2023医疗器械数据安全.docx
医疗器械数据安全(2023年)2023年10月目录第一章医疗器械数据安全发展概况1一、医疗器械数据概念1二、医疗器械信息化发展历程2三、医疗器械数据安全需求背景与现状23.1 医疗器械网络安全事件频发,引发数据泄露担忧33.2 医疗数据形式多样、数据种类繁杂,用途多样,管控难度加大43.3 医疗数据价值日益凸显,数字经济发展进入快车道5四、医疗器械数据应用场景54.2 远程医疗数据安全64.3 汇聚中心数据安全74.4 健康传感数据安全74.5 移动应用数据安全84.6 临床研究数据安全94.7 商保对接数据安全94.8 器械维护数据安全9五、医疗器械数据价值日益显著ID第二章全球医疗器械数据安全政策12-V中国数据战略12二、美国数据战略M、H+l+>+l+1+l*ll+l+l*l+,+l+,+l+,+l+l+l+l*-+-H+R+H*l+H+l+l*h+-H+R+l*l+ll+-+-H+R+H+R+ll*l+H+H+-H+R+H+R+J.5第三章医疗器械数据安全存在风险和挑战18一、医疗器械数据安全治理尚在初期18二、医疗器械采集的数据具有临床性质19三、医疗器械数据传输缺少足够的机密性保护19四、医器械数据的存储缺乏明确范20五、医疗器械使用时安全意识薄弱21六、医疗器械数据委托处理缺少有效隔离措施22第四章医疗器械数据安全发展规划23一、建立医疗器械数据安全管理体系231.1 建立数据安全组织架构231.2 健全数据安全管理制度231.3 加强数据安全培训25二、夯实医疗器械基础数据安全322.1 医疗器械网络安全管理322.2 医疗器械数据安全治理332.3 加强数据安全审计352.4 提升数据安全应急响应能力35第五章医疗器械数据安全行业应用实践37一、数据安全合规管理体系371.1 GE医疗数据安全体系框架371.2 GE医疗数据安全管理能力381.3 GE数据安全技术能力38二、数据安全全生命周期管理392.1 ,392.2 设计研发392.4 运营管理41全建设框白、,+”+-,÷l+l-+,÷l+l÷l+l÷l÷÷l+l÷÷l+-÷-l+l÷÷,I÷÷II÷H+R÷÷1l÷÷II÷H+l*l,hR÷÷Hl÷l,I÷÷II÷IRhR÷*ll÷41四、医疗数据自动化分类分级43五、移动客户端安全防护435.1 移动端安全加固平台435.2 移动端个人信息保护检测平台445.3 移动客户端安全检测平台45第六章医疗器械数据安全发展展望46一、明确要求,推动医疗器械数据安全发展46二、鼓励创新,提升行业数据安全管理水平47三、产业聚焦,打造产业健康生态47第一章医疗器械数据安全发展概况一、医疗器械数据概念根据2022年3月国家药品监督管理局发布的医疗器械网络安全注册审查指导原则(2022年修订版)定义,医疗器械中的数据可分为医疗数据和设备数据。医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据(含日志),从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据,其中敏感医疗数据是指含有个人信息的医疗数据,反之即为非敏感医疗数据。个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者活动情况的各种信息。如自然人的姓名、出生日期、身份证件号码、个人生物识别信息(含容貌信息)、住址、电话号码等。设备数据是指记录医疗器械运行状况的数据(含日志),用于监视、控制医疗器械运行或者医疗器械的维护与升级,不得含有个人信息。注册申请人需基于医疗器械相关数据的类型、功能、用途,结合网络安全特性考虑医疗器械网络安全要求。同时,保证敏感医疗数据所含个人信息免于泄露、滥用和篡改,以及医疗数据和设备数据的有效隔离(如访问权限控制等方法)。医疗器械数据还包括医疗器械研发、产品生产、运输、经营管理、产品使用、产品售后以及相关产业链上中下游等信息。包括但不限于设计图纸,零部件清单、设计软件、客户订单、制造工艺、售后资料等。医疗数据一是因其数据价值高、敏感程度高、数据体积大、覆盖范围广、应用场景杂等特点,针对医疗数据的窃取活动呈明显增加趋势,相关数据安全事件频发;二是伴随着网络技术的发展与业务数字化转型的深入,医疗数据逐步从以往局限于内网中使用向外网、云平台等处流通应用,相关数据安全风险进一步增加。