强化网络安全 美国FDA要求医疗设备内置安全更新及修补能力

美国食品药物管理局(US Food and Drug Administration, FDA)本周发布了“医疗设备安全移动计划:保护病患与推动大众健康”(Medical Device Safety Action Plan: Protecting Patients, Promoting Public Health),并准备成立集结官方及行业专家的“网络医疗安全分析委员会”(Cyber​​Med Safety (Expert) Analysis Board,CBMSAB),以负责统筹设备的安全问题。

FDA表示,各种新兴的医疗设备造福了许多病患,但它们同时也带来安全风险,因此,除了推动新设备以外,该机构打算付出同样的心力来创建可识别风险及保护消费者的全新架构。该计划着眼于打造一个强大的医疗设备病患安全网,寻求各种法规的可能性,推动更安全的医疗设备,改善医疗设备的网络安全,以包含上市前、后的“产品全生命周期”(Total Product Life Cycle)策略来保障设备安全。

其中,在改善医疗设备的网络安全上,FDA认为该机构必须跟上新兴威胁与安全漏洞的脚步,计划要求制造商必须于产品中内置更新与修补机制,以在发现安全漏洞时可即时修补;并应创建软件物料清单(Software Bill of Materials)给客户及用户,以评估设备是否受到软件漏洞的波及。

此外,FDA也更新了设备的上市前审核准则,期能更妥善地对抗诸如勒索程序等中度安全风险,或是远程攻击等高度风险,也要求制造商必须采用适当的漏洞披露政策与程序。

FDA还企图推动国会成立新的CBMSAB,结合硬件、软件、网络、生物工程与临床专家来共同评估与确认高风险的设备安全漏洞与意外,包含确认漏洞、评估病患的安全风险、争议裁决或协调信息披露程序等。

发表评论