背景鏈接
　　在醫(yī)療器械具備網(wǎng)絡(luò)連接功能日益普遍的今天，由醫(yī)療器械網(wǎng)絡(luò)安全出現(xiàn)問(wèn)題導(dǎo)致的侵犯患者隱私、醫(yī)療器械非預(yù)期運(yùn)行導(dǎo)致患者或使用者受到傷害或死亡引起了各國(guó)監(jiān)管部門的高度重視。本文選自FDA每周通訊，這是一份有關(guān)FDA政策的時(shí)事通訊，體現(xiàn)了FDA監(jiān)管最新思路和行業(yè)動(dòng)態(tài)。原文作者介紹了美國(guó)在促進(jìn)醫(yī)療器械網(wǎng)絡(luò)安全問(wèn)題上的現(xiàn)狀和討論。

　　美國(guó)食品藥品管理局（以下簡(jiǎn)稱FDA）工作人員稱，對(duì)促進(jìn)醫(yī)療器械領(lǐng)域網(wǎng)絡(luò)安全來(lái)說(shuō)，陳舊醫(yī)療器械（legacy medical devices）是一個(gè)“難以克服的挑戰(zhàn)”。FDA負(fù)責(zé)人Scott Gottlieb也在同一天表示，解決這些醫(yī)療器械帶來(lái)的安全風(fēng)險(xiǎn)是FDA面臨的關(guān)鍵的挑戰(zhàn)之一。
　　Suzanne Schwartz是FDA醫(yī)療器械與放射健康中心（CDRH）科學(xué)與戰(zhàn)略伙伴關(guān)系部門副主任，她在為期兩天的FDA網(wǎng)絡(luò)安全研討會(huì)上稱，陳舊醫(yī)療器械對(duì)于醫(yī)療機(jī)構(gòu)來(lái)說(shuō)至關(guān)重要，它們通常因?yàn)閮r(jià)格昂貴而很難更新，同時(shí)又無(wú)法通過(guò)新的安全措施進(jìn)行修補(bǔ)或升級(jí)。Schwartz希望改變這些陳舊醫(yī)療器械脆弱、易受攻擊的狀態(tài)，使它們有更強(qiáng)的適應(yīng)性以應(yīng)對(duì)當(dāng)前復(fù)雜的網(wǎng)絡(luò)安全問(wèn)題。
　　該研討會(huì)的目的是討論FDA于2018年10月發(fā)布的《醫(yī)療器械網(wǎng)絡(luò)安全管理上市前提交內(nèi)容》（Content of Premarket Submissions for Management of Cybersecurity in Medical Device）指南草案。該指南草案是針對(duì)上市前申請(qǐng)中醫(yī)療器械制造商應(yīng)如何在其上市申報(bào)資料中提交網(wǎng)絡(luò)安全內(nèi)容，但Schwartz同時(shí)還關(guān)注陳舊醫(yī)療器械如何實(shí)現(xiàn)FDA關(guān)于網(wǎng)絡(luò)安全的三個(gè)原則：可信賴性（trustworthiness），透明（transparency）和適應(yīng)性強(qiáng)的（resilience）。
　　她表示，雖然陳舊醫(yī)療器械的網(wǎng)絡(luò)安全問(wèn)題通常被認(rèn)為是一個(gè)上市后監(jiān)管的問(wèn)題。但事實(shí)上，所有醫(yī)療器械都將不可避免地變得陳舊和過(guò)時(shí)，特別這其中很多器械價(jià)格昂貴，在這些器械仍然可以被繼續(xù)使用的時(shí)候就將它們更換成新器械顯然是不合理的。因此，將醫(yī)療器械設(shè)計(jì)成為在其全生命周期內(nèi)，適應(yīng)性強(qiáng)、可升級(jí)，是產(chǎn)品在上市前的設(shè)計(jì)研發(fā)階段就應(yīng)該考慮的問(wèn)題，而不止是上市后監(jiān)管的問(wèn)題。
