为了控制血糖水平,糖尿病患者依赖胰岛素泵。但 QED Security Solutions 的研究人员发现了一个漏洞,使他们能够远程控制一组数字泵。[I] 只需点击 Android 应用程序上的几个按钮,研究人员就可以从远处让泵用户注射致命的过量胰岛素。
值得庆幸的是,这些研究人员的目的并不是杀人。他们想向美国食品药品管理局 (FDA) 表明医疗设备网络安全的重要性——他们确实这么做了。研究人员向 FDA 演示一周后,该设备制造商召回了该产品。
但此次事件表明,智能医疗设备的出现开启了一个新的、令人恐惧的风险和监管领域。设备制造商如何才能跟上时代,遵守不断变化的规则,并保护他们的客户?
我们应该如何确保 “身体互联网”?
“物联网”并非新鲜事物:通过使我们的设备“智能化”并将它们相互连接,日常生活和工作变得更加轻松和准确。但当涉及到医疗设备时,这种连接引发了有关隐私、安全和保障的新问题。
宾夕法尼亚州立大学法学教授 Andrea Matwyshyn 将这一新现象称为“身体互联网”,并警告说:“我们的人身安全、自主权和福祉首次可能(且不可避免地会)因为有缺陷的软件或安全漏洞而受到损害。”[ii]*
直接与患者身体交互的网络物理系统是最明显的风险。QED Security Solutions 针对家用医疗设备的“杀手级应用”就是其中一个例子。但与此类外部设备相比,起搏器和深部脑刺激器等植入式设备更需要长期规划——召回脑植入物并不像召回胰岛素泵那么容易。[iii]
安全在哪里结束 远程医疗监控?
并且,根据你如何划分界限,“体联网”也可能包括各种智能可穿戴设备。[iv] 远程医疗监控可能不会带来同样的身体风险,但仍会危及用户的隐私。美国陆军从一名 20 岁的澳大利亚学生那里学到了这一点,他指出,你可以从健身应用 Strava 中清楚地看到阿富汗军事基地士兵的日常生活。[v]
从技术上讲,欧盟和美国食品药品监督管理局并不认为健身设备属于医疗设备(尽管确实存在可穿戴医疗设备)。但正如麦特维辛所指出的,远程医疗监控存在监管灰色地带——她提出了一个假设的例子,即智能药丸可以充当睡眠追踪器。健身设备还是医疗设备?答案可能决定它属于哪个监管机构。
欧盟、美国和其他国家处于什么位置 医疗器械网络安全?
智能医疗设备发展迅速,种类繁多,监管机构仍在研究如何管理它们。虽然已经存在一些国际标准,但各国也在使用自己的框架,这些框架通常涉及多个机构。
国际标准:国际标准化组织 (ISO) 和国际电工委员会 (IEC) 制定了 ISO/IEC 80001 标准系列,涵盖“包含医疗设备的 IT 网络风险管理的应用”。[vi] 这些自愿技术标准全面概述了与医疗设备连接相关的风险,医疗保健提供组织 (HDO) 和医疗设备制造商 (MDM) 可以借此对设备和系统进行基准测试。
ISO 14971 标准还为医疗器械的风险管理提供了更通用的方法。2020 年 4 月,国际医疗器械监管机构论坛发布了最终版《医疗器械网络安全原则与实践》。[vii]
美国:FDA 负责监管医疗器械销售,这也适用于网络安全。[viii] 联邦法规要求 MDM 在解决其他风险的同时还要解决网络安全问题,FDA 已发布了多套指导意见,概述如何处理网络安全相关问题。[ix] 最终上市前指南于 2014 年发布,最终上市后指南于 2016 年发布,但更新仍在继续。
话虽如此,FDA 并不是唯一参与其中的美国政府机构。对于 MDM 最佳实践,FDA 的指导参考了非监管部门国家标准与技术研究所的《改善关键基础设施网络安全框架》,而美国国土安全部的网络安全和基础设施安全局则帮助密切关注设备中的漏洞。[x]
欧洲联盟:欧盟的监管框架仍在不断发展,欧盟医疗器械协调小组于 2020 年 1 月发布了新的指导意见。[xii] 此举旨在帮助 MDM 满足两项新法规的要求:欧盟医疗器械法规 (MDR)(2017/745)和欧盟体外诊断医疗器械法规 (IVDR)(2017/746),这两项法规均于 2017 年 5 月通过。[xii]
最初,MDR 定于 2020 年 5 月生效,IVDR 定于 2022 年 5 月生效。但由于新冠疫情,欧盟将 MDR 的生效日期推迟至 2021 年 5 月。[xiii]
澳大利亚:澳大利亚卫生部下属的治疗用品管理局 (TGA) 于 2019 年 7 月发布了一份针对行业医疗器械网络安全的指导文件。[xiv] 与其他机构一样,TGA 将网络安全作为更大风险管理流程的一部分,并指出 ISO 14971 和美国 NIST 网络安全框架是潜在方法。
新加坡:新加坡卫生科学局负责审查医疗设备的网络安全,并呼吁采用生命周期方法进行产品管理。[xv] 新加坡标准委员会发布了一份文件,概述了联网医疗设备的安全风险管理。
保护 医疗器械, 保护 我们自己
医疗器械网络安全是一个充满挑战的领域,监管机构对此的适应速度各不相同。例如,美国过去十年的积极主动态度与欧盟仍在发展中的监管制度形成了鲜明对比。
然而,国际监管总体上趋向于采用基于风险的方法,MDM 必须将网络安全作为设备生命周期风险管理的重要组成部分。随着体联网的发展,这只能是一件好事,因为归根结底,保护我们的医疗设备意味着保护我们自己的生命。
[我] wired.com – 这些黑客制作了一款杀人应用程序来证明自己的观点二 wdj.com – “身体互联网”已然到来。法院和监管机构准备好了吗?
三 ncbi.nlm.nih.gov – 新风险管理不善:智能植入物和医疗器械监管案例
[四] lexology.com – 可穿戴设备在抗击新冠肺炎疫情中的作用
[五] bbc.com – 健身应用 Strava 点亮军事基地的工作人员
[六] eprints.dkit.ie – 根据 IEC 80001-1 进行评估
[七] imdrf.org – 医疗器械网络安全原则与实践
[八] fda.gov – FDA 在医疗器械监管中的作用
[九] fda.gov——网络安全
[十] nist.gov – 改善关键基础设施网络安全的框架 1.1 版;—— healthitsecurity.com – DHS CISA:6 种医疗设备系统发现严重漏洞
[十一] blogs.dlapiper.com – 欧洲:欧盟 MDCG 发布医疗器械网络安全新指南
[十二] medtechdive.com – 欧盟组织提供有关满足 MDR 网络安全标准的指导;—— eumdr.com – 2017 年欧盟医疗器械法规
[十三] europarl.europa.eu – 议会决定推迟对医疗器械的新要求
[十四] tga.gov.au – 行业医疗器械网络安全指南; emergobyul.com – 澳大利亚、加拿大和美国医疗器械网络安全要求趋同
十五 rsis.edu.sg – CO19204 | 医疗保健:关键信息基础设施;—— 卫生局网站; singaporestandardseshop.sg – 联网医疗设备安全
