医疗设备的安全性正日益受到关注。在本文中,专家Mike Villegas探讨了如何用好最新的针对医疗设备制造商的FDA网络安全指南。
在2014年10月24日,据路透社报道,美国国土安全部正在对输液泵和植入式心脏设备等医疗设备和医院设备中二十几个疑似网络安全漏洞进行调查,他们担心这些漏洞可能会被攻击者利用。这些漏洞不仅危害人类生命安全--当然这是最关键的风险,而且也会损害这些设备的完整性和安全性。
美国食品药品管理局(FDA)在2014年10月2日发布了《Content of Premarket Submissions for Management of Cybersecurity in Medical Devices》,该文件为医疗设备制造商提供了网络安全功能指南,以帮助加强这些设备的安全性,防止被攻击者利用。该指南强调其中提出都是建议,而不是要求,在阅读该文件后,笔者发现,这些建议对于任何医疗设备制造商及其网络都很全面且实用。
现有两种类型的上市前申请文件:• 上市前通知(premarket notification,PMN)或者510(k),在制造商准备向市场推出医疗设备前需向FDA提交此申请。
• 上市前审核批准(premarket approval,PMA)是FDA的科学和法规审查过程,以评估III类医疗设备的安全性和有效性。根据联邦法律,III类设备需要获得上市前批准才能推向市场。III类设备是指那些支持或维持人类生命的设备,它们对防止人体健康受到损害、或者潜在不合理的生病或受伤,有着实质性的重要意义。
FDA将医疗设备分为三类:• I类设备只受一般控制。它们通常代表着最低的风险等级。I类设备包括弹性绷带、检查手套和手持式手术器械等。
• II类设备是指单靠一般控制不足以合理保障安全性和有效性的设备。II类设备包括电动轮椅、输液泵和手术洞巾等。
• III类设备指那些支持或维持人类生命的设备,它们对防止人体健康受到损害、或者潜在不合理的生病或受伤,有着实质性的重要意义。III类设备包括置换心脏瓣膜、硅凝胶乳房假体植入或植入的小脑刺激器等。
这对制造商和医院意味着什么?这意味着,特别是对III类生命支持和威胁生命的医疗设备,至少应该部署列出的网络安全控制。
制造商制造商需要确保这些设备有510(k)或PMA批准—这取决于设备类别。III类设备必须设计有针对识别、身份验证、监控、授权和完整性检查的安全措施,以确保防止秘密攻击。安全和无故障设备不是绝对的,但这里的目标是最大化容错和网络安全。制造商特别应该专注于这样的医疗设备,即通过无线或有线连接到另一台设备、互联网、其他网络,或者连接到便携式媒体(例如USB或CD)的设备。因为这些设备最容易受到网络安全威胁。
FDA的指南中强调的一点是,安全控制不应该不合理地阻碍对设备的访问,特别是在紧急情况下。这意味着易于访问和强大的网络安全控制之间需要保持一定的平衡。
医院医院和其他医疗服务中心需要确保其购买的设备提供备有证明文件的断言,证明这些设备已经经过严格的以实验为依据的网络安全测试,可能还有独立测试。如果没有这些断言,医疗机构应重新考虑他们是否应该购买这些设备或者考虑其他供应商的产品。
他们应该询问以下问题:该设备是否……
在确定可供选择的医疗设备清单后,医院在做最后的选择之前需要实际考察其网络安全性。
• 具有FDA批准的当前有效的PMA?
• 需要用户身份验证,例如ID和密码、智能卡或生物识别技术,例如指纹扫描?
• 在预定时间后,是否有会话超时功能?
• 使用基于角色的访问控制来授予权限级别,例如护理者、医生或系统管理员?
• 为无线连接使用强大的加密功能,例如WPA-2?
• 提供多因素身份验证来允许特权设备访问?
• 使用强密码语法规则来缓解被泄露的风险?例如,最小密码长度、字母数字、每台设备使用不同密码、加密等。
• 为设备本身以及任何通讯端口提供物理锁来减少篡改?
• 提供最新反恶意软件/杀毒软件,以在外部连接中提供保护,并包含软件或固件更新?
在这个指南中,除了针对医疗设备网络安全控制建议外,还提到其他指导文件,包括《Guidance for the Content of Premarket Submissions for Software Contained in Medical Devices》和《Guidance for Industry - Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software》。
结论FDA定义了“严重级别”来估计因为设备故障、设计漏洞或仅仅使用设备用于其预定目的,而可能允许或造成的对病人或操作者损伤的严重程度,无论是直接或间接。对III类设备进行严格审查是非常关键的,应该确保所有类型的设备(特别是III类设备)拥有510(k)或PMA批准。可以说,对这些设备的严格保护再怎么强调也不为过。