　　在研討會(huì)的前一天，衛(wèi)生部門協(xié)調(diào)委員會(huì)（HSCC）剛剛發(fā)布一項(xiàng)聯(lián)合安全計(jì)劃，該計(jì)劃旨在為開發(fā)和維護(hù)醫(yī)療器械和其他醫(yī)療信息技術(shù)中的網(wǎng)絡(luò)安全功能提供基于產(chǎn)品全生命周期考量的指南。
　　Gottlieb贊揚(yáng)了HSCC的計(jì)劃，并呼吁通過(guò)產(chǎn)品全生命周期來(lái)解決網(wǎng)絡(luò)安全問(wèn)題。許多陳舊醫(yī)療器械在生產(chǎn)制造時(shí)沒(méi)有考慮到網(wǎng)絡(luò)安全問(wèn)題，因此設(shè)計(jì)得比較簡(jiǎn)單而不具備較強(qiáng)的適應(yīng)性可信賴性。它們會(huì)因?yàn)榭赡苁褂貌话踩浖⒂布蛥f(xié)議而受到攻擊。而我們?cè)诳紤]提高醫(yī)療器械網(wǎng)絡(luò)安全時(shí)最重要的任務(wù)之一，就是解決這些陳舊器械所面臨的風(fēng)險(xiǎn)。FDA和醫(yī)療器械業(yè)界應(yīng)共同考慮如何最好地確保醫(yī)療器械網(wǎng)絡(luò)安全，同時(shí)關(guān)注網(wǎng)絡(luò)安全問(wèn)題對(duì)陳舊醫(yī)療器械的挑戰(zhàn)。
　　研討會(huì)上有專家指出，醫(yī)療器械利益相關(guān)方仍未就陳舊醫(yī)療器械的定義達(dá)成一致。包括來(lái)自FDA，醫(yī)院，醫(yī)療器械制造商和網(wǎng)絡(luò)黑客在內(nèi)的與會(huì)代表，對(duì)“陳舊醫(yī)療器械”都有自己的定義。但值得鼓勵(lì)的是，一些醫(yī)療器械制造商已開始就“陳舊醫(yī)療器械”和醫(yī)療器械的網(wǎng)絡(luò)安全進(jìn)行理念變革。一位醫(yī)療器械制造商代表形容醫(yī)療器械行業(yè)開始重視網(wǎng)絡(luò)安全這一理念的轉(zhuǎn)變，就好比汽車制造商開始將行駛安全作為產(chǎn)品最大賣點(diǎn)這一理念上的轉(zhuǎn)變。
　　FDA和醫(yī)療器械利益相關(guān)方表示，解決方案之一是使用網(wǎng)絡(luò)安全材料清單（cybersecurity bill of materials , CBOM）。該清單要求制造商列出該醫(yī)療器械容易受到網(wǎng)絡(luò)安全攻擊的軟件和硬件組件。
　　Schwartz表示，制造商還應(yīng)該披露產(chǎn)品的薄弱環(huán)節(jié)，通過(guò)信息共享等方式使利益相關(guān)者了解可能的網(wǎng)絡(luò)安全威脅從而實(shí)現(xiàn)FDA的第三個(gè)網(wǎng)絡(luò)安全原則：透明。如向醫(yī)療機(jī)構(gòu)提供網(wǎng)絡(luò)安全材料清單，就可以幫助他們?cè)诰W(wǎng)絡(luò)安全事件發(fā)生之前就很好地管理其網(wǎng)絡(luò)訪問(wèn)并優(yōu)先考慮降低風(fēng)險(xiǎn)。

文章來(lái)源：
Roza, D. (2019). Gottlieb: Legacy device safety is 'critical' cybersecurity challenge.InsideHealthPolicy.Com's FDA Week, 25(5) Retrieved from https://search.proquest.com/docview/2174226387?accountid=11752
審評(píng)五部 楊宇希 供稿