洞見 | 國際醫療器械數字安全風險監管及對我國的啟示
- 2020-07-15 15:56
- 作者:李安渝 李成斌
- 來源:中國食品藥品網
隨著信息技術的發展成熟及經濟社會數字化程度不斷提升,全球已進入到數字經濟階段。在醫療健康領域,數字技術也正逐步泛在化、深度化。粗略來看,數字技術賦能于醫療器械分三個階段:第一階段,賦能各種專業有源醫療器械精確控制,服務于各類專業醫生輔助治療,這個階段已經非常成熟;第二階段,賦能各種醫療器械互聯,服務于醫療機構設備高效管理和高效運維,以及遠程醫療服務,這個階段正在進行中;第三階段,通過醫療大數據、人工智能等技術,再次賦能各種專業醫療器械,提供精準治療、進行早期干預,再造醫療器械,造福全人類。
在此過程中,數字安全風險管理的研究也得到了高度的關注。經合組織先后于2008年、2009年、2012年、2014年發布加強數字安全管理的建議文件,并呼吁各國政府要重視數字安全風險管理,特別針對醫療衛生行業的數字安全必須要有完整的解決方案。
基于醫療器械監管科學研究方法論,我們發現,具有數字系統或模塊的醫療器械將面臨數字化帶來的額外風險(漏洞、威脅、事件和影響),其中包括數據傳輸、交換或儲存帶來的網絡安全風險,以及數字系統或模塊本身設備控制和運行風險等。而目前監管機構還僅僅是針對系統的網絡安全風險的淺層次物理風險來監管,而沒有從存在于醫療器械中的數字系統與醫療環境、數字環境、運營環境,以及臨床應用整體來考慮。
因此,立即開展廣泛的數字安全性風險監管研究,并建立符合數字化技術發展進程的檢測手段和評價方法將為監管部門有效監管復雜數字化醫療器械做好準備。
醫療器械的數字安全風險研究
2017年5月,來自安全公司"White Scope"的研究人員分析了7個來自不同制造商的起搏器模型。研究發現,這些醫療器械很有可能被黑客攻擊,黑客利用漏洞重新編程,可以停止心臟起搏器電池的運作或者修改心臟跳動的方案。在發現這個漏洞后,FDA召回了46.5萬個心臟起搏器,包括美國前副總統迪克切尼(Dick Cheney)所使用的心臟起搏器。
史密斯醫療公司的Medfusion4000無線注射器輸液泵也是一個例子。這種輸液泵在全球范圍內使用,用于在疾病護理環境中往注射器中輸送小劑量藥物。據ICS-CERT在2017年9月報道,這些設備包含8個可以遠程利用的漏洞。
據Gartner Research稱,到2020年,25%的醫療保健攻擊將來自物聯網設備。SANS報告稱,醫院中大約17%的網絡攻擊來自醫療終端,報告中77%的醫院表示醫療設備的安全風險是他們最關心的問題。
已經曝光的案例只是醫療器械數字安全風險的冰山一角。一切數字環境(數字化、網絡化、智能化)都存在客觀或主觀缺陷或漏洞,甚至是超出生產制造商、用戶和監管機構的預測。
醫療器械不同于一般IT設備,會對人體產生物理、化學、生物等關鍵作用,擁有長達數十年的生命周期,系統構成和接口標準化程度弱,且采購費用高昂。在這些特征下,直接采用傳統的網絡安全風險管理方式并不適宜。
針對醫療器械數字安全風險,需要關注以下幾點:
首先,醫療器械數字安全風險是描述應用、開發和管理醫療器械數字系統的風險,風險包括數字系統的自身安全風險和網絡安全風險,可能會因為信息安全、系統安全、網絡安全、數據安全和運營安全等問題導致醫療系統應用的失敗。數字安全風險具有動態性,包括數字系統、物理環境、操作人員以及操作規程等多種風險來源。
其次,醫療器械數字風險管理是對目標醫療器械及操作人員采用的一系列標準化的行動,使得數字系統在收益最大化的情況下實現風險可控。該管理能力需要總體觀、系統觀,靈活性、周期性并可以循序漸進,從而實現數字技術帶來的巨大收益與數字風險的合理平衡。
此外,醫療器械數字風險利益相關者,包括監管部門、生產者、醫療服務機構、醫生和患者等政府、企業、機構和公眾。其中,風險控制的決策者是監管部門及醫療器械管理部門,風險的受害者通常是患者或醫療服務機構。
醫療器械數字安全風險研究,一方面,要關注涉及數字資產(硬件、軟件、網絡和數據)的檢測或導致物理過程發生變化的操作技術,包括設計、維護和操作它們的內外部實體、人員和流程,以及它們之間的關系;另一方面,還要深入研究復雜數字系統對醫療器械帶來的額外風險,例如人工智能系統算法帶來的倫理問題而引起的算法安全風險、軟件系統自動更新帶來的實時系統運營風險、系統容錯能力與實時恢復、聯網帶來的醫療器械運行風險等。