二、医疗器械信息化发展历程时间里程碑以微处理器为核心的智能仪器(如自动化生化分析仪、血球计数器、免疫分析仪等)进入临床实验室2000S医疗信息化开始逐步推进,包括医院管理信息化、医疗设备信息化2010S新医改"强调信息化的支柱地位,医疗信息化迎来新一轮发展高峰。2018-至今人工智能、云数据等诉S展而(入:废方器械数据妾圣薪高度一三、医疗器械数据安全需求背景与现状近年来,信息技术与卫生健康行业深度融合,医疗数据体量越来越大。医疗数据是产生于医疗机构诊疗活动关于患者的生理和健康状况的数据。作为电子化信息本身,这些来自广大地理范围内的各类感知数据不可避免地蕴含着患者的大量时间和空间信息,其敏感性较高,一旦泄露可能影响患者个人隐私保护、医疗行业发展乃至国家卫生安全。因此,医疗数据安全至关重要。其中,医疗器械数据作为医疗数据的范畴之一,更值得重视和关注。2022年3月,国家卫生健康委发布国家三级公立医院绩效考核操作手册(2022版),对大型医疗器械指标进行了修订,进一步强调医疗器械网络安全。医疗器械是医疗卫生机构资产构成的重要组成部分,也是临床科室完成正常医疗诊治的重要保障。在医改处于攻坚阶段的形势下,大型公立医院虹吸现象仍然客观存在,院内医疗器械均高负荷运转。据调查分析,某医院每台PET-CT设备的年均治疗人次达6000以上,彩超机多达L5万人次,产生大量医疗数据。然而,在医疗器械管理领域,针对数据安全的重视程度亟待加强。部分医疗器械仍存在不同程度连接互联网和开启远程控制的现象,尤其很多医疗器械为进口,通过跨境服务器可能导致医疗数据出境,具有较高安全隐患。3.1 医疗器械网络安全事件频发,引发数据泄露担忧伴随着医疗信息化、智慧医疗的发展,医疗设备种类及数量日益增多,医疗设备网络安全逐渐成为国家必须面对的重要问题。2019年3月,某品牌心脏除颤仪所使用的ConeXUS无线遥测协议存在网络安全漏洞,未使用加密、身份验证或授权,可能导致未经授权的个人访问并操纵可植入设备。2019年6月,某品牌部分型号及版本的胰岛素泵存在潜在的网络安全风险,攻击者可以通过更改腹岛素泵设置的手段,向患者过度输送胰岛素或停止输送胰岛素,导致高血糖和糖尿病酮症酸中毒。2019年7月,美国国土安全部下属的网络安全和基础设施安全局发布了一份名为URGENT/11的网络安全漏洞公告,该公告中记录了由相关安全研究人员在当时使用最为广泛的嵌入式设备实时操作系统VxWorks中所发现的11个高危漏洞。同年10月,美国食品药品监督管理局向患者、医疗器械厂商及相关工作人员通报了该漏洞,该漏洞与在医疗器械中广泛使用的第三方通信组件IPnet有关,可导致攻击者在没有用户交互的情况下征用医疗器械,并更改或禁用其相关的功能,主要受影响的医疗器械包含影像系统,输液泵和麻醉机等。2022年6月,某基因测序仪的本地运行管理软件存在网络安全漏洞,可以实现对基因测序仪进行远程控制外,还可以影响患者的临床测序结果,从而导致诊断过程中的结果被篡改。3.2 医疗数据形式多样、数据种类繁杂,用途多样,管控难度加大医疗器械种类众多,增长迅速。一方面,医疗器械信息化水平相较其他行业存在一定差距,在设计之初缺乏安全考虑,自身安全防护能力薄弱,一旦攻击者接入医疗卫生机构内部网络,医疗器械数据极易泄露或被篡改。另一方面,医疗器械种类与数量都有大幅增长,医疗设备接入医疗机构网络内,连接条件、连接方式、数据类型多种多样,传统数据防护工具无法满足现有医疗环境下数据安全需求,治理难度加大。医疗器械防护能力较差。医疗器械主要为满足医疗环境下检验检测与治疗需求。因此,医疗器械一般优先满足可靠性、可用性需求,避免了因医疗器械故障造成的安全事故和损失。但在计算、存储、系统以及网络等资源方面存在一定限制,无法部署安装传统网络和数据安全防护工具,容易遭受恶意入侵。安全建设能力不足,数据安全建设处于起步阶段。在过去的十多年时间,医疗卫生机构已建立以网络安全等级保护定级为基础,围绕制度、组织、人员、建设、运维等安全管理措施,构建了一体化网络安全保障体系。在边界网络防护、攻击风险监测、防病毒、身份认证等方向建设投入大量精力,建设成果丰硕。