普瑞纯证

普瑞研究院 | 如何基于MDR进行网络安全风险管理?



随着越来越多的医疗器械使用无线,互联网和网络连接,有效的网络安全来确保医疗器械的安全和功能需求变得越来越重要。网络安全事件导致医疗器械和医疗网络无法运行,扰乱和中断了医疗机构对患者的护理服务。



这类事件可能会因延误而对患者造成伤害和/或错误的诊断和/或干预治疗等。基于器械在欧盟上市的需求,至上而下从三个层面纵观器械网络安全目前的符合性要求:

  • 2017/745 Medical Device Regulation (MDR)1

  • MDCG 2019-16 Guidance on Cybersecurity for medical devices2

  • IEC TR 60601-4-5 Medical electrical equipment - Part 4-5: Guidance and interpretation - Safety-related technical security specifications3

  • & IEC 80001-1 Application of risk management for IT-networks incorporating medical devices - Part 1: Safety, effectiveness and security in the implementation and use of connected medical devices or connected health software4

  • & IEC/FDIS 80001-5-1 Health software and health IT systems safety, effectiveness and security — Part 5-1: Security — Activities in the product life cycle5



MDR,附录I,条款号14.2(d),17.2,17.4和18.8陈述了关于医疗器械网络安全的基本要求:

  • 器械的设计和制造应尽可能的消除或减少与软件与其操作和交互的IT环境之间可能的负面交互的风险。

  • 对于包含软件的器械或本身为器械的软件,软件应按照目前的技术水平尽快开发和制造,同时考虑开发生命周期,风险管理,包括信息安全,验证和确认的原则。

  • 制造商应制定有关硬件,IT网络特性和IT安全措施的最低要求,包括防止未经授权的访问以按照预期的软件运行。

  • 器械的设计和制造应尽可能防止可能阻碍器械按预期运行的未经授权的访问。



由此可见,网络安全风险管理贯穿医疗器械的整个生命周期。根据MDR符合性评估要求,遵循如下三点进行网络安全风险管理:

  • 安全开发生命周期:在医疗器械开发的早期阶段进行网络安全风险管理。

  • 威胁建模(Threat Modelling):确保选择正确的威胁建模技术。

  • 上市后监管:将网络安全风险管理整合到器械的上市后监管过程中。




MDCG发布MDCG 2019-16医疗器械网络安全指南来指导制造商和公告机构如何全面符合MDR,附录I中与网络安全相关的所有必要要求。IMDRFInternational Medical Device Regulators Forum,国际医疗器械监管机构论坛)也发布了 “Principles and Practices for Medical Device Cybersecurity”6 医疗器械网络安全原则和实践指南来提供一般原则和最佳实践,以促进医疗器械网络安全方面的国际监管协同。

根据MDCG 2019-16指南要求,网络安全风险管理过程与器械安全风险管理过程具有相同的要素,都需要记录在安全风险管理计划中。过程要素包含网络安全风险分析,网络安全风险评估,网络安全风险控制,剩余网络安全风险评价和报告。

当网络安全风险或控制措施可能对安全性和有效性产生影响时,应将其纳入安全风险评估。同样,任何可能对器械的安全性产生影响的安全风险控制或考虑都应包含在网络安全风险分析中。因此网络安全风险管理必须列入MDR符合性评估要求。



网络安全漏洞也是影响器械安全性和有效性问题之一,网络安全问题可能具有如下弱安全性和/或限制性安全性:

  • 弱安全性:例如,弱访问控制可能允许恶意修改植入的心脏装置的操作。

  • 限制性安全性:例如,在紧急情况下,医护人员必须能够不受限制的操作植入的心脏装置,但是在正常操作情况下需要采取强有力的安全措施。



因此,器械安全风险分析应考虑网络安全漏洞对器械基本功能的影响。制造商应将网络安全分析纳入安全风险评估,也可以提供独立的网络安全风险文档。同时,网络安全风险评估应在技术规范最终确定之前进行,最后添加网络安全对策(如加密)是不可接受的。

在风险管理过程中,与数据和系统网络安全相关的风险需要列入风险管理过程的范围中,以避免误解需要单独的过程来管理与医疗器械相关的安全风险。但是针对网络安全风险分析采用了特定的方法和要求,即威胁建模技术是一种以结构化方式分析网络安全的系统方法,以便可以从假设的攻击者的角度识别,列举和确定漏洞的优先级。

在器械的生命周期内,制造商应收集相关网络安全信息,评估相关的网络安全风险,并采取适当措施消除或减少此类网络安全事件或漏洞相关的风险。这些措施可考虑按以下优先顺序进行:

