微软蓝屏敲响警钟医疗器械如何免受网络安全威胁
7月19日北京时间下午3点左右,微软850万台Windows设备出现长时间蓝屏故障,起因则是美国CrowdSrike Falcon公司更新其内核驱动文件csagent.sys,错误程序触发了Windows系统的自我保护机制。CrowdSrike股价当地时间19日收盘时下跌超11.1%,美国媒体估计其净资产已损失超3亿美金。
这是一起全球性大规模网络安全事件,波及全球多国各行各业——航班停飞、应急服务宕机、银行金融服务停摆、零售行业回归人工式手写记录,乃至医疗服务中断,直接影响到病人的日常治疗与医疗体系运转。
当今现代医疗设备中的网络安全威胁和漏洞正在变得越来越明显和复杂,给患者和临床操作带来了新的潜在风险。从勒索软件到针对卫生系统的灾难性攻击,设备制造商必须保护其产品免受不同类型的网络安全风险,充分解决从设计阶段到设备上市期间的网络安全问题,以帮助并确保患者免受网络安全威胁。
典型医疗器械网络安全事件
St. Jude医疗器械漏洞事件:2016年,Muddy Waters Capital发布了一份报告,指出St. Jude Medical心脏起搏器和心脏除颤器存在严重的网络安全漏洞,可能导致设备被黑客攻击。这些漏洞包括设备的远程操控和干扰,可能危及患者的生命。
医院勒索软件攻击:2017年5月,全球范围内的勒索软件攻击“WannaCry”袭击了数百家医院和医疗机构,导致一些医疗设备无法正常运行,医院的数据系统被加密勒索。
HosptialGown攻击事件:2020年,制造商Tandem Diabetes Care的一些客户受到了名为"HospitalGown"的网络攻击,黑客获取了患者使用的胰岛素泵的敏感信息,包括治疗方案和个人身份信息。
网络设备Cyber Device的定义
通常,包含以下任何功能的设备被认为具有连接互联网的能力,例如:
Wi-Fi或蜂窝网络
网络、服务器或云服务提供商连接
蓝牙或低功率蓝牙
射频通信
感应通信
能够连接到互联网的硬件连接器(例如,USB,以太网,串行端口)
美国FDA对医疗器械网络安全的指南
越来越多的医疗设备被设计为连接到计算机网络。其中许多联网医疗设备都包含易受病毒和蠕虫等网络安全威胁的现成软件。这些漏洞可能对联网医疗设备的安全有效运行构成风险,通常需要在整个产品生命周期内进行持续维护,以确保提供足够的保护。自2005年以来,美国FDA发布了指南,以阐明包括质量体系(QS)法规在内的现有法规如何适用于此类网络安全维护活动。
FDA指南发布日期 |
指南文件 |
01/14/2005 |
包含现成(OTS)软件的网络医疗设备的网络安全 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networked-medical-devices-containing-shelf-ots-software |
12/27/2016 |
最终指南:医疗器械的上市后网络安全管理 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/postmarket-management-cybersecurity-medical-devices |
09/27/2023 |
最终指南:医疗器械网络安全管理上市前申报内容 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-medical-devices-quality-system-considerations-and-content-premarket-submissions |
03/13/2024 |
指南草案:上市前网络安全指南的选择更新:FD&C法案第524B条 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/select-updates-premarket-cybersecurity-guidance-section-524b-fdc-act |
FDA对Cyber Device的网络安全资料要求
1. 计划及程序(第524B条(b)(1)条)
《FD&C法案》第524B(b)(1)条要求网络设备制造商在其上市前提交的文件中向FDA提交“在合理时间内监测、识别和适当解决上市后网络安全漏洞和漏洞利用的计划,包括协调漏洞披露和相关程序”。
1)参考2023.9的网络安全指南Section VI.B中Cybersecurity Management Plan的要求。
2)FDA认为协调漏洞披露(CVD)和相关程序可以包括:
由外部机构识别的协调披露的漏洞(包括第三方软件供应商和研究人员);
由器械制造商识别的披露的漏洞;
执行漏洞披露的制造商程序。
3)描述时间表,以及相关的理由,以开发和发布所需的更新和补丁:
FD&C法案第524B(b)(2)(A)条要求网络设备制造商在合理的常规周期内对已知的不可接受的漏洞进行更新和修补;
《FD&C法案》第524B(b)(2)(b)条要求网络设备制造商为设备和相关系统提供可用更新和补丁,以尽快解决可能超出周期的、可能导致无法控制风险的关键漏洞。
4)对计划、程序以及在整个产品生命周期识别的已知的新风险、威胁、漏洞、资产或不利影响的新信息,进行合适的定期更新。
2. 设计、开发和维护流程和程序以提供合理的网络安全保证(第524B(b)(2)条)
3. 软件物料清单(SBOM)(第524B(b)(3)条)
欧盟对Cyber Device的网络安全资料要求
欧盟于2020年7月更新了医疗器械网络安全指南MDCG 2019-16 Rev.1.