但在数据安全上,整体来看,尚处于起步阶段,距离个人信息保护法数据安全法等相关法律要求还有一定差距。3.3 医疗数据价值日益凸显,数字经济发展进入快车道随着大数据、人工智能、区块链、云计算等新技术和医疗器械产业快速发展与融合,为传统医疗体系的变革提供契机。可穿戴设备为个人健康提供动态实时监测,助力疾病预防和诊后管理;人工智能技术为医疗诊治效果分析、影像分析以及疾病康复提供了精准支持。数字医疗规模增长迅速,随着我国人民生活水平提高、人口老龄化不断加剧和居民健康管理意识的增强,我国医疗和健康服务需求不断提高,海量化的数据正呈现爆发式、几何式的增长,数据湖、主数据管理等数据关键技术将逐步规模化应用正在驱动整个医学的发展。我国医疗健康大数据产业规模不断扩大,从2015年的18.67亿元增长至2021年的212.56亿元,年均复合增长率约为50%,初步统计2022年我国医疗大数据的市场规模约增加至301.36亿元。数据安全已成为我国总体国家安全的重要组成部分。数据是经济发展的重要生产要素和核心引擎,是开展医疗数字化的关键。关于构建数据基础制度更好发挥数据要素作用的意见数字中国建设整体布局规划"十四五”数字经济发展规划关于进一步完善医疗卫生服务体系的意见关于促进"互联网+医疗健康"发展的意见等政策文件相继布局数字医疗产业发展,不断加大对数字基础设施的投资,数字医疗产业加速增长。四、医疗器械数据应用场景随着人们的健康保护意识不断提升,各种医疗健康设备也不断走向大众视野,根据医疗器械的用途和性质,可将目前医疗器械发展较快,潜力较大的八类细分领域进行研究:影像设备、体外诊断、监护设备、家用医疗器械、可穿戴设备、高值耗材、口腔设备、医用机器医疗器械重点领域类别主要产品影像设备CT、核磁、超声、DR血管造影机、乳腺机、胃肠机等体外诊断基因测序仪、生化分析仪、时间分辨荧光检测仪、酶标仪,和各类配套诊断试剂监护设备多参数监护仪、心电监护仪等家用医疗器械体温计、氧气囊、轮椅、血糖仪、血压计、急救箱等家用器械智能可穿戴设备智能眼镜、智能手表、智能腕带、智能跑鞋、智能戒指、智能腰带、智能头盔等高值耗材血管介入类、消化道介入类、骨科植入、颅内植入、起搏器等口腔设备口腔综合治疗设备、牙钻机及配件、牙科椅、补牙设备等医用机器人手术机器人、外骨骼机器人等资料来源:九次方大数据研究院基于医疗器械数据在不同角色之间的流转,可以将以上八大细分领域的医疗器械数据应用安全场景分为以下几类:4.1 互联互通数据安全医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同,需要在各医疗机构、医联体信息平台之间实现数据(电子病历、电子健康档案等)的互联互通与信息共享。在此场景下,医院的医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料以及医疗器械等敏感数据进行访问浏览,以及通过内部信息共享交换系统进行文件数据传输、存储等操作时,均可能导致医患隐私等重要信息面临泄露风险。4.2 远程医疗数据安全一方医疗机构为邀请其他医疗机构对其诊疗患者提供技术支持等医疗活动时,需要运用通讯、计算机及相关网络技术手段,过程中涉及近端/远端医院、患者,以及远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方参与。在此场景下,近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。如果远程诊疗网络出现被不明身份人员接入、相关服务器和终端存在病毒或漏洞等问题,则数据在远程诊疗过程中将面临由非法接入、漏洞攻击、病毒感染等导致的敏感数据被非法访问、窃取篡改、恶意上传等风险。4.3 汇聚中心数据安全汇聚中心是指区域卫生信息平台、健康医疗大数据中心、学会数据中心、医院内部数据中心等为医生、患者、第三方的"诊疗参考、健康管理、分析利用”相关需求提供数据应用支撑的平台机构。在此场景下,汇聚中心涉及跨机构数据汇聚,集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息,A医院医生会通过汇聚中心调阅某患者在B医院就诊时的健康医疗信息。如果没有建立对中心数据分级标注以及颗粒度匹配等机制,将面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全风险。