強化網路安全 美國FDA要求醫療設備內置安全更新及修補能力

美國食品藥物管理局（US Food and Drug Administration, FDA）本周發布了「醫療設備安全移動計劃：保護病患與推動大眾健康」（Medical Device Safety Action Plan: Protecting Patients, Promoting Public Health），並準備成立集結官方及行業專家的「網路醫療安全分析委員會」（CyberMed Safety (Expert) Analysis Board，CBMSAB），以負責統籌設備的安全問題。

FDA表示，各種新興的醫療設備造福了許多病患，但它們同時也帶來安全風險，因此，除了推動新設備以外，該機構打算付出同樣的心力來創建可識別風險及保護消費者的全新架構。該計劃著眼於打造一個強大的醫療設備病患安全網，尋求各種法規的可能性，推動更安全的醫療設備，改善醫療設備的網路安全，以包含上市前、後的「產品全生命周期」（Total Product Life Cycle）策略來保障設備安全。

其中，在改善醫療設備的網路安全上，FDA認為該機構必須跟上新興威脅與安全漏洞的腳步，計劃要求製造商必須於產品中內置更新與修補機制，以在發現安全漏洞時可即時修補；並應創建軟體物料清單（Software Bill of Materials）給客戶及用戶，以評估設備是否受到軟體漏洞的波及。

此外，FDA也更新了設備的上市前審核準則，期能更妥善地對抗諸如勒索程序等中度安全風險，或是遠程攻擊等高度風險，也要求製造商必須採用適當的漏洞披露政策與程序。

FDA還企圖推動國會成立新的CBMSAB，結合硬體、軟體、網路、生物工程與臨床專家來共同評估與確認高風險的設備安全漏洞與意外，包含確認漏洞、評估病患的安全風險、爭議裁決或協調信息披露程序等。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！