如何证明(或提高)你的医疗设备的可信度

通过John Giantsidis.， CyberActa, Inc.总裁

随着医疗设备变得越来越复杂，并越来越多地通过网络和通信相互连接链接，他们对敌对元素或失败引起的缺陷攻击攻击的漏洞会增加对医疗保健，用户或患者的重大影响的风险。网络安全在医疗设备的开发，批准和商业化方面已经成为至关重要。FDA，Health Canada，欧盟的医疗器械监管（MDR）和体外诊断监管（IVDR）以及澳大利亚的治疗机制管理（TGA）都期望全面，风险的设计，制造，部署，维护，和医疗器械的维修，具有适当和永久性的网络安全保护，确保了可靠的设备。

法规对制作医疗器械值得信赖的条例是什么？

确保医疗设备的可靠性至关重要，因为我们越来越依赖它们进行可靠、安全和安全的操作。FDA在其指导草案中将“可信赖设备”定义为一种包含硬件、软件和/或可编程逻辑的医疗设备，该设备应:(1)在网络安全入侵和滥用方面具有合理的安全性;(2)提供合理的可用性、可靠性和正确的操作水平;(三)合理适合履行规定的职能;(4)遵守普遍接受的安全程序。

加拿大卫生部以美国国家标准与技术协会(NIST)的网络安全框架和精心制作的上市前指导为基础，采取了类似的做法，要求制造商对任何运行包括安全设计的软件代码的医疗设备的网络安全策略，网络安全风险管理、客观证据、持续监控和应对风险、漏洞和威胁的计划。

欧盟委员会对医疗器械和体外诊断医疗器械的新法规进一步确立了设计文件应证明医疗器械是值得信赖的。具体地说，MDR在一般要求(GR)中规定:“设备应达到预期的性能……并应以在正常使用条件下适合于其预期用途的方式设计和制造……它们应是安全和有效的，不应损害临床状况或患者的安全，或使用者的安全和健康……”(附件一，No. 1)综合安全原则可以从附件一，No. 4推导出来:安全设计和制造;对不能排除的风险采取适当的保护措施;安全信息;如果有必要，还要进行培训。此外，附件I第17号规定，设备“设计时应确保其重复性、可靠性和性能与其预期用途一致……考虑到开发生命周期、风险管理，包括信息安全、验证和验证等原则。”最后，欧盟的多药耐药法规要求医疗设备制造商制定有关保护未经授权访问的要求。

澳大利亚的TGA认为医疗设备安全是社会对医疗系统信任的一部分，因此要求医疗设备制造商，不管设备的分类，产生和维持证据来管理网络安全，类似于安全问题，考虑，以及尽量减少遵守《基本原则》立法的许多方面所必需的风险。

在哪里以及如何记录你的设备的可信度

问题是：您如何证明（或改善）您的医疗设备的可信度？有必要表明设备按照其特定目的执行的客观证据是什么，以当需要进行操作弹性，无需不必要的行为或利用漏洞？以下建议活动列表并不详尽，但提供了信息类型和客观证据，以确保当时间用于商业化和/或检验的提交时，医疗器械制造商将准备好证明其设备的可信度。

设计历史文件

描述和建立成品设计历史的记录是表明在其设计中被认为是网络安全的起点，包括识别与其预期目的相关的危险和风险，消除或识别的识别尽可能冒险，并采取措施解决无法消除的任何风险。一些展示和建立这种信任的客观证据将是：

1. 网络安全威胁和风险分析，包括系统边界和运行环境，并在这些分析的基础上，提出相应的纠正和对策
2. 对存在已知和未知漏洞的软件组件的文档审查
3. 在风险分析的基础上，实现了对恶意软件的检测和防护
4. 模拟攻击并演示保留医疗设备的功能，并且医疗设备能够以全部功能恢复正常运行。
5. 实施独立的网络安全设计审核，将客观证据作为设计历史文件的一部分。
6. 在修补程序管理和更新中应用相同的哲学和方法，以更新到操作系统。
7. 记录为保护:
   1. 数据在运输途中
   2. 静态数据
   3. 使用数据
8. 针对已知的漏洞和恶意软件测试协议和结果
9. 模糊的协议、方法和结果(畸形输入测试，其中设备受到无效或意外输入的挑战)
10. 静态应用程序安全性测试(SAST)和动态应用程序安全性测试(DAST)的结果和与开发过程其余部分的接触点

