【行業新聞】醫療設備標準與網路安全法規

一、醫療設備連網後足夠安全嗎?

近幾年醫療設備連網與使用軟體驅動的比例越來越高，而這些軟體供應鏈大多由第三方軟體及開源庫組成，存在許多的漏洞讓攻擊事件大幅增加，對此 MDM (醫療設備製造商) 著手於網路安全防護的落實。然而網路安全威脅形勢繼續發展，駭客目標逐漸轉向嵌入式設備，讓 MDM 更加關注網路安全策略構建，監管機構也持續追蹤威脅發展，針對網路安全和醫療設備安全制定越來越完善的標準和法規。

我們匯總了以下主要的醫療設備安全使用和網路安全相關標準法規，幫助醫療設備安全人員做好應對措施：

 

二、拜登發布 EO 14028 網路安全行政命令

美國總統拜登於 2021 年發布 EO 14028，指引聯邦政府及其供應商降低並改善網路安全風險，注重安全標準的現代化及其實施，並強調所有產品需提供及驗證 SBOM。CISA 也致力於推動 SBOM 監管並持續完成 SBOM 標準化工作。

*CISA：美國網路安全和基礎設施安全局*

延伸閱讀：什麼是SBOM (軟體物料清單)？ - 網路安全解決方案

 

三、美國 FDA 透過確保醫療設備安全保護公眾健康

在美國合法銷售的任何醫療器械產品上市前必須得到 FDA 的批准，提供證據證明該器械安全且有效。FDA 在 2014 年發布有關醫療器械安全的指南，並於 2018 年隨著網路安全形勢迅速發展更新指南觀點。2022 年草案仍待定並接受評論，預計將在年底編纂和發布。

新指南引入安全產品開發框架和 SBOM 概念並堅持六項期望，涵蓋醫療器械全生命週期的安全性：

1. 網路安全是設備安全不可或缺的一部分

2. 安全設計

3. 透明度

4. 安全風險管理

5. 安全架構

6. 測試/客觀證據

 

三、IEC 62304 醫療設備軟體網路安全標準

IEC 是一個國際標準組織，為電氣和電子技術制定國際標準，許多醫療設備都在他們的職權範圍內。

IEC 62304 於 2006 年發布並在 2015 年修訂，主要控管醫療設備安全中的軟體安全並解決軟體的生命週期流程問題，無論本身是醫療設備的獨立軟體，還是嵌入或集成到醫療設備的軟體，在互聯頻繁的世界有越來越強大的 AI 和數據收集能力，這也是大多數正在生產的醫療設備類型。

此標準將軟體生命週期分解為五個過程，並依風險分配至三個軟體安全等級之一：

• 生命週期過程

1. 發展

2. 維護 

3. 風險管理 

4. 配置管理 

5. 問題解決

• 安全等級

A 級：不會造成傷害或健康損害

B 級：可能受傷，但不嚴重

C 級：可能導致死亡或重傷

 

• IEC 62304 結合其他標準 加倍安全

1. 網路安全風險管理標準：ISO 13485、ISO 14971

2. 醫療設備監管標準：ISO 81001 – 5 – 1 (2021)

3. 其他安全相關：IEC 60601-1、ISO/IEC 12207、IEC 61508-3、ISO/IEC 90003

 

四、IMDRF 醫療器械安全和性能並重的標準

*IMDRF：國際醫療器械監管機構論壇*

IMDRF 致力於在醫療器械的整個產品生命週期 (TPLC) 中協調網路安全方法，於 2011 年由澳大利亞、巴西、加拿大、中國、歐盟、日本和美國的醫療器械監管機構以及 WHO 的代表成立，是一個自願性機構，目標是加速國際醫療器械監管的協調和統合。

2020 年 3 月發布的 IMDRF/CYBER WG/N60 最終指南提供了醫療器械網路安全原則和實踐方法，廣泛考慮多種醫療設備的網路安全，不侷限於連接設備，並針對製造商、所有利益相關者提出建議，主要有以下兩個概念：

1. 傳統醫療設備可能因為元件過於老舊而缺乏技術支援更新，面臨無法進行漏洞修補的安全問題。

2. 落實網路安全需要 SBOM 的詳細報告，按名稱、來源、版本和構建標示每個軟體組件，包括任何組成醫療設備的商業、開源或現成軟體組件。

 

• IMDRF 對傳統設備的網路安全建議

面對製造、經銷、運營商，IMDRF 聲明 SBOM 能夠幫助他們管理產品和相關風險如下：

1. 製造商：應採用行業法規部署 SBOM 具兼容性的格式、語法和標記

2. 經銷商：應通過 SBOM 讓買家了解所使用的組件和潛在的安全風險來幫助做出購買決策

3. 運營商：使用 SBOM 促進與製造商的合作，識別可能存在漏洞的軟體、更新要求以及執行適當的安全風險管理

 

五、非營利組織協助網路安全發展

非營利組織 AAMI 成立於 1967 年，齊心協力促進健康技術的進步並關注患者安全，由擁有 10,000 名醫療技術專業人士的社群所組成，總部位於美國，獲得美國國家標準協會 (ANSI) 的認可，該組織負責協調所有美國自願性標準的制定和推廣。

2019 年 AAMI 發布技術資訊報告 TIR 97(針對上市後階段) 與 TIR 517(針對上市前階段)。

TIR 97 指導組織如何通過威脅情報、漏洞監控和事件響應進行持續的安全事件處理來實現上市後醫療設備的安全，該標準將直接和間接造成患者身體傷害的事件都定義為“傷害”，包括降低設備有效性以及破壞數據安全性，FDA 也將 TIR 97 指定為＂共識標準＂鼓勵自願性的網路安全落實。

*AAMI：醫療器械促進協會*

 

六、更多醫療網路安全標準法規即將發布

我們對標準和法規的討論僅僅是個開始。隨著網路攻擊的頻率和復雜程度不斷提高，醫療設備的連接性和數據使用導致其攻擊面迅速擴大，我們可以期待醫療設備製造商、供應商的實踐和法律要求使網路安全頻繁升級，保護最終客戶、患者和醫療人士。

 

艾索科技 提供 醫療設備網路安全解決方案

艾索科技的網路安全解決方案，將協助您獲取整個產品組件的詳細且持續更新的 SBOM，讓OEM及其供應商能夠開發和維護安全產品的每一步。

我們將協助您建立完整且全面的 軟體物料清單 (SBOM），從而增強產品安全性，同時我們也提供程式碼靜態分析、程式碼品質檢測、合規性驗證、漏洞分析與管理等工具軟體，幫助企業內部建置一系列的產品資安檢測系統，進而通過行業規範。

 

延伸閱讀：

• 【行業新聞】產品安全專家以新式管理平台取代傳統通用工具

• 【行業新聞】當今汽車網路安全面臨的主要挑戰是什麼？

 

想了解更多相關資訊，歡迎與我們聯繫 !

艾索科技股份有限公司 AISOL Technology

• 電話：02-2500-6210

• 郵件：info@aisol.com.tw