深潜

FDA对行业的看法不佳'的网络安全计划

提出这些建议之际,医疗机构正敦促制造商更积极地支持传统医疗设备的安全性。

盖蒂

首次发布于

随着对医疗保健组织的网络攻击的加剧,FDA制定了一项宏伟的计划来减少整个产品生命周期中的漏洞,从而加大了保护互联医疗设备安全性的力度。

医疗器械安全行动计划 要求新的主管部门要求制造商从设计阶段就开始在产品中构建安全更新和补丁功能,并制定正式的政策和程序,以快速协调地披露在产品投放市场后发现的漏洞。

该计划还要求建立一个Cyber​​Med安全(专家)分析委员会,即CYMSAB,这是一个公私合作伙伴关系,以评估漏洞,患者风险并提供缓解建议。

工业界在很大程度上支持该机构的网络安全工作,包括有关上市前和上市后网络安全考虑的指南,该行业担心最新的先发制人控制措施可能会使制造商承担长期无法承受的沉重负担,并且对提高安全性几乎无济于事。连接技术。 

“ [FD找不到解决医疗设备网络安全的方法 &C]法规”,爱泼斯坦·贝克(Epstein Becker)的设备律师布拉德利·梅里尔·汤普森(Bradley Merrill Thompson)说&绿色。 “对网络安全的任何入侵都必须基于安全问题的实际证据,而不是科幻小说中的恐惧。”

FDA已经要求公司通过其上市前指导在产品设计阶段就包括更新和修补软件的功能,而且公司表示,他们正在广泛地遵循这一要求。

“我们已经知道,如果FDA不遵循网络安全指南,就会拒绝上市前的申请,” AdvaMed技术与监管事务副总裁Zach Rothstein说。 “所以从我们的角度来看,这似乎不是现阶段需要解决的问题。”

他说,如果该机构希望提高售前网络安全要求,则应冲销当前的指南,以反映自发布原始指南以来的经验教训,并指出预计在今年年底之前将修订指南。

FDA发言人史蒂芬妮·卡科莫(Stephanie Caccomo)承认该机构认为网络安全控制在批准新设备方面是足够的,但表示“通过直接应对由于网络运动和WannaCry等网络攻击和医疗服务提供者和医疗服务提供商所遇到的挑战,安全性需要更多的权威。 ”

2017年5月勒索软件攻击 迫使英国的许多医院暂停正常服务并仅接受急诊患者,并袭击了全球104个国家/地区的计算机。

SBOM易于滥用

特别的 业界关注的是所谓的软件物料清单制造商必须将其纳入上市前提交的文件中,并提供给客户和用户。

Rothstein告诉Healthcare Dive:“作为一个行业,我们已经融合了这一想法,这是我们在该医疗保健生态系统中共同承担的责任的一部分,即向客户提供软件物料清单,表明这将对他们管理网络有所帮助。”他说,许多大型医院系统已经需要SBOM,并补充说他不知道有任何阻碍购买的交易。

但是,业界担心缺乏对共享和维护SBOM的适当控制。 AdvaMed警告说,如果将文档存储在可公开访问的中央数据库中,则可以使网络犯罪分子了解设备中正在运行的软件,从而使患者遭受潜在伤害。 对安全行动计划的意见。该机构需要对SBOM的发行和维护进行保护,以确保只有授权用户才能访问它,并控制其他人可以接收它。

该小组还希望看到SBOM标准化并通过法规建立。 “我们担心,如果没有标准开发或某种类型的共识协议,将会发生的事情是系统中的每个客户都将需要不同版本的软件物料清单,不同级别的详细信息,不同类型的更新时间表,对于一家设备公司拥有的成千上万的客户来说,这是行不通的。” Rothstein说。

FDA的Caccomo表示,确切地讲哪些信息将具有透明度,以及在FDA主导的利益相关者讨论中将敲定提供给客户的机制(例如产品标签)。

供应商退回

同时,医院正向制造商施加压力,要求他们对其传统医疗设备的网络安全承担更多责任。

对房屋能源的反应&商务委员会要求提供信息美国医院协会(American Hospital Association)表示,许多传统设备是在当前网络威胁形势存在之前构建的,并且可能会使用过时或不安全的软件和硬件,从而使其容易受到攻击。

该小组应要求制造商提供广泛的支持,以确保患者环境安全,包括在旧设备周围包装安全预防措施,在可能的情况下添加安全工具和审核功能,进行定期更新和修补所有软件以及传达安全性AHA表示,这些漏洞通过一致的渠道迅速得到解决。

AHA卫生IT和政策副总裁Chantal Worzala告诉Healthcare Dive:“安全是共同的责任,但到目前为止,提供商在保护医疗设备方面承担了更大的负担。”

该小组在对FDA行动计划的评论中重申了其担忧。它写道,制造商“有责任保护患者数据的机密性,保持数据完整性并确保设备本身的持续可用性和功能。”

但是制造商说,期望他们永久支持产品的网络安全是不合理的。

“如果微软关闭对特定操作系统的支持,您将无法期望医疗设备制造商率先保持例如Windows XP的安全性,” Rothstein表示。 “这不是可行的解决方案,也不是医疗设备制造商要处理的专业知识。”

如果一家医院打算在15年内使用一台大型资本设备,则需要双方都事先了解并同意,以便制造商知道它是否可以长期支持该产品,并且医院可以合理购买。他补充说,这取决于公司的能力。

双方都在寻求有关拟议中的CYMSAB的更多信息,该信息可用于调查该领域的潜在或实际安全威胁。提供者希望确保他们在会议桌旁有席位。业界也关注CYMSAB的组成,但从保密的角度来看。

“您可以想象一种情况,其中可能存在医疗设备违规或情况……并且如果该委员会由该公司的竞争对手或他们的一些客户组成,则需要共享的信息类型可能会使其变得困难。 ” Rothstein说。

此外,如果将理事会设立为联邦咨询委员会,则可以通过FOIA的要求进行讨论。

最终,对于FDA来说,有一组专家可以协助他们解决涉及详细技术方面的问题才有意义,但是需要进一步讨论董事会将扮演什么角色以及其对网络危机的干预将如何发挥作用。 ,他认为。

提起下: 卫生IT