所有设计行动的总结记录，从开始到转移，包括更改，包含所有必要的信息，以表明设计是按照设计计划和质量体系要求开发的，包括网络安全。

设备主记录

完成的设计输出是设备主记录（DMR）的基础，包括设备和生产规范，除了使用和包装和安装，维护和维修说明的验收标准之外。DMR是在安装和初始配置期间的任何网络安全相关方面的安装过程和描述的位置。例如，这可能包括防火墙和网络配置，需要更改的初始密码，集成到客户的网络基础架构以及需要在医疗设备切换之前完成的培训。此外，建议说明客户/用户可以做的事情，它们应该如何做到，以及将伴随设备的相关培训计划。DMR还应包括产品释放标准，其中内部或最终检查过程表明医疗器械未过时，不再受支持或易受攻击的组件。重要的是要考虑创建软件材料（SBOM）流程和格式，其中列出了所有软件和硬件组件以传达给用户和买家。

最后，对于SaMD或连接的医疗设备，非常重要的一点是，软件和安全补丁的机制和过程必须证明网络安全，包括将远程连接作为维护过程的一部分的考虑。

设备历史记录/业务记录

设备历史记录，以及设备安装后的服务记录(如果可用)，包含设备是根据DMR制造、运输、安装和/或维护的证据。根据FDA的说法，应该明确的是，非OEM实体的医疗设备服务会带来网络安全挑战，因为执行必要的诊断、维护和维修功能需要特权访问。

上述SBOM流程对于证明在医疗设备的商业发布之前，已经评估了所有公开的漏洞，并且在发布时，该设备已经达到了其信任阈值至关重要。

质量管理体系中的证据和程序

每个医疗器械制造商可以(也应该)开发一套与器械的风险和复杂性、其生产过程以及与此类器械的安全使用相关的任何其他活动相适应的质量体系。以下是在现有的质量管理体系中创建或嵌入网络安全的一些过程:

1. 检测、报告、评估和遏制与患者、用户和第三方的网络安全有关的潜在事件的流程，包括向相关监管机构报告
2. 补丁管理的客户通知流程
3. 更新现有程序和框架，包括并考虑网络安全:
   1. 风险管理
   2. 变更控制
   3. 投诉管理
   4. 召回和实地行动
   5. 帕卡
   6. 内部审计
   7. 管理评审
   8. 建议启动一个全面的质量计划，以评估和记录基于影响分析的产品、系统、政策和sop的类别，执行差距分析，并根据风险的确定采取适当的行动。

查看医疗设备网络安全建议的方法是类似于其他风险:如果没有有效的网络安全风险最小化或管理,它可能导致破坏的设备功能,数据丢失(医疗或个人)可用性或完整性,或接触其他连接设备或网络安全威胁。反过来，这可能会导致病人生病、受伤或死亡。

结论

医疗器械网络安全创造了一个管理环境，其中网络安全不再被局限于单数部门或职能 - 它被认为是监管机构和患者的优先事项之一，并要求网络安全策略与制造商的目标和需求保持一致．高级管理层需要接受医疗器械网络安全不是技术问题的想法，而是一个企业。

我们应该将医疗设备网络安全视为工具、政策、概念、保障措施、指导方针、风险管理方法、行动、培训、最佳实践和技术的集合，这些工具、政策、概念、保障措施、指导方针、风险管理方法、行动、培训、最佳实践和技术可以用来保护患者和用户，并带来信任，而信任只能在主动威胁的环境中，而不是在被动失败的环境中。制造商将继续面临产品网络安全方面日益增长的需求;那些能够证明自己值得信赖的企业将在竞争和监管机构的监管中占据优势。

关于作者:

John Giantsidis是CyberActa公司的总统，该公司是一家小型咨询公司，为医疗设备、数字健康和制药公司的网络安全、隐私、数据完整性、风险、SaMD法规遵从性和商业化努力提供支持。他也是佛罗里达律师协会技术委员会的成员，以及美国海军陆战队的网络Aux成员。他持有Clark University的理学学士学位，the University of New Hampshire的法学博士学位，the George Washington University的网络安全政策与合规工程硕士学位。可以和他联系john.giantsidis@cyberacta.com．