簡而言之,在數字環境中,雖然我們不知道如何建立100%可靠的系統,但是我們可以盡最大可能進行風險管理——任何系統的運行都會存在風險,我們可以通過構建科學的監管體系,科學的產品設計和生產,并運用科學的監管手段,使風險與關鍵活動匹配,確保其風險可控,將損失降低到可接受的范圍內。
國外相關法規、標準和研究
最近5年來,FDA一致致力于創建可識別風險及保護消費者的全新的醫療器械網絡安全監管架構,著眼于打造一個強大的醫療設備病患安全網,尋求各種法規的可能性,設計更安全的醫療設備,改善醫療設備的網絡安全,以包含上市前、上市后的“產品全生命周期”策略來保障設備安全。
歐盟根據2017/745法案設立的MDCG(醫療設備協調小組)于2019年12月發布了《醫療設備網絡安全指引》(Guidanceon Cybersecurity for medical devices),展示了歐盟在這個領域的最新研究成果以及最佳實踐建議,研究了網絡安全對醫療器械安全性和有效性的關聯與影響。
2019年10月,國際醫療器械監管機構論壇(IMDRF)發布了《醫療設備網絡安全的原則和實踐》(Principles and Practices for Medical Device Cybersecurity)草案,強調醫療器械全生命周期的安全風險管理,協調各個參與方的安全責任。
海外產業資本不斷投入醫療器械數字安全領域,成為新熱點。據不完全統計,僅2018年,累計接近2億美元的風險投資投入美國和以色列專注于醫療器械數字安全領域的9家初創公司。
在信息物理系統(CPS)數字安全領域,電子電器的功能安全(Safety)與信息安全(Security)之間的關系與協調,也形成了一些成果、方法和工程實踐,體現在工業控制領域的IEC61508、IEC62443,和智能汽車領域的ISO26262、ISO/SAEDIS21434等標準里。這方面的成果,也可為同為信息物理系統的醫療器械數字安全風險管理提供借鑒。
2019年12月11日,經合組織通過了《關于關鍵活動數字安全的委員會建議》(Recommendation of the Councilon Digital Security of Critical Activities),建議的總體政策框架由四部分構成:制定戰略方法以管理關鍵活動的數字安全風險、通過9類方式建立支撐數字安全風險管理和關鍵活動彈性的能力、建立基于證據的監視和監管周期、將數字安全風險整合到國家風險管理的關鍵活動。
對我國的啟示和建議
我國沒有參加經合組織的數字安全工作組,在數字安全研究和管理方面尚未與國際接軌,一方面,這是因為我國在數字系統風險領域網絡安全問題較為突出,國家大量投入探測和防止國內外的網絡攻擊和病毒侵犯;另一方面,我國各應用機構對數字系統的安全性要求均僅限于黑盒測試的結果,并未考慮系統的全生命周期安全風險。但隨著5G、物聯網、大數據、區塊鏈及人工智能系統大量應用,對數字系統的安全性要求將會超出傳統的網絡安全和數據安全范疇,需要關注更加廣泛的數字安全風險管理研究。
在醫療器械領域,特別需要關注如下幾類風險:
一是網聯帶來的設備運行風險。由于大多數的醫療器械在采購使用初衷并未有聯網的需求,單設備存在明顯的數字安全缺陷并未暴露。我國尚未就在用大型重要醫療器械網聯后對設備的影響進行系統的評估工作,設備運行偏離預期的風險程度尚屬未知。因此,對于醫療器械網聯的風險評估、測試實驗等相關工作迫在眉睫,在此基礎上還需增加風險緩解和風險管理措施。
二是醫療設備的數據安全風險。監管部門曾經在飛行檢查中發現某些型號的醫療器械存在向境外發送數據的情況。在大規模網聯以及新一代智能型醫療器械大量使用的背景下,如何規范醫療器械的設計、生產、使用,使其符合我國《網絡安全法》相關規定,也是一項迫切的工作。
三是人工智能、大數據等新興技術在醫療器械中的應用風險。目前,已經發現了針對人工智能的攻擊方法,無論是污染學習樣本還通過人工智能軟件執行中的程序錯誤,均會對算法執行結果帶來精確的誤導,但是尚未看到在醫療領域相關的人工智能數字安全性研究方面的報道。這也是值得關注非常重要的監管科學研究方向。
(李安渝,四川大學醫療器械監管科學研究院常務副院長;李成斌,哈爾濱安天科技集團股份有限公司創新業務事業部總工程師。)
【相關鏈接】
本文僅代表作者觀點,不代表本站立場。
《中國醫藥報》社版權所有,未經許可不得轉載使用。
(責任編輯:滿雪)
右鍵點擊另存二維碼!
-
為你推薦
互聯網新聞信息服務許可證10120170033
網絡出版服務許可證(京)字082號
?京公網安備 11010802023089號 京ICP備17013160號-1
《中國醫藥報》社有限公司 中國食品藥品網版權所有