最新！FDA发布医疗器械网络安全指南（上）

ITL创新器械开发

数字革命影响了物联网（IoT）、医疗物联网（IoMT）、软件及医疗器械（SaMD）甚至渗透到医院和家庭医疗环境中的联网设备中，同时这场革命引发了对不安全的联网医疗器械以及网络攻击和入侵这一现象的关注。

据不完全统计，医疗器械越来越成为恶意网络攻击的目标，这不仅会导至数据泄露，还会增加医疗保健服务成本，并最终影响患者的健康状况。

在欧盟，MDR和IVDR都要求考虑医疗器械网络安全，医疗器械协调小组在其指导意见中指导制造商如何满足MDR附件一和IVDR关于网络安全的所有相关基本要求。

自2005年以来，FDA一直在努力加强医疗器械网络安全，FDA最新起草一份指南草案，期望在整个产品生命周期中实现安全、有效的过程。另一项成果是支持《2022年保护和改造网络医疗法案》（2022年PATCH法案），该法案如果通过，将修订现有的《联邦食品、药品和化妆品法案》。然而，如果/当《修补法案》通过时，那么我们需要重新审视该文件。

FDA关于医疗器械网络安全的指导草案提供了企业如何应用现有监管要求的见解。

首先，我们要了解FDA指南的范围，涵盖了应用软件（包括固件）或可编程逻辑以及SaaMD的设备，预期用于：

▷ 上市前通知（510（k））提交

▷ 上市前批准申请（PMA）和PMA补充

▷ 产品开发协议（PDP）

▷ 研究器械豁免（IDE）/人道主义器械豁免（HDE）提交

医疗器械网络安全原则

FDA指南提出了六大期望，并引入了安全产品开发框架（SPDF）的新概念，该框架涵盖了产品生命周期的所有方面，包括开发、发布、支持和退市，以满足21 CFR第820部分。

网络安全是设备安全和QSR的组成部分

FDA指南规定了具有网络安全风险设备的安全性和有效性的合理保证与此类网络安全风险受QSR管理之间的关系。FDA引入了安全产品开发框架（SPDF）概念，它是一种安全软件开发框架，并建议与产品和软件开发、风险管理和总体质量体系的集成可以满足网络安全QSR。以下原则可被视为FDA在产品开发框架方面的基本做法：

● 定义产品开发安全要求：确保产品开发的安全要求在任何时候都是已知的，以便在整个开发过程中都能考虑到这些要求，并且由于可以一次性收集并共享要求信息，因此可以将重复工作降至最低。这包括来自内部来源（如企业的政策、业务目标和风险管理战略）和外部来源（如适用法律法规）的要求。

● 实施角色和责任：确保参与产品开发生命周期的企业内外的每个人都准备好在整个开发过程中履行其与其相关的角色和责任。

● 实施支持工具链：利用自动化减少人力，提高整个开发过程安全实践的准确性、可重复性、可用性和全面性，并提供记录和演示这些实践使用的方法。

● 定义和使用产品安全检查标准：通过定义和使用开发期间检查产品安全的标准，帮助确保开发的产品符合企业的期望。

● 实施和维护产品开发的安全环境：确保产品开发环境的所有组件都受到强有力的保护，免受内部和外部威胁，以防止环境或其中正在开发或维护的产品受到损害。

● 保护所有形式的代码免受未经授权的访问和篡改：有助于防止无意或故意对代码进行未授权的更改，这可能会规避或否定产品的预期安全特性。

● 提供验证产品发布完整性的机制：帮助产品/软件受益者确保他们获取的产品/软件是合法且未被篡改的。

● 归档和保护每个产品版本：保存产品/软件版本，以帮助识别、分析和消除发布后在产品/软件中发现的漏洞。

● 设计产品以满足安全要求并降低安全风险：识别和评估产品的安全要求；确定软件在运行期间可能面临的安全风险，以及软件的设计和架构应如何减轻这些风险；并证明基于风险的分析表明应放宽或放弃安全要求的任何情况。

● 审查产品设计以验证是否符合安全要求和风险信息：帮助确保产品满足安全要求，并充分解决已识别的风险信息。

● 在可行的情况下重用现有的、安全性良好的软件，而不是重复功能：通过重用已经检查过安全状况的软件模块和服务，降低软件开发成本，加快软件开发，并降低在产品中引入额外安全漏洞的可能性。这对于实现安全功能的软件（如加密模块和协议）尤为重要。

● 通过遵守安全编码实践创建源代码：通过最小化源代码给创建过程中引入漏洞严重性标准，减少软件中的安全漏洞数量并降低成本。

● 配置编译、解释器和构建过程以提高可执行安全性：在测试之前消除漏洞，减少软件中的安全漏洞数量并降低成本。

● 审查/分析可读代码，以识别漏洞并验证是否符合安全要求：帮助识别漏洞，以便在软件发布之前纠正漏洞，以防止被利用。

● 测试可执行代码以识别漏洞并验证是否符合安全要求：帮助识别漏洞，以便在产品发布前纠正漏洞，以防止漏洞被利用。

● 默认情况下将产品配置为具有安全设置：有助于在安装时提高产品的安全性，以降低产品部署时安全设置较弱的可能性，使其面临更大的风险。

● 持续识别和确认漏洞：确保快速识别漏洞，以便根据风险快速补救，减少被攻击的机会。

● 评估、优先处理和补救漏洞：确保根据风险补救漏洞，以减少被攻击的机会。

● 分析漏洞以确定其根本原因：有助于减少未来出现漏洞的频率。

安全性设计

FDA指南规定，设备必须满足真实性、完整性、授权、可用性、保密性以及安全及时的可更新性和可修补性等安全目标。实现这些目标所需的安全要求的程度取决于：

▷ 设备的预期用途和使用指示

▷ 其电子数据接口的存在和功能

▷ 预期和实际使用环境

▷ 存在的网络安全漏洞类型

▷ 漏洞的可利用性

▷ 漏洞被利用导至患者受伤的风险

密码

● 验证软件/固件内容、版本号和其他元数据的验证标签。

● 安装经过加密验证的固件和软件更新，并且不允许在没有加密验证或加密验证失败的情况下进行安装。使用加密签名的更新，通过确保新更新代表授权的版本更改，帮助防止未经授权的保护级别降低。

● 确保在执行之前验证软件、固件和配置的真实性。

● 在交付产品之前，禁用或限制对所有测试和调试端口的未授权访问。

● 在设备外壳及其敏感通信端口上使用防篡改密封，以帮助验证物理完整性。

数据

● 验证所有传入数据的完整性，确保其在传输或静止时未被修改。

● 验证来自外部源的所有数据是否格式良好且符合预期协议或规范。此外，验证数据范围以确保其在安全范围内。

● 保护必要数据的完整性，以确保设备的安全性和有效性。

执行

● 在设备上执行代码时，验证代码的完整性。

● 使用自动（例如静态和动态分析）和手动（例如代码审查）方法审查所有处理外部数据解析的代码。

通过遵守监管机构的建议并利用经验证的网络测试方法的专业知识，制造商可以解决当今已知的网络安全问题，解决这些仪器和系统的网络安全问题应该是医疗器械制造商最关心的问题。

将开发安全医疗器械放在首要目标的英国ITL时刻关注医疗产品在开发过程中的安全，消除可能威胁医疗产品网络安全的各种潜在隐患，确保开发的产品在网络安全性方面有足够完善的保护机制。