4.4 健康传感数据安全健康传感数据是指通过健康传感器收集的如个人身份信息、生活方式等与被采集者个人属性及健康状况相关的数据,主要应用于健康监测、慢性疾病的治疗、康复护理等领域。一般是具备传感、无线通信等功能的、可直接穿戴在身上的医疗或者健康电子设备,通过软件,可以实现感知、记录、分析、调控、干预佩戴者的健康状态等功能。在使用的过程中可能涉及对个人数据的处理。例如远程监护,利用健康传感器实时、持续地监测患者的生命体征,再将获取到的数据传送给医护人员,医护人员通过获取的信息可以及时对患者的情况进行判断与处理。在此过程中,会对患者的生命体征数据进行采集、计算和传输。在此场景下,健康传感数据在采集、存储、使用阶段均存在着不同的安全隐患,应评估各个阶段的安全风险并针对安全风险建立安全防护手段以保证健康传感数据的安全。4.5 移动应用数据安全移动应用数据是指通过网络技术为个人提供的在线健康医疗服务(如在线问诊、在线处方)或健康医疗信息服务应用(如个人电子健康档案)中设涉及的个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息。在此场景下,用户的隐私信息可能在经应用界面对外展示环节面临数据泄露风险;用户手机丢失、被窃后,其移动应用登录密码设置如过于简单,应用内数据可能被非授权人员登录浏览、截屏导致隐私信息泄露;同时,与应用程序相关的信息系统,因与大量移动设备进行数据传输,亦可能经移动端感染病毒或被植入恶意程序。4.6 临床研究数据安全临床研究数据一般是指由医院、学术研究机构和医疗企业发起的,以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究中,所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息。在此场景下,参与临床研究的医患及有关信息,在通过专线、互联网线路、VPN等链路进行传输,被临床试验电子系统的用户进行访问或被交由医疗机构进行存储和使用等过程中面临诸多数据安全风险。4.7 商保对接数据安全商业保险公司通过与医疗机构建立连接的医疗信息系统,及时掌握个人健康医疗信息主体的诊疗情况及发生的相关费用信息,例如:个人属性信息、健康状况信息、医疗应用信息、医疗资金与支付信息、卫生资源信息等数据,从而根据商业保险机构的核赔规则自动进行支付结算等理赔业务。在此场景下,投保用户的健康医疗信息将由医疗结构向商业保险机构进行披露,因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险。如果双方在数据对接的前、中、后三个阶段中,没有形成具有法律约束性的、权责分明的正式协议,没有建立起有效的数据管理机制,则可能导致商保对接数据的泄露。4.8 器械维护数据安全医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据,影像系统可能涉及病人的影像和影像诊断报告,检验系统可能涉及病人的检验、检查报告及检验结果;此外,需保存的器械维护历史记录包括:维护的内容、维护的原因、维护的时间、维护的操作人员等信息。在此场景下,医疗器械厂商在进行远程维护时,可能会读取器械的维护记录和日志报告,用以分析医疗器械失败原因;也可能读取医疗器械产生的数据,用以分析应用的安全性和有效性。在以上流程中,数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险。根据医疗器械的具体应用场景的不同,梳理了医疗器械中采集、处理数据需要注意的合规要点,通过医疗器械采集和处理患者信息需要获取个人同意,如涉及个人敏感信息,还应遵守个保法其他相关规定;医疗器械在远程维护时要做到设备数据和医疗数据的有效隔离以及个人信息去标识化;医疗器械中的医疗数据如涉及出境,须注意本地化存储和进行安全评估审核。五、医疗器械数据价值日益显著当前,随着医疗数据价值的日益提升,医疗器械行业对患者数据的采集、合并与分析能力不断进步,包括机器学习能力在内的人工智能技术快速发展,数字医疗软件逐渐成为许多医疗器械产品的重要组件。