  • 通过网络安全的设计和制造,尽可能消除或减少网络安全风险。

  • 在适当的情况下,对于无法消除的风险采取适当的保护措施,包括必要的网络安全通知。

  • 提供网络安全信息(警告,预防措施,禁忌症),包括关于用户在操作环境中需要采取哪些措施以减少被利用的可能性的信息。



这些措施可包含:

  • 向器械操作人员提供相关操作环境中已识别的风险和可能的缓解措施的信息;

  • 快速修复,例如更改网络配置;

  • 器械软件升级;

  • 第三方软件升级或补丁。



制造商还应制定一个过程来收集与器械网络安全相关的上市后信息,这个过程需考虑:

  • 与器械软件直接相关的网络安全事件。

  • 与器械硬件/软件和器械一起使用的第三方硬件/软件广告的网络安全漏洞。

  • 威胁环境中的变化,包括交互操作方面。




因此制造商的上市后监管系统需要收集和评估网络安全事件并通过正式的投诉和反馈过程进行报告。同时制造商在监视威胁状况的变化过程中,如果检测到显著变化,制造商应能够采取适当的措施。

网络安全验证和确认的主要方法是测试。测试方法中最常用的是网络安全漏洞扫描(vulnerability scanning)和渗透测试(penetration testing)。根据欧盟网络安全机构(European Union Agency for Cybersecurity,ENISA)的要求,渗透测试是由授权的网络安全专家对系统的安全性进行评估,以抵御不同类型的攻击和测试人员试图识别和利用系统的漏洞。




根据ISO 13485:2016,条款号5.5.1要求,最高管理者应确保职责和权限在组织内得到定义、形成文件并进行传达。最高管理者应记录管理,执行和验证影响质量工作的所有人员的相互关系,并应确保执行这些任务所需的独立性和权威性。因此制造商应定义负责网络安全任务的人员的职责和权限。这些负责网络安全任务的人员应接受适当的IT教育背景和/或充足的工作经验和/或网络安全培训。

根据ISO 13485:2016,条款号7.3.6要求,当组织选择外包任何影响产品符合要求的过程时,其应监视并确保对这些过程的控制。因此渗透测试实验室应具备相应的资质。在供应商评估过程中收集的任何证明供应商能够提供良好渗透测试的证据均可被接受。

根据2021年5月发布的MDR的协调标准清单草案,与网络安全相关的标准IEC TR 60601-4-5,IEC 80001-1,IEC/FDIS 81001-5-1(未发布) 已列入草案中。到目前为止,指南和标准化主要关注网络安全的风险管理,这使得制造商缺乏技术标准来帮助降低器械的网络安全的风险。

通常IEC 60601系列标准仅适用于有源医疗器械。然而此规则有一个例外IEC TR 60601-4-5,这份技术报告提供了医疗IT网络中医疗器械的网络安全技术规范。这份技术报告表明网络安全问题必须由器械制造商和运营商, 以及操作人员共同承担责任。

然而考虑到MDR的符合性要求,该标准几乎没有上市后监管要求。IEC/FDIS 81001-5-1 覆盖健康软件(health software)的整个生命周期,从开发到上市后监管,包含软件开发过程,软件维护过程,管理网络安全风险过程,软件配置管理过程和软件问题解决过程。

根据IEC/FDIS 81001-5-1要求必须在其质量管理体系中实施网络安全过程。IEC/FDIS 81001-5-1也在MDR范围内提供软件的器械制造商填补了特定标准的空白,特别是IT网络安全领域。将IEC/FDIS 81001-5-1和IEC/TR 60601-4-5结合起来, 前者定义了网络安全软件开发过程,后者为这个过程提供了网络安全要求。



相关链接:
  1. https://ec.europa.eu/health/sites/default/files/md_sector/docs/md_mdcg_2020_5_guidance_clinical_evaluation_equivalence_en.pdf
  2. https://ec.europa.eu/health/sites/default/files/md_sector/docs/md_cybersecurity_en.pdf
  3. https://webstore.iec.ch/publication/64703
  4. https://webstore.iec.ch/publication/34263  
  5. https://www.iso.org/standard/76097.html
  6. https://www.imdrf.org/sites/default/files/docs/imdrf/final/technical/imdrf-tech-200318-pp-mdc-n60.pdf





扫码咨询服务

全球化互联网AI大数据+医疗器械法规认证企业,医疗产品出口认证检测一站式服务商





普瑞纯证服务号现已开通,快来关注【新】鲜上线的普瑞服务号:

↓↓↓点击关注↓↓↓

每周汇总全球法规一线更新!

普瑞纯证|最新消息

最新消息

更多
普瑞纯证|相关阅读

相关阅读

更多