用于医疗器械制造商的网络安全建议

对医疗设备的网络安全威胁是一个不断增长的问题。对网络安全漏洞的开发具有医疗器械安全性和有效性的潜在风险。虽然制造商可以在产品设计中包含控制,以帮助防止这些风险,但是制造商必须考虑在维护设备期间的改进,因为网络威胁的不断变化本质意味着在整个设备的整个生命周期中可能出现风险。

美国食品和药物管理局发布了一个 指导草案 概述重要步骤医疗设备制造商应不断满足网络安全风险,以使患者安全,更好地保护公共卫生。

指导草案详细说明了该机构在进入市场后,该机构对监测,识别和解决医疗器械的网络安全漏洞的建议。

“所有使用软件和与医院和医疗保健组织网络的医疗设备都有脆弱性 - 一些我们可以主动保护,而其他人则需要警惕的监督和及时修复,”科学副主任MBA苏珊·施瓦茨(Suzanne Schwartz)表示和FDA的设备和放射健康中心的应急准备/运营和医疗对策战略伙伴关系和战略伙伴关系。

指导草案概述了医疗器械制造商的邮票建议,包括主动计划,并评估网络安全漏洞 - 与FDA的质量体制规则一致。它还通过参与信息共享分析组织(ISAO)是一个合作集团,其中公开和私营部门成员共享网络安全信息的合作集团来解决信息共享的重要性。

指导草案建议制造商应实施结构化和系统的综合网络安全风险管理计划,并及时回应以确定漏洞。此类计划的关键组成部分应包括:

  • 应用2014 NIST自愿框架改进关键基础设施网络安全,包括“识别,保护,检测,响应和恢复”的核心原则。
  • 监测网络安全信息来源,用于识别和检测网络安全漏洞和风险;
  • 理解,评估和检测漏洞的存在和影响;
  • 建立和沟通漏洞摄入和处理的流程;
  • 明确定义基本临床表现,以发展保护,响应和恢复网络安全风险的缓解;
  • 采用协调的脆弱性披露政策和实践;和
  • 部署减轻可缓解在剥削之前和在剥削之前解决网络安全风险的影响。

对于大多数情况来说,制造商采取的行动解决网络安全漏洞和利用被认为是“网络安全程序更新或补丁”,FDA不需要提前通知,在其规定下额外的预载审查或报告。对于一小部分网络安全漏洞和剥削,可能损害设备的基本临床表现并呈现严重不利健康后果或死亡的合理概率,FDA将要求医疗器械制造商通知该机构。

指导草案表明,在漏洞的情况下以足够降低对患者伤害风险的方式,如果满足某些条件,FDA并不打算强迫报告该机构的脆弱性。这些条件包括:与脆弱性没有相关的不良事件或死亡;在学习漏洞后30天内,制造商向用户通知用户,实现将风险降低到可接受的水平;制造商是ISAO的参与会员,并将其漏洞报告给ISAO的漏洞,评估和补救。

“FDA鼓励医疗器械制造商采取积极主动的方法管理医疗器械的网络安全管理,”Schwartz说。 “只有当我们在可信环境中合作而公开地工作时,我们将能够最佳保护患者安全性并保持领先于网络安全威胁。”

分享这个