医疗网络安全
17.Aug.2022
智慧医疗网络安全立法 医疗设备商该如何着手部署
近年来疫情犹如催化剂,加速驱动许多领域的数位转型,智慧医疗便是其中一例。但无可讳言,数位转型好比双面刃,虽有利国利民功效,却也扩大遭受网络攻击的范围,使黑客有机可乘。为此,包括美国FDA、欧盟MDR/MDCG等规范相继出炉,针对医疗设备提出网络安全要求,须通过测试与验证才准予上市销售。对多数医疗设备开发者或制造商来说,这些规范就是很大的考验。
仲至信息合规规划师詹英绮表示,当前不少医疗设备行业者关心,今后欲将产品销售至美国和欧盟,需满足哪些条件?主要分为三个环节,首先是「上市前申请」,美国适用的规范为FDA 510K或PMA,欧盟是MDR。
其次为「网络安全相关需求」,进军美国须参考「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文件,欧盟以MDCG-2019-16为依据。再者是「文件审查单位」,美国是FDA下辖的OPEQ,欧盟则通过指定的Notified Body(NB)执行审查任务。
仲至信息合规规划师詹英绮表示,当前不少医疗设备行业者关心,今后欲将产品销售至美国和欧盟,需满足哪些条件?主要分为三个环节,首先是「上市前申请」,美国适用的规范为FDA 510K或PMA,欧盟是MDR。
其次为「网络安全相关需求」,进军美国须参考「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文件,欧盟以MDCG-2019-16为依据。再者是「文件审查单位」,美国是FDA下辖的OPEQ,欧盟则通过指定的Notified Body(NB)执行审查任务。
从设计的源头,就应带入安全概念
以美国为例,若启动上市前申请流程,一开始应决定产品等级,再找到实质等效的产品,接着找出FDA特殊指南与认可标准,进行文件内容准备,并按规定的文件格式的逻辑顺序进行汇整。
至于欧盟,流程与美国相近,但内容相对严格,需要注册组织角色、医疗器材与UDI,且范围涵盖上市后管理。
面对美国FDA、欧盟MDR/MDCG等相关规范,仲至信息可扮演网络安全合规的助攻手。詹英绮说,现在是「安全要求从源头开始做起」的时代,医疗设备亦讲求安全开发原则,其开发历程分为几个阶段。一、安全设计:从需求诞生或开始构想设计方向时,便应带入通讯安全、资料保护、授权及验证、软件维护功能、实体对外接口、设备可靠性与可用性等完整安全概念。二、风险管理:应参考ISO 14971、Thread Model、NIST CSF等标准。三、验证与测试:确认开发出来的产品是否符合原本期待,并应检验其适用性、进行软硬件确效。四、事件回应:重点在于根据SBOM组成进行相关漏洞的监管,并针对第三方开源软件或函数库执行监控追踪。
至于欧盟,流程与美国相近,但内容相对严格,需要注册组织角色、医疗器材与UDI,且范围涵盖上市后管理。
面对美国FDA、欧盟MDR/MDCG等相关规范,仲至信息可扮演网络安全合规的助攻手。詹英绮说,现在是「安全要求从源头开始做起」的时代,医疗设备亦讲求安全开发原则,其开发历程分为几个阶段。一、安全设计:从需求诞生或开始构想设计方向时,便应带入通讯安全、资料保护、授权及验证、软件维护功能、实体对外接口、设备可靠性与可用性等完整安全概念。二、风险管理:应参考ISO 14971、Thread Model、NIST CSF等标准。三、验证与测试:确认开发出来的产品是否符合原本期待,并应检验其适用性、进行软硬件确效。四、事件回应:重点在于根据SBOM组成进行相关漏洞的监管,并针对第三方开源软件或函数库执行监控追踪。
医疗设备的网络安全要求不但重视个人信息保护,更重视持续性的监管行为
当产品送进FDA审查,须遵守几个网络安全需求。首先FDA要求设计可靠安全的产品,也就是面对网络安全相关威胁或渗透、须具有一定防御性;且在任何情况下,都要能执行预期功能。
其次希望厂商藉由凭证或加密方式,对资料进行处理。至于设备本身,除被要求提供日志、网络安全事件侦测记录,另需交待是否定期补丁或更新,有无应对DDoS等网络攻击的能力。
至于欧盟MDR,通过「附录一」表述网络安全规范,与MDCG-2019-16的不同之处,在于附录一偏向概念性陈述,仅提示方向,2019-16为实操建议。因此行业者在提出上市申请时,应互相参照两边内容。
纵观附录一重点内容,是针对IT安全、操作安全、网络安全、风险的管控与降低、安全设计、验证及测试等项目,逐一描述期望厂商达成的目标。
值得一提的是,MDR不仅重视网络安全,更希望厂商符合整体性与持续性的网络安全管控措施,例如希望厂商注重个人信息的保护,若产品有使用类似医学数据库来做研究,或搭配一些临床研究,皆需通盘考虑相关资料安全性;对于产品销售后,市场的网络安全管理措施,需建立相关的漏洞监控与更新机制,以及持续性改善程序与做法等。总之欧盟认为产品的操作安全,与网络安全无法脱钩,应一并考虑,也就是必须综合思考在售前与售后的Safety与Security。