然而,由于医疗器械数据具有高度敏感性,且许多医疗器械厂商提供患者数据收集、存储与分析等服务,2021年11月,工业和信息化部、国家卫生健康委、国家发展改革委等10个部门联合发布"十四五"医疗装备产业发展规划(下称"规划”)。规划特别指出,医疗装备发展要统筹发展和安全,坚持安全第一的基本原则,将安全生产、产品质量作为发展生命线,利用各种安全技术提升产品安全防护能力、信息数据安全保护能力,筑牢风险防范的屏障和堤坝。2022年2月工信部发布“十四五"医药工业发展规划提出"医疗器械是关系国计民生、经济发展和国家安全的战略性产业,是健康中国建设的重要基础。"2022年3月,国家药监局发布医疗器械网络安全注册审查指导原则(2022年修订版)。该指导原则重点关注医疗器械产品全生命周期过程中网络安全问题,包括医疗器械产品的设计开发、生产、分销、部署和维护。其中明确指出,医疗器械安全出现问题不仅会侵犯患者的隐私,而且可能会产生医疗器械非预期运行的风险,导至患者或使用者受到伤害或死亡。2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法,这个管理办法贯穿了全生命周期管理的主导思想,强调医疗卫生机构安全管理应围绕着顶层设计和制度保障两个要点着力推进。要求建立网络安全管理的制度体系,加强网络安全防护,通过管理和技术手段保障数据安全和数据应用的有效平衡。2022年11月,国家卫生健康委联合国家中医药局、国家疾控局共同印发"十四五"全民健康信息化规划,提出加强医疗设备相关网络和数据安全监管,全面落实网络安全管理要求,不断深化在行业治理、智能医疗设备等领域的创新应用。第二章全球医疗器械数据安全政策目前世界各国已针对医疗器械数据安全进行研究,各国监管机构也相继发布一系列政策指导文件,对医疗器械数据安全进行引导和规范。一、中国数据战略随着网络安全法数据安全法个人信息保护法以及关键信息基础设施安全保护条例等一系列法律法规和标准的出台,党中央、国务院及医疗监管部门相继发布一系列政策指导文件,逐步完善医疗器械网络安全与数据安全体系。2017年1月国家食品药品监督管理总局(NMPA)发布了医疗器械网络安全注册技术审查指导原则,将中华人民共和国网络安全法的基本原则应用到了医疗器械领域。自2018年起,制造商应根据医疗器械产品特性提交网络安全注册申报资料。制造商应当结合医疗器械产品的预期用途、使用环境和核心功能以及相连设备或系统(如其它医疗器械、信息技术设备)的情况来确定医疗器械产品的网络安全特性,并采用基于风险管理的方法来保证医疗器械产品的网络安全。2019年,为进一步加强医疗器械全生命周期的监督管理,创新新模式,国家药监局制定了医疗器械唯一标识系统规则(下称"规则")。规则明确了医疗器械唯一标识系统建设的目的、适用对象、建设原则、各方职责和有关要求,由医疗器械唯一标识、唯一标识数据载体和唯一标识数据库组成。医疗器械唯一标识是指在医疗器械产品或者包装上附载的,由数字、字母或者符号组成的代码,用于对医疗器械进行唯一性识别;医疗器械唯一标识数据载体是指存储或者传输医疗器械唯一标识的数据媒介;医疗器械唯一标识数据库是指存储医疗器械唯一标识的产品标识与关联信息的数据库。规则提出,医疗器械唯一标识数据载体应当满足自动识别和数据采集技术以及人工识读的要求。如空间有限或者使用受限,应当优先采用符合自动识别和数据采集技术的载体形式。随着规则的发布实施,建立唯一标识系统有利于实现监管数据和共享,创新监管模式,提升监管效能,加强医疗器械全生命周期管理,净化市场、优化营商环境,实现政府监管与社会治理相结合,形成社会共治的局面,助力产业转型升级和健康发展,提升医疗器械管理水平和效能,有力保障公众用械安全有效。随后2022年,国家药监局器审中心组织制定了医疗器械网络安全注册审查指导原则(2022年修订版)。新修订的医疗器械网络安全指导原则针对网络安全概念进行了梳理,重点对网络安全应急响应、网络安全更新、全生命周期质控、数据出境、软件维护与升级、自研软件安全评估与管理等进行修订。2022年8月,国家卫生健康委、国家中医药局、国家疾控局联合发布医疗卫生机构网络安全管理办法,这个管理办法贯穿了全生命周期管理的主导思想,强调医疗卫生机构安全管理应围绕着顶层设计和制度保障两个要点着力推进。