本網站使用cookies以改善您的使用體驗,並提供更優質的客製化內容。若您未改變cookies設定並繼續瀏覽我們的網站(點擊隱私權政策以獲得更多資訊),或點擊繼續瀏覽按鈕,代表您同意我們的隱私權政策及cookies的使用。
醫療資安
17.Aug.2022
智慧醫療資安立法 醫材設備商該如何著手部署
近年來疫情猶如催化劑,加速驅動許多場域的數位轉型,智慧醫療便是其中一例。但不可諱言,數位轉型好比雙面刃,雖有福國利民功效,卻也擴大遭受網路攻擊的面向,使駭客有機可乘。鑒於此,包括美國FDA、歐盟MDR/MDCG等規範相繼出爐,針對醫材設備提出資安要求,須通過測試與驗證才准予上市銷售。對多數醫材設備開發者或製造商來說,這些規範形同莫大考驗。
安華聯網合規規劃師詹英綺表示,當前不少醫材設備業者關心,今後欲將產品銷售至美國和歐盟,需滿足哪些條件?主要分為三個環節,首先是「上市前申請」,美國適用的規範為FDA 510K或PMA,歐盟是MDR。
其次為「資安相關需求」,進軍美國須參考「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文件,歐盟以MDCG-2019-16為依歸。再者是「文件審查單位」,美國是FDA下轄的OPEQ,歐盟則透過指定的Notified Body(NB)執行審查任務。
安華聯網合規規劃師詹英綺表示,當前不少醫材設備業者關心,今後欲將產品銷售至美國和歐盟,需滿足哪些條件?主要分為三個環節,首先是「上市前申請」,美國適用的規範為FDA 510K或PMA,歐盟是MDR。
其次為「資安相關需求」,進軍美國須參考「Content of Premarket Submissions for Management of Cybersecurity in Medical Device」文件,歐盟以MDCG-2019-16為依歸。再者是「文件審查單位」,美國是FDA下轄的OPEQ,歐盟則透過指定的Notified Body(NB)執行審查任務。
從設計的源頭,即應帶入安全概念
以美國為例,若啟動上市前申請流程,一開始應決定產品等級,再找到實質等效的產品,接著找出FDA特殊指南與認可標準,進行文件內容準備,並按規定的文件格式的邏輯順序進行彙整。
至於歐盟,流程與美國相近,但內容相對嚴格,需要註冊組織角色、醫療器材與UDI,且範圍涵蓋上市後管理。
面對美國FDA、歐盟MDR/MDCG等相關規範,安華聯網可望扮演資安合規的助攻手。詹英綺說,現在是「安全要求從源頭開始做起」的時代,醫療設備亦講求安全開發原則,其開發歷程分為幾個階段。一、安全設計:從需求誕生或開始發想設計方向時,便應帶入通訊安全、資料保護、授權及驗證、軟體維護功能、實體對外接口、設備可靠性與可用性等完整安全概念。二、風險管理:應參考ISO 14971、Thread Model、NIST CSF等標準。三、驗證與測試:確認開發出來的產品是否符合原本期待,並應檢驗其適用性、進行軟硬體確效。四、事件回應:重點在於根據SBOM組成進行相關弱點的監管,並針對第三方開源軟體或函式庫執行監控追蹤。
至於歐盟,流程與美國相近,但內容相對嚴格,需要註冊組織角色、醫療器材與UDI,且範圍涵蓋上市後管理。
面對美國FDA、歐盟MDR/MDCG等相關規範,安華聯網可望扮演資安合規的助攻手。詹英綺說,現在是「安全要求從源頭開始做起」的時代,醫療設備亦講求安全開發原則,其開發歷程分為幾個階段。一、安全設計:從需求誕生或開始發想設計方向時,便應帶入通訊安全、資料保護、授權及驗證、軟體維護功能、實體對外接口、設備可靠性與可用性等完整安全概念。二、風險管理:應參考ISO 14971、Thread Model、NIST CSF等標準。三、驗證與測試:確認開發出來的產品是否符合原本期待,並應檢驗其適用性、進行軟硬體確效。四、事件回應:重點在於根據SBOM組成進行相關弱點的監管,並針對第三方開源軟體或函式庫執行監控追蹤。
醫療器材的資安要求不但重視個資保護,更重視持續性的監管作為
當產品送進FDA審查,須遵守幾個資安需求。首先FDA要求設計可靠安全的產品,也就是面對網路安全相關威脅或滲透、須具有一定防禦性;且在任何情況下,都要能執行預期功能。
再來希望廠商藉由憑證或加密方式,對資料進行處理。至於設備本身,除被要求提供日誌、資安事件偵測紀錄,另需交待是否定期補丁或更新,有無應對DDoS等網路攻擊的能力。
至於歐盟MDR,藉由「附錄一」表述資安規範,與MDCG-2019-16不同之處,在於附錄一偏向概念性陳述,僅提示方向,2019-16為實作建議。因此業者在提出上市申請時,應互相參照兩邊內容。
綜觀附錄一重點內容,係針對IT安全、操作安全、資訊安全、風險的管控與降低、安全設計、驗證及測試等項目,逐一描述期望廠商達成的目標。
