FDA的医疗器械网络安全改革具有真正的意义

美国食品药品监督管理局 (FDA) 本周实施了有关医疗设备网络安全的新指南，长期以来，医疗设备网络安全一直是医疗机构和患者都关注的风险领域。

该政策是 FDA 为防止胰岛素泵和心脏监测器等设备易受黑客攻击而进行的一系列尝试中的一项，专家表示这一次，FDA 的举措实际上可能会有所作为。

立即生效，建议医疗设备制造商提交“一份计划，以在合理的时间内酌情监控、识别和解决上市后的网络安全漏洞和漏洞利用”。

制造商还被要求“设计、开发和维护流程和程序，以合理保证设备和相关系统是网络安全的”。这包括“在合理合理的定期周期内”提供补丁，并“尽快不按周期”提供新发现的关键漏洞。

最后，FDA 要求新设备准备好软件物料清单 (SBOM)。

对于某些人来说，FDA 指南可能会唤起人们对之前未能以任何实际方式改善这一关键领域网络安全的行动的记忆。

但专家表示，这条漫长的道路终于到达了一个真正的转折点。从现在开始，不符合这些标准的新医疗器械将被禁止进入市场。

这实际上是一个在过去大约 10 年里发生的过程，而且它在两天前就实现了。

网络危机中的医疗设备

很长一段时间以来，医疗设备安全一直是网络安全中一个令人担忧的滞后领域，原因有很多。

医疗保健机构通常使用遗留 IT 并拥有未分段的扁平网络，即使患者的医疗设备越来越多地连接在一起。设计安全性并不常见。

医疗设备制造商可能在设计高度可靠和创新的设备方面非常有经验，但他们不一定是安全专家。

事实上，最尖端的医疗设备有时会引入旧设备从未有过的新安全问题。

互联网连接为供应商带来了许多好处，同时也为黑客提供了机会。在2022 年医疗保健物联网设备安全状况报告中，医疗保健物联网公司 Cynerio 发现，超过一半的联网医疗设备都容易受到攻击，例如，四分之三的静脉注射泵。

因此，网络犯罪分子可以轻松闯入医院网络并在其中肆虐，到达他们选择的任何端点，包括这些救生设备。

如果设备容易被未经授权的用户接管，这可能会对患者造成潜在的身体后果。风险不是理论上的：Proofpoint 的 Ponemon Institute 于 2022 年 9 月发布的一份报告将死亡率增加 20% 与针对医疗保健组织的网络攻击联系起来。

当发现错误时，设备制造商在及时发布补丁方面的记录很糟糕（就像大多数物联网设备的情况一样），而医疗机构在实施方面的记录更糟糕他们。

不安全的一个原因是这些设备的寿命更长，因为它们被设计为持续很长时间，否则这是一件好事。

它们可能已经过时或运行过时的软件，任何不一定是最新的操作技术 (OT)都更难维护。这更难部署补丁；在医院运营期间很难找到时间更新设备。

考虑到该行业普遍存在的安全漏洞，以及一旦发生安全漏洞所带来的巨大后果，许多人敦促政府做的不仅仅是提供解决问题的“建议”。

FDA 的新牙齿

12 月 29 日，拜登总统签署了《综合拨款法》，也称为综合法案，其中包括第 3305 条“确保医疗设备的网络安全”对《联邦食品、药品和化妆品法》的修正案。它于星期四生效，即 Omnibus 通过后的 90 天。

那么现在发生了什么？制造商需要时间来改变他们的流程，新产品需要时间来整合新的规则和法规（更不用说医疗保健通常比其他行业更慢，必然地）。FDA 已经安排了六个月的时间，直到 10 月 1 日，让制造商适应新的道路规则。

从现在到那时，FDA 将与制造商“合作”以确保合规性，该机构在随附的通知中阐明。一旦 10 月 1 日到来，FDA 预计此类网络设备的赞助商将有足够的时间进行准备。

届时，他们将开始发布“拒绝接受”(RTA) 决定，以防止任何不符合规定标准的设备进入市场。

制造商在问：‘这什么时候会影响到我们？’” “而且 FDA 正在澄清：‘我们要到 10 月才会开始拒绝接受，这样你们就有时间更新所有文件并减轻一点压力和恐惧。但别开玩笑了，你们最好得到你的东西在接下来的六个月内准备就绪，因为它即将到来。

仍有待观察的是 FDA 将如何在设备向公众发布后执行其规则。防止机器进入医院是一回事，但确保供应商满足这些指南中概述的许多其他要求，例如定期监控、一致的补丁和负责任的漏洞披露，需要永无止境的监督。

这肯定会增加 FDA 的开销，看看他们如何处理这件事会很有趣。

真实可见变化的时间表

即使制造商开始生产符合政策的设备，对医疗设备网络安全的彻底改革也需要一段时间。

医疗设备可能非常昂贵，在医院更换医疗设备需要预算，需要培训。有时甚至需要改变建筑和基础设施。所以这需要很多年。第 3305 节没有指定医疗保健提供者更换其现有旧设备的最后期限。

尽管如此，我们已经看到更好的安全设备进入市场，特别是因为美国并不是唯一开始要求对设备进行安全强化的地方。

尽管 FDA 的政策可能需要一段时间才能产生真正的成果（现在下结论还为时过早），但回顾 2023 年，我们可能会将其视为该行业的分水岭。

这将有助于 FDA 的工作人员，它会帮助整个行业，它会激励人们停止在路上踢罐子，现在就开始屈服。