其次希望厂商藉由凭证或加密方式,对资料进行处理。至于设备本身,除被要求提供日志、网络安全事件侦测记录,另需交待是否定期补丁或更新,有无应对DDoS等网络攻击的能力。
至于欧盟MDR,通过「附录一」表述网络安全规范,与MDCG-2019-16的不同之处,在于附录一偏向概念性陈述,仅提示方向,2019-16为实操建议。因此行业者在提出上市申请时,应互相参照两边内容。
纵观附录一重点内容,是针对IT安全、操作安全、网络安全、风险的管控与降低、安全设计、验证及测试等项目,逐一描述期望厂商达成的目标。
值得一提的是,MDR不仅重视网络安全,更希望厂商符合整体性与持续性的网络安全管控措施,例如希望厂商注重个人信息的保护,若产品有使用类似医学数据库来做研究,或搭配一些临床研究,皆需通盘考虑相关资料安全性;对于产品销售后,市场的网络安全管理措施,需建立相关的漏洞监控与更新机制,以及持续性改善程序与做法等。总之欧盟认为产品的操作安全,与网络安全无法脱钩,应一并考虑,也就是必须综合思考在售前与售后的Safety与Security。
利用威胁建模等方式,执行风险评估
仲至信息如何协助客户达到合规目标?詹英绮指出,首先针对安全开发阶段的安全设计、风险管理、事件回应等内容,提供顾问服务;仲至信息会根据客户的文件、架构、操作方式,与法规进行对比,产出差距分析结果。
其次进行风险评估,主要通过Thread Modeling、双向追溯分析等方式,了解客户的软件更新状况,及是否已做整合性控制。一开始先确认产品蕴含哪些关键资产,再利用威胁建模方式做弱点分析,做完后将产品送测,经由测试来确认预期的网络安全风险是否确实改善,测完后再给予风险评分、即残余风险,并与客户讨论后续通过哪些手段来改善或控制这些残余风险。另一重点为双向追溯分析,主要通过客户的开发设计文件、测试文件,了解其产品开发过程是否契合法规需求,并确认设备信息是否被落实。最终仲至信息会针对软件整合性控制、环境面控制给予建议。
除顾问服务外,仲至信息也提供技术检测服务,确认产品是否符合客户宣称的网络安全合规。技术检测即提供FDA/MDCG医疗设备网络安全技术测试服务,涵盖效能测试(如设备本身的对外连线,是否做连线控制)、第三方应用程序(Mobile App, Cloud等)或套件安全测试(建立设备OS、应用程序、套件等清单等)、静态及动态分析(提供源码检测、渗透测试、模糊测试等)。一旦测试完就出具报告,告知风险漏洞上的高中低分级、修补建议等,以及对于FDA与MDR网络安全要求整体合规情况。
纵观整个项目期程,从Kick-off、风险分析与评估、产品初测、漏洞修补及复测到结案,大约为期4个月。而仲至信息已协助多家企业产品符合FDA、TFDA、ETSI EN 303645等网络安全规范,包括植入式心律器、葡萄糖试验系统、健康手环、无线听诊器、非接触式照护系统及血糖机等,通过验证和测试,通过仲至信息的专业顾问与技术检测团队,可协助客户更方便、更快速的通过欧、美、台医疗网络安全法规的要求,顺利于这些区域上市销售。
其次进行风险评估,主要通过Thread Modeling、双向追溯分析等方式,了解客户的软件更新状况,及是否已做整合性控制。一开始先确认产品蕴含哪些关键资产,再利用威胁建模方式做弱点分析,做完后将产品送测,经由测试来确认预期的网络安全风险是否确实改善,测完后再给予风险评分、即残余风险,并与客户讨论后续通过哪些手段来改善或控制这些残余风险。另一重点为双向追溯分析,主要通过客户的开发设计文件、测试文件,了解其产品开发过程是否契合法规需求,并确认设备信息是否被落实。最终仲至信息会针对软件整合性控制、环境面控制给予建议。
除顾问服务外,仲至信息也提供技术检测服务,确认产品是否符合客户宣称的网络安全合规。技术检测即提供FDA/MDCG医疗设备网络安全技术测试服务,涵盖效能测试(如设备本身的对外连线,是否做连线控制)、第三方应用程序(Mobile App, Cloud等)或套件安全测试(建立设备OS、应用程序、套件等清单等)、静态及动态分析(提供源码检测、渗透测试、模糊测试等)。一旦测试完就出具报告,告知风险漏洞上的高中低分级、修补建议等,以及对于FDA与MDR网络安全要求整体合规情况。
纵观整个项目期程,从Kick-off、风险分析与评估、产品初测、漏洞修补及复测到结案,大约为期4个月。而仲至信息已协助多家企业产品符合FDA、TFDA、ETSI EN 303645等网络安全规范,包括植入式心律器、葡萄糖试验系统、健康手环、无线听诊器、非接触式照护系统及血糖机等,通过验证和测试,通过仲至信息的专业顾问与技术检测团队,可协助客户更方便、更快速的通过欧、美、台医疗网络安全法规的要求,顺利于这些区域上市销售。