要求建立网络安全管理的制度体系,加强网络安全防护,通过管理和技术手段保障数据安全和数据应用的有效平衡。2022年11月,国家卫生健康委联合国家中医药局、国家疾控局共同印发"十四五"全民健康信息化规划,提出加强医疗器械相关网络安全和数据安全监管要求,全面落实网络安全管理要求,不断深化在行业治理、智能医疗器械等领域的创新应用。文件号文件名称发行年份2017年第13号医疗器械网络安全注册技术审查指导原则2017年1月20日2019年第66号医疗器械唯一标识系统规则2019年8月26日2022年第7号医疗器械网络安全注册审查指导原则(2022年修订版)2022年3月7日国卫规划发(2022)29号医疗卫生机构网络安全管理办法2022年8月8日国卫规划发(2022)30号"十四五”全民健康信息化规划2022年11月7曰二、美国数据战略美国FDA(美国食品药品监管局)是医疗器械网络安全政策制定方面的先驱,发表了这个领域内的第一篇指南也是第一个对器械上市前网络安全管理提出要求的监管机构,它的指南文件"ContentofPremarketSubmissionsforManagementofCybersecurityinMedicalDevices"也被很多国家参考。此份指南性文件向行业提供关于网络安全设备设计、标签及FDA为可能存在网络安全风险的设备在上市前申报文件中需要体现的建议性内容。FDA第一次提出了“网络安全物料清单”(CSBOM)的概念,将其定义为可能易受网络安全风险影响的商业,开源和现成软件和硬件列表,认为这可能成为安全漏洞识别工作中的关键性因素,所以在上市前申报文档之中必须包括此安全物料清单。制造商应该利用CSBoM更精确的来实施网络安全风险管理流程,以识别其设备,软件和系统的哪些组件更容易受到网络事件或攻击的影响。FDA将其网络安全要求与美国国家标准技术研究院(NIST)的网络安全框架紧密联系在一起,后者是全球公认的框架,为制造商提供了公认的风险和影响评估工具,以确定网络安全风险和脆弱性。在2016年发布的POStnIarketManagementofCybersecurityinMedicalDevices指南中不仅囊括了新医疗器械和产品,也把上市后和临床上应用的医疗器械纳入其中,即:要求制造商、供应商有能力及时鉴别和处理网络安全所带来的各种技术问题,建立网络安全共管系统,更好地研究新对策和开发新方法。指南还引入了很多新的概念如补偿控制,受控/非受控风险和网络安全预警信号等。此外它还介绍了威胁建模的概念并参考AAMlTIR57扩展了有关安全风险管理的建议。在医疗器械产品中网络漏洞的披露和处理上,FDA鼓励生产商采取自由裁量权,前提是生产商需要遵循21CFRpart806的规定以及H-ISAC对于信息披露的指南文件。文件号文件名称中文名称发布日期FDA-202(HH)957FDA,GuidanceforIndustry:CybersecurityforNetworkedMedicalDevicesContainingOff-The-Shelf(OTS)Software行业指南-包含现成(OTS)软件的网络医疗器械的网络安全2005年1月14日FDA-2013-D-0616ContentofPrenarketSubaissionsforManagementofCybersecurityinMedicalDevices医疗器械网络安全管理上市前提交的内容2014年10月2曰FDA-2015-A6106PostnarketManagementofCybersecurityinMedicalDevices医疗器械网络安全上市后管理2016年12月28曰FDA-2021-D-1158CybersecurityinMedicalDevices:QualitySystenConsiderationsandContentofPrenarketSubmissions医疗器械网络安全指南2022年4月8日三、欧盟数据战略2017年5月5日,欧盟医疗器械法规(REGULATION(EU)2017/745,简称MDR)正式发布,并于2017年5月26日正式生效。欧盟委员会于2020年4月17日通过关于MDR实施日期推迟一年的建议,MDR生效日期推迟至2021年5月26日。2017年5月5日欧盟体外诊断医疗器械法规(IVDR)正式发布,于2017年5月25日正式生效,并于2022年5月26日实施。