值得一提,MDR不僅重視資訊安全,更希望廠商符合整體性與持續性的資安管控措施,例如希望廠商注重個資的保護,若產品有使用類似健保資料庫來做研究,或搭配一些臨床研究,皆需通盤考量相關資料安全性;對於產品銷售後,市場的資安管理措施,需建立相關的弱點監控與更新機制,以及持續性改善程序與做法等。總之歐盟認為產品的操作安全,與資訊安全無法脫鉤,應一併考量,也就是必須綜合思考在售前與售後的Safety與Security。
再來希望廠商藉由憑證或加密方式,對資料進行處理。至於設備本身,除被要求提供日誌、資安事件偵測紀錄,另需交待是否定期補丁或更新,有無應對DDoS等網路攻擊的能力。
至於歐盟MDR,藉由「附錄一」表述資安規範,與MDCG-2019-16不同之處,在於附錄一偏向概念性陳述,僅提示方向,2019-16為實作建議。因此業者在提出上市申請時,應互相參照兩邊內容。
綜觀附錄一重點內容,係針對IT安全、操作安全、資訊安全、風險的管控與降低、安全設計、驗證及測試等項目,逐一描述期望廠商達成的目標。
值得一提,MDR不僅重視資訊安全,更希望廠商符合整體性與持續性的資安管控措施,例如希望廠商注重個資的保護,若產品有使用類似健保資料庫來做研究,或搭配一些臨床研究,皆需通盤考量相關資料安全性;對於產品銷售後,市場的資安管理措施,需建立相關的弱點監控與更新機制,以及持續性改善程序與做法等。總之歐盟認為產品的操作安全,與資訊安全無法脫鉤,應一併考量,也就是必須綜合思考在售前與售後的Safety與Security。
利用威脅建模等方式,執行風險評估
安華聯網如何協助客戶達到合規目標?詹英綺指出,首先針對安全開發階段的安全設計、風險管理、事件回應等內容,提供顧問服務;安華聯網會根據客戶的文件、架構、操作方式,與法規進行對比,產出差距分析結果。
其次進行風險評估,主要透過Thread Modeling、雙向追溯分析等方式,瞭解客戶的軟體更新狀況,及是否已做整合性控制。一開始先確認產品蘊含哪些關鍵資產,再利用威脅建模方式做弱點分析,做完後將產品送測,經由測試來確認預期的資安風險是否確實改善,測完後再給予風險評分、即殘餘風險,並與客戶討論後續透過哪些手段來改善或控制這些殘餘風險。另一重點為雙向追溯分析,主要透過客戶的開發設計文件、測試文件,瞭解其產品開發過程是否契合法規需求,並確認設備資安是否被落實。最終安華聯網會針對軟體整合性控制、環境面控制給予建議。
除顧問服務外,安華聯網也提供技術檢測服務,確認產品是否符合客戶宣稱的資安合規。技術檢測即提供FDA/MDCG醫材網路安全技術測試服務,涵蓋效能測試(如設備本身的對外連線,是否做連線控制)、第三方應用程式(Mobile App, Cloud等)或套件安全測試(建立設備OS、應用程式、套件等清單等)、靜態及動態分析(提供原始碼檢測、滲透測試、模糊測試等)。一旦測試完就出具報告,告知風險弱點上的高中低分級、修補建議等,以及對於FDA與MDR資安要求整體合規情況。
綜觀整個專案期程,從Kick-off、風險分析與評估、產品初測、弱點修補及複測到結案,大約為期4個月。而安華聯網已協助多家企業產品符合FDA、TFDA、ETSI EN 303 645等資安規範,包括植入式心律器、葡萄糖試驗系統、健康手環、無線聽診器、非接觸式照護系統及血糖機等,通過驗證和測試,透過安華聯網的專業顧問與技術檢測團隊,可協助客戶更方便、更快速的通過歐、美、台醫療資安法規的要求,順利於這些區域上市銷售。
其次進行風險評估,主要透過Thread Modeling、雙向追溯分析等方式,瞭解客戶的軟體更新狀況,及是否已做整合性控制。一開始先確認產品蘊含哪些關鍵資產,再利用威脅建模方式做弱點分析,做完後將產品送測,經由測試來確認預期的資安風險是否確實改善,測完後再給予風險評分、即殘餘風險,並與客戶討論後續透過哪些手段來改善或控制這些殘餘風險。另一重點為雙向追溯分析,主要透過客戶的開發設計文件、測試文件,瞭解其產品開發過程是否契合法規需求,並確認設備資安是否被落實。最終安華聯網會針對軟體整合性控制、環境面控制給予建議。
除顧問服務外,安華聯網也提供技術檢測服務,確認產品是否符合客戶宣稱的資安合規。技術檢測即提供FDA/MDCG醫材網路安全技術測試服務,涵蓋效能測試(如設備本身的對外連線,是否做連線控制)、第三方應用程式(Mobile App, Cloud等)或套件安全測試(建立設備OS、應用程式、套件等清單等)、靜態及動態分析(提供原始碼檢測、滲透測試、模糊測試等)。一旦測試完就出具報告,告知風險弱點上的高中低分級、修補建議等,以及對於FDA與MDR資安要求整體合規情況。
綜觀整個專案期程,從Kick-off、風險分析與評估、產品初測、弱點修補及複測到結案,大約為期4個月。而安華聯網已協助多家企業產品符合FDA、TFDA、ETSI EN 303 645等資安規範,包括植入式心律器、葡萄糖試驗系統、健康手環、無線聽診器、非接觸式照護系統及血糖機等,通過驗證和測試,透過安華聯網的專業顧問與技術檢測團隊,可協助客戶更方便、更快速的通過歐、美、台醫療資安法規的要求,順利於這些區域上市銷售。
媒體報導