专家表示,随着医疗设备遭受网络攻击的风险持续增加,美国食品和药物管理局 (FDA)没有采取足够的措施来确保制造商保障其产品的安全性。他们把这一问题归因于FDA缺乏资金和训练有素的人员来评估医疗设备的网络安全风险,并执行其在批准设备方面所设的规定。“我曾与设备制造商,特别是设备制造商的产品安全人员交谈过,他们在过去的一两年中一直在提醒他们的公司把网络安全作为其提交材料的一部分,否则申请可能会被拒绝。”
医疗设备网络安全公司MedCrypt的首席执行官Mike Kijiewski说。“然而,他们最近提交的申请中很多都没有网络安全文件,但仍被FDA接受。”同样,医疗器械工程公司Velentium的产品安全总监Christopher Gates也对FDA在该问题(是否需要提交网络安全文件)上的一致性表达了类似的担忧。Gates表示,"我已经看到一些用于手术室的产品获得批准,但其中没有提到网络安全"。
网络攻击仍是医疗保健公司的一个重大风险。美国患者安全组织之一的急救医学研究所(ECRI)在过去五年中报告了173起医疗设备网络安全警报。该组织警告说,网络安全事件不仅仅扰乱业务运营,而且可能造成实质性的人身伤害。例如,对医院的勒索软件攻击可能导致设备中断,从而扰乱患者护理,最坏可能危及生命。FDA在4月发布了指南草案,详细说明了制造商在申请由该机构批准设备及其运行软件时应包含的网络安全信息。
FDA发言人Jeremy
Kahn在一封电子邮件中写道,FDA看到包含软件功能或某种程度连接性的设备数量在 "持续增加"。虽然FDA拒绝透露有多少设备在上市前审查过程中需要提交网络安全信息,但指出“由于以上种种趋势,预计大多数提交将需要网络安全评估。"
但是,Kijewski表示,目前根本问题不在于FDA缺乏网络安全指导,而是在于设备制造商认为该指南是有选择性的,并且FDA正在允许没有足够网络安全保护的设备通过其审批程序。此外,他还补充说,新指南草案比FDA 2018年的草案更详细、更强大。新指南专注于在医疗设备的整个生命周期内维护网络安全,并要求提供 "软件材料清单",即设备中的软件组件列表。美国器械和辐射中心(CDRH)的网络安全政策分析师Matthew Hazelett在6月份的网络研讨会上表示,新指南也与之前的草案不同,它不再按网络安全风险对设备进行分类,而是旨在 "鼓励所有制造商适当考虑网络安全风险"。
同时,设备的制造商和先进医疗技术协会(AdvaMed)认为,FDA新指南的的规定过于严格,应该逐步实施。在关于新指南提交的评论中,飞利浦提出担忧,他们认为信息量和详细程度并不适合所有类型和风险等级的设备,敦促该机构 "重新考虑在上市前提交的信息的广度和深度。AdvaMed也在7月10日发表评论称,网络安全要求应该是基于风险的,并且FDA应该提供两年的实施时间表。Velentium公司的Gates表示,他更希望新指南与其他标准保持一致,如国际标准化组织制定的标准,这些标准已被多个国家用作其质量管理体系的基础。来源:MEDTECHDIVE,作者Elise Reuter
PureFDA独家翻译整理,如需转载,请标明来自PureFDA
普瑞纯证是行业领先的全球化 SaaS+Data 生命科学服务商,我们的全球服务网络分布在包括中国、美国、英国、德国、荷兰、波兰、马耳他、香港等多个国家和地区。依托法规认证与临床经验丰富的全球顶尖专家服务团队,普瑞纯证为医疗器械、体外诊断、医疗软件 AI 等产品提供全球市场合规准入的全流程咨询服务和海外临床试验等一站式解决方案。100+ 国家准入咨询,1000+ 海外注册/认证成功案例,60万+ 全球经销商大数据,100万+ 全球临床试验数据,300万+ 全球医械注册数据库。从市场战略数据到法规咨询,助力您的产品全方位顺利合规走向全球市场!