自实施之日起,IVDR将取代原欧盟体外诊断设备指令(IVDD)o欧洲医疗器械协调小组(MDCG)于2019年12月颁布了MDCG2019T6指导原则"GuidanceonCybersecurityforMedicalDevices,该指导原则旨在就如何满足MDR和IVDR附件I关于网络安全的所有相关基本要求向制造商提供指导。MDCG的指导原则与其他指南文件的不同之处在于,它是由所有成员国一起撰写,根据MDR和IVDR法规,欧盟市场上投放的医疗器械需确保满足网络安全风险相关的技术挑战的新要求。因此,提出了针对含电子编程系统和软件(本身就是医疗器械)的医疗器械新的基本安全要求。制造商需要按照要求在考虑风险管理原则(包括信息安全性)的同时,根据最新技术开发和制造其产品,并就IT安全措施(包括防止未经授权的访问)制定有关的最低要求。指导原则涵盖了上市前和上市后网络安全的要求,并概述了与每个类别相对应的活动。文中提到一些重要的网络安全要求在MDR中并未明确表述,尤其是与医疗器械使用相关的数据的隐私和机密性,这些要求需要与其他法规,如通用数据保护条例(GDPR)一起考虑。我们熟知ISO14971是对单个医疗器械风险管理的指导,它提出了一个概念叫"合理可预见的滥用”,规定了制造商应在合理可预见的情况下评估风险,而对于涉及网络安全的风险,制造商更要考虑这些风险会不会被作为恶意攻击的对象,概率大小。指南的第三部分着眼于设计控制和生产过程,其中产品设计控制,需要考虑充分实现"设计安全”和“纵深防御"的理念,制造商可以参考工业界被广泛运用的IEC62443系列标准和IECISOTR80001-2-2o另一个对于实现网络安全至关重要的方面是风险控制,在指南的3.5章节、MDRAnnexI都有详细的说明,医疗器械网络风险管理的对象是整个医疗IT网络,当制造商在进行风险-收益分析时候,一定要合理的平衡安全性、有效性、网络信息安全性,需要在它们之间作出取舍时,应以病人利益为核心进行优先级的安排,即安全性具有最高优先级,有效性次之,信息安全再次。指南的3.6章节规范了生产商IT系统最低配置要求,这与MDRAnnexI中针对IT环境设置的要求一致,包括了明确系统整体需求,设立对硬件设施,网络环境和安全措施的要求。对比美国和欧盟针对网络安全的要求,FDA监管深入到产品级,要求制造商根据风险对产品组成部分划分不同风险级别,属于主动防御,而欧盟相对要宽泛,属被动防御。文件号文件名称中文名称发行年份法规2017/745MedicalDevices(MDR):Regulation(EU)2017/745欧盟医疗器械法规2017年5月26日法规2017/746In-vitro-DiagnosticMedicalDeviceRegulation(IVDR):Regulation(EU)2017/746欧盟体外诊断医疗器械2017年5月5日MDCG2019-16MDCG2019-16GuidanceCybersecurityformedicaldevices医疗器械网络安全指南2019年12月第三章医疗器械数据安全存在风险和挑战随着技术发展,医疗器械联网设备激增,分布广泛,应用场景多样,并展露出类型多、型号多、远程运维方式多的"三多"趋势,直接导致安全风险暴露面的增加,原有的安全手段难以应对,由此引发的医疗网络安全风险和挑战与日俱增,主要体现在几个方面:-、医疗器械数据安全治理尚在初期经过等保的推动和落地,大部分医院系统都具有明确的网络安全规范要求,依赖于等保评估的网络安全整改,医院在宏观系统的网络防护层面建设相对成熟。但聚焦于医疗器械场景下,目前现有的医疗器械网络安全防护体系主要参考指导原则,但基于指导原则中针对医疗器械网络安全能力建设,仅给出22种网络安全能力的简要说明,尚未明确与医疗器械(类别:一类、二类、三类)风险等级(低、中、较高)相匹配的网络安全能力建设标准,再加上部分医疗器械厂商关注业务正常运行的考量而忽略其网络安全能力的建设,导致医疗器械在初期设计研发中缺少实现数据保护功能的相应组件,尤其是在数据存储机密性和传输机密性等方面,缺乏相对应的安全防护机制。