；

 

向运营商明确告知计划和实际的支持终止时间，包括第三方软件的终止时间。

 

f) MITRE指导方针

 

MITRE文件介绍了提高这些器械网络安全的方法。它将自己视为IMDRF文件的补充，并借鉴了其"全产品生命周期流程（Total Product Lifecycle Process，TPLC）。由于"设计安全"难以追溯实现，因此更多的措施转移到了操作人员身上。该文件详细阐述了操作人员和制造商之间的互动及其各自的任务，并将其转化为八项具体建议：

 

-试点数据收集，为遗留器械风险管理的决策提供支持；

 

-开发信息共享协议模板，提高透明度；

 

-建立安全架构工作组；

 

-制定医疗器械模块化设计研究计划；

 

-开展漏洞管理协调研究；

 

-为与遗留网络风险相关的角色开发能力模型；

 

-确定劳动力发展资源；

 

-参与互助伙伴关系。因此，在医疗器械生态系统中分担责任和任务是最重要的，也符合遗留挑战的复杂性。

 

因此，该文件似乎是对IEC 81001-5-1的有益补充，后者仅在附录F中列出了制造商的任务。

 

4. 总结

 

医疗器械不可能采用" fire-and-forget"的方法。相关标准和法规规定，制造商有义务评估其器械在整个生命周期内构成的风险，并确保器械的安全性。这尤其适用于网络安全。在许多情况下，制造商面临着一个抉择：为了管理这些风险，他们可以停止销售器械，或者通过重新设计器械来实现网络安全。修改义务并不局限于制造商继续销售的器械。它也适用于已经投放市场的器械。MITRE为制造商提供了与运营商共同管理网络安全风险的机会。IEC 81001-5-1没有描述这种方法。因此，同时使用这两份文件会很有帮助。