https://health.ec.europa.eu/system/files/2022-01/md_cybersecurity_en.pdf
图示:MDR法规附录Annex I中提及的网络安全要求
上述要求同样适用于(EU) 2017/746 IVDR法规,MDR法规与IVDR法规关于网络安全要求的对照如下
医疗器械网络设备:质量体系考量与上市前注意事项
1. GMP总体要求
2. 基于产品生命周期的流程要求
依据IEC 81001-5-1:2021,医疗器械网络安全管理过程基本遵循软件生命周期过程(IEC 62304),只是用网络安全需求替代IEC 62304中软件性能、功能需求,或者从广义上,企业将网络安全作为软件生命周期的一部分统一策划、设计和验证,也是可以的。但QMS流程中,网络安全依然有些特殊点要求。
3. 网络安全风险管理
建立产品安全背景
威胁识别
网络安全风险评价
网络安全风险控制
风险控制有效性监控
4. 网络安全能力
即网络安全风险控制选项,相当于风险标准中的Control measure(控制措施)。
IEC/TR 80001-2-2:2012第5章定义的19条网络安全能力项。
1 |
自动注销(ALOF) |
2 |
审核控制(AUDT) |
3 |
授权(AUTH) |
4 |
安全特性配置(CNFS) |
5 |
网络安全产品升级(CSUP) |
6 |
健康数据身份信息去除(DIDT) |
7 |
数据备份与灾难恢复(DTBK) |
8 |
紧急访问(EMRG) |
9 |
健康数据完整性与真实性(IGAU) |
10 |
恶意软件探测与防护(MLDP) |
11 |
网络节点鉴别(NAUT) |
12 |
人员鉴别(PAUT) |
13 |
物理锁(PLOK) |
14 |
第三方组件维护计划(RDMP) |
15 |
系统与应用软件硬化(SAHD) |
16 |
安全指导(SGUD) |
17 |
健康数据存储保密性(STCF) |
18 |
传输保密性(TXCF) |
19 |
传输完整性(TXIG) |
/ |
|
总结:医疗器械网络设备上市前必备
GMP/QMS体系;
建立基于产品生命周期的网络安全控制流程,基本流程逻辑参考软件生命周期;
网络安全文档;
建立符合各国法规要求的网络安全文档(为DHF一部分);
留意法规对网络安全测试的要求,包括避免开发者和测试者关联利益。
Abmed可提供医疗器械申报过程中全套网络安全技术文档,
包括但不限于:
产品调研分析
产品安全检测
生成网络安全报告文件
协助用户提交网络安全报告文件
专家协助答疑网络安全问题
网络安全材料整改/补充
如了解更多内容,请联系下方各区域负责老师详细咨询!
更多关于医疗器械全球注册费/临床类/测试验证类讯息请咨询欧必美
往期回顾
YY/T0287已成为历史!GB/T42061实施
喜报 | 欧必美助力国内企业取得DEKRA签发的内窥镜MDR CE证书
“职” 等你来 | 坐标上海,多个岗位,任你选!
巴西 | Anvisa发布了简化医疗器械注册申请流程的指令
CMEF圆满结束I落幕不散场,欧必美期待与您再相见!
欧必美 | “广东医械人”沙龙 | 4月18日 多国医疗器械市场准入(欧美区域专题)
【CMEF邀请函】| 欧必美邀您相约第89届中国国际医疗器械(春季)博览会
巴西 | BGMP证书的有效期延长至四年
欧必美诚邀您参加2024中国医学装备大会暨医学装备展览会
FDA更新Q-sub指南草案
注意!FDA发布最新网络安全指南草案
FDA关于药品、包材、原料注册-DMF申报指南
如何开展同品种临床评价?
注意:美国FDA开始仔细审查第三方实验室的数据
喜报|恭喜合作伙伴获得了FDA(510K)EMS/TENS 治疗仪
开工大吉|开工开业,开启一年
制造商,进口商,重贴标签商,重包装商,哪些要求向FDA支付年费,进行注册列示?
行业快讯 | 英国增加2家医疗器械公告机构
喜报|欧必美医疗助力国内企业取得巴西III类注册证!
欧盟委员会最新:申请量不足,IVDR延期提案!
医疗器械法规数据查询常用网址汇总
精彩回顾
FDA企业年费缴纳倒计时&各国认证咨询服务优惠价倒计时!
沙特AR职责
· 关于欧必美·
欧必美集团Abmed是梯佑福Turthful为基础,由多位在医药行业资深背景的企业研发、技术、质量人员和资深咨询师组成是一家专注于多国医疗法规注册服务的咨询公司。10多年来,服务医疗客户超过 1000 多家,上市公司近百余家;领先的全球医疗器械法规注册服务商。下设有医疗技术咨询、检测技术服务及医学临床研究等多家子公司;并在苏州、深圳、青岛等多地设立了分公司。业务范围:CE-MDR/IVDR,美国FDA 510K, ISO13485/QSR820, 中国药监局NMPA/GMP/GSP,MDSAP及五国注册;同时还提供包括俄罗斯,韩国,新加坡,泰国等超30个国家的医疗器械法规注册(含多国代理);欧代,美代,FSC自由销售证明服务。一站式服务满足不同国家监管机构要求,竭诚为广大客户提供专业的技术咨询服务。
详情咨询
· OBMED ·
扫码关注我们