同时,医疗器械数据安全缺少能够贯穿整体数据生命周期的管理规程和标准,相应的数据安全监管措施无法得到落实,考核体系也无从建立,距离建立符合个人信息保护法、数据安全法以及网络数据安全管理条例(征求意见稿)的成熟数据安全体系还相差甚远。二、医疗器械采集的数据具有临床性质区别于日常网络系统的数据安全治理,医疗器械往往存储着大量的患者个人信息(如身份证号、医保卡号、家庭住址、银行卡号等)以及医生数据诊疗信息(病症处方、检验结果)等医疗数据,同时医疗器械数据还具有其独特的临床性质,即大部分医疗器械中存储着检查、检验过程中具体的化学药物用量或相关设备数据,该部分数据直接作用或间接影响着医生的实际诊疗过程。因此,如果医疗器械未能做到有效的数据安全防护,从而导致敏感信息泄露,不仅仅会造成医患信息泄露,对患者的个人隐私保护造成侵害,同时还有可能影响到医疗器械本身的使用,即攻击者通过特殊手段恶意篡改医疗器械底层数据,导致其无法正常运行,更有甚至会直接影响医院的正常运作。三、医疗器械数据传输缺少足够的机密性保护数据传输本质上就是数据从一个实体传输到另一个实体上的过程,由于目前远程医疗服务、互联网诊疗服务等医疗卫生服务新模式、新业态的发展,越来越多的医疗器械可以通过包括以太网通信方式、蓝牙、串口通信方式等多种渠道完成数据的远程传输。由于传输方式的种类较多,部分医疗器械在其使用前并未针对其数据传输接口开展必要的渗透测试、漏洞扫描等工作,导致其上线后不具备数据传输的完整性、机密性和可用性的安全保障,可能会导致以下风险:1、额外端口或服务的透出:部分医疗器械在生产过程中会预留端口或服务用于相关组件的开发或测试,而在医疗器械上线使用之后,该部分端口仍然继续保持开放,此类端口可能会被作为攻击入口进行恶意渗透,进而控制整个医疗器械。2、未进行严格的双边身份认证:部分医疗器械厂商自行研发协议进行数据交互,而其中一些协议可能不具备严格的双边身份认证流程,无法确保数据交互的双方是完全可信的,从而扩大数据泄露的风险。3、敏感数据未加密传输:医疗器械在传输敏感数据时如果未采用有效的加密方案,则会让医患敏感数据直接明文"裸露”在外。4,医院内网与互联网交叉使用导致无法形成有效的内网隔离:部分医疗器械在涉及到医院内网数据交互与互联网数据交互时,未采用有效的控制方式进行内外网数据传输模式的隔离,导致医院内网环境暴露在外,进而影响整个医院内网环境的网络安全。四、医疗器械数据的存储缺乏明确规范医疗器械从大类上可以分为诊断设备类、治疗设备类和辅助设备类,具体细分可涵盖影像类、检验类、窥镜类、激光类、手术类、辅助治疗类等几十个小类,医疗器械涉及到的数据又可以进一步划分为结构化数据、半结构化数据和非结构化数据。在不同的场景下,所涉及到的医疗器械数据的种类也各不相同,如病历相关医疗器械多存储为数据库中的结构化数据、以XML格式为主的半结构化数据以及PACS系统上存储的DICOM非结构化医学影响文件数据。由于医疗器械的种类繁多,同时缺少明确的管理规范,因此很多医疗器械缺少统一的梳理,大部分医院不具备医疗器械的数据资产表,对于医疗器械资产的统计具有滞后性,往往在其发生数量、种类的变化后,无法准确得到相关的信息,进而无法对新增医疗器械进行实时的感知,从而导致无法对其分发对应的责任人、存储空间位置、访问日志记录等,使其游离在网络安全管理体系范围之外。同时,目前大部分医疗器械及其业务的运维、安全能力多依赖于外部厂商,而由于未能存储相关运维人员的访问行为、操作审计记录,导致医院及相关技术人员无法第一时间通过异常行为流量判断是否为正常业务交互,可能会出现外部厂商的运维人员监守自盗,恶意窃取医疗器械中存在的敏感数据。五、医疗器械使用时安全意识薄弱医院中涉及到的医疗器械的种类和数量均较多,关联的科室、部门和人员更为繁杂。相关资料和案例统计显示,很多安全事件的发生都是由于人为因素,缺少对工作人员以及相关医院机构安全教育的普及。例如医疗器械厂商在设置医疗器械初始化时,多数默认系统账号的密码安全性较低,部分系统未强制要求使用人员更改初始密码,导致很多系统管理员账号密码仅为简单数字组合,除此之外,部分医院相关部门管理人员为了方便使用,未设置复杂度较高的密码,甚至将用户名和密码以明文便利贴的形式贴在公共工作区域,还市场出现医疗器械主机未上锁或钥匙未妥善保存的场景,很容易被有心之人通过暴力破解、物理破解等方式进行攻击,相关部门管理人员网络安全意识的不到位,则造成了很