聲明:所有內(nèi)容信息均來源于網(wǎng)絡(luò)���,僅供藥品專業(yè)人士閱讀,不作為用藥依據(jù)���,如有藥品疑問���,歡迎咨詢在線藥師。
醫(yī)療設(shè)備的安全性越來越受到關(guān)注���。在這篇文章中���,專家Mike Villegas討論了如何利用好最新的FDA醫(yī)療器械制造商網(wǎng)絡(luò)安全指南。
2014年10月24日���,據(jù)路透社報道���,美國國土安全部正在調(diào)查輸液泵、植入式心臟設(shè)備等醫(yī)療設(shè)備和醫(yī)院設(shè)備中的20多個疑似網(wǎng)絡(luò)安全漏洞���,他們擔(dān)心這些漏洞可能被攻擊者利用���。這些漏洞不僅危及人類生命安全——當然���,這是最關(guān)鍵的風(fēng)險,還會破壞這些設(shè)備的完整性和安全性���。
2014年10月2日���,美國美國食品藥品監(jiān)督管理局(FDA)發(fā)布了《醫(yī)療器械網(wǎng)絡(luò)安全管理上市前提交內(nèi)容》���,為醫(yī)療器械制造商提供了網(wǎng)絡(luò)安全功能指南���,幫助加強這些器械的安全性,防止其被攻擊者利用���。本指南強調(diào)所有建議都不是要求���。閱讀本文后,作者發(fā)現(xiàn)這些建議對任何醫(yī)療設(shè)備制造商及其網(wǎng)絡(luò)來說都是全面而實用的���。
有兩種類型的上市前申請文件:
•上市前通知(PMN)或510(k)���,應(yīng)在制造商準備向市場推出醫(yī)療器械之前提交給FDA���。
•上市前批準(PMA)是美國食品和藥物管理局評估三類醫(yī)療器械安全性和有效性的科學(xué)和監(jiān)管審查過程。根據(jù)聯(lián)邦法律���,三級設(shè)備需要上市前批準才能投放市場���。第三類設(shè)備是指支持或維持人類生命的設(shè)備,對防止人類健康受到損害或潛在的不合理疾病或傷害具有實質(zhì)性意義���。
美國食品和藥物管理局將醫(yī)療器械分為三類:
•一類設(shè)備僅在一般控制之下���。它們通常代表最低的風(fēng)險水平。一類設(shè)備包括彈性繃帶���、檢查手套和手持手術(shù)器械���。
•二類設(shè)備是指僅靠一般控制無法合理保證其安全性和有效性的設(shè)備。二類設(shè)備包括電動輪椅���、輸液泵和手術(shù)孔巾���。
•第三類設(shè)備是指支持或維持人類生命的設(shè)備���,對防止人類健康受到損害或潛在的不合理疾病或傷害具有實質(zhì)性意義。III類裝置包括置換心臟瓣膜���、植入硅膠乳房假體或植入小腦刺激器等���。
這對制造商和醫(yī)院意味著什么?這意味著���,至少應(yīng)該部署列出的網(wǎng)絡(luò)安全控制���,尤其是針對第三類生命支持和威脅生命的醫(yī)療設(shè)備���。
制造商
制造商需要確保這些設(shè)備獲得510(k)或PMA認證���,具體取決于設(shè)備類別。第三類設(shè)備必須設(shè)計有用于識別���、認證���、監(jiān)控���、授權(quán)和完整性檢查的安全措施,以確保免受秘密攻擊���。而且安全無故障的設(shè)備并不是絕對的���,但這里的目標是最大限度地提高容錯性和網(wǎng)絡(luò)安全性。特別是���,制造商應(yīng)該關(guān)注通過無線或有線連接到另一個設(shè)備���、互聯(lián)網(wǎng)、其他網(wǎng)絡(luò)或便攜式媒體(如USB或光盤)的醫(yī)療設(shè)備���。因為這些設(shè)備最容易受到網(wǎng)絡(luò)安全威脅���。
美國食品和藥物管理局的指導(dǎo)方針強調(diào),安全控制不應(yīng)不合理地阻礙設(shè)備的使用���,尤其是在緊急情況下���。這意味著需要在方便訪問和強大的網(wǎng)絡(luò)安全控制之間保持一定的平衡���。
醫(yī)院
醫(yī)院等醫(yī)療服務(wù)中心需要確保其購買的設(shè)備提供帶有證明文件的斷言,證明設(shè)備在實驗的基礎(chǔ)上通過了嚴格的網(wǎng)絡(luò)安全測試���,并可能有獨立的測試���。如果沒有這些斷言,醫(yī)療機構(gòu)應(yīng)該重新考慮是否應(yīng)該購買這些設(shè)備或考慮其他供應(yīng)商的產(chǎn)品���。
在確定了可供選擇的醫(yī)療設(shè)備清單后���,醫(yī)院在做出最終選擇之前,應(yīng)該實際檢查其網(wǎng)絡(luò)安全���。他們應(yīng)該問以下問題:設(shè)備...
•目前有效的PMA是否獲得了美國食品和藥物管理局的批準?
•需要用戶認證���,如身份證和密碼���,智能卡或生物識別技術(shù),如指紋掃描?
•預(yù)定時間后是否有會話超時功能���?
•使用基于角色的訪問控制來授予護理人員���、醫(yī)生或系統(tǒng)管理員等權(quán)限級別?
•對無線連接使用強大的加密功能���,如WPA-2���?
•提供多因素身份驗證以允許特權(quán)設(shè)備訪問?
•使用強密碼語法規(guī)則來降低被泄露的風(fēng)險���?例如最小密碼長度���、字母數(shù)字、每個設(shè)備的不同密碼���、加密等���。
•為設(shè)備本身和任何通信端口提供物理鎖,以減少篡改���?
•提供最新的防惡意軟件/防病毒軟件���,以在外部連接中提供保護���,并包括軟件或固件更新?
在本指南中���,除了醫(yī)療設(shè)備網(wǎng)絡(luò)安全控制的建議外���,還提到了其他指導(dǎo)文件。包括醫(yī)療設(shè)備中包含的軟件的上市前提交內(nèi)容指南和網(wǎng)絡(luò)醫(yī)療行業(yè)網(wǎng)絡(luò)安全指南���。包含現(xiàn)成(OTS)軟件的醫(yī)療設(shè)備”.
結(jié)論
美國食品和藥物管理局定義了“嚴重程度”來評估由于設(shè)備故障���、設(shè)計漏洞或僅僅將設(shè)備用于其預(yù)期目的而直接或間接對患者或操作人員造成的可能傷害的嚴重程度。對三級設(shè)備進行嚴格的檢查是非常關(guān)鍵的���,應(yīng)確保所有類型的設(shè)備(尤其是三級設(shè)備)都有510(k)或PMA批準���?��?梢哉f���,對這些設(shè)備的嚴格保護怎么強調(diào)都不為過���。
