FDA醫療裝置網路安全準則正式版出爐

jis2577

此一安全準則要求醫療裝置製造商應監控、辨識及修補安全漏洞，對於修補悠關病人健康，甚至可能造成死亡的嚴重漏洞必需向FDA通報。

美國食品暨藥物管理局（Food and Drug Administration，FDA）上周發表了《醫療裝置上市後的網路安全管理準則》 （Postmarket Management of Cybersecurity in Medical Devices）正式版，期望保障醫療裝置從早期開發階段到整個產品生命周期的網路安全。
此一準則闡明了FDA對醫療裝置製造商的各種建議，包括製造商應該監控、辨識與修補網路安全漏洞，以作為已上市醫療裝置管理的一部份，它建立了一個基於風險的框架，以供製造商用來評估裝置因網路安全漏洞而變更時是否應向FDA通報。
基本上，定期的網路安全更新或修補不需要特別通報，但若是修補了可能危及病人健康、甚至造成死亡的嚴重漏洞則會被要求通報。
FDA緊急整備暨操作主任Suzanne Schwartz說明，現代全球的醫療裝置多半連結醫院網路或病人家中網路，科技既帶來醫療的方便性，也帶來可能影響裝置效能與功能的網路安全風險。對製造商而言，對抗這些安全威脅的最佳方式就是在整個產品的生命周期嵌入安全考量，從裝置的設計到開發，到上市後的監控與修補。
FDA期望醫療裝置製造商應可監控與偵測裝置上的網路安全漏洞、理解及評估這些漏洞對病患帶來的風險、與資安研究人員建立合作程序，並能部署更新或減緩風險。
不過，此一準則並沒有強制性，意味著並無罰則，得仰賴醫療裝置製造商的自律才行。

panups