2025年1月30日 星期四

醫療器材在其生命週期內整合軟體的網路保全(一之三)

楔子:

法國政府的主管機關ANSM(國家藥品安全管理局)2019年7月發布《醫療器材在其生命週期內整合軟體之網路保全指引》,面向醫療器材軟體業者和醫療器材軟體開發者及相關製造商,敘述醫療器材軟體及其涉及軟體的網路保全主要考量事項,並匯整現今歐盟成員國主管機關暨業界推薦實務,提供保護醫療器材免受網路攻擊的建議。

© All Rights reserved. 版權聲明

1. 網路保全的背景與需求

醫療器材聯網方式(如:以Wi-Fi、藍芽、5G等)的持續增加,擴大該等產品遭受網路攻擊的風險。
  • 業界普遍可見的現象係缺乏一致的對策與防治方式,如:具體的風險分析、忽視網路保全要求、未能將網路保全納入醫療器材的設計和開發過程
  • 醫療保健產業面臨網路入侵,疏於防範,甚為脆弱,任何漏洞遭到濫用都可能產生有害衝擊,包括對護理安全和病人健康的直接衝擊。
  • 歐盟的醫療器材條例(即2017/745 MDR,2017/746 IVDR)未針對網路保全做出特定要求,產業界各方須參照條例分散在各處的相關條文要求。故ANSM配合產業界期待而提出該份指引。
  • 該指引旨在幫助製造商及早於設計階段採取必要措施,最大限度地降低醫療器材受到攻擊的風險,從而防止資料外洩或醫療器材的不適當的使用。
註1:醫療器材(medical device)的定義,參見(EU)MDR 2017/745, 第2(1)條;體外診斷醫療器材的定義,參見(EU)MDR 2017/746, 第2(2)條;
註2:軟體(software)係主動式器材(active device),參見(EU)MDR 2017/745, 第2(4)條;
註3:常見之醫療器材軟體如:放射治療規劃軟體(TPS)、評鑑潛在癌性痣的移動式應用程式、個人化計算胰島素劑量的移動式應用程式;
常見帶有軟體的醫療器材如:心律調節器、輸液幫浦、患者監督器材或麻醉工作站。
註4:非醫療器材的軟體如:監測身體健康軟體、鍛鍊體能的教練型軟體;健康手環軟體;法規符合作業用軟體。

2. 安全性、保全性與網路保全的區別方式

  1. 安全性(Safety):指醫療器材的正確運作以及避免隨機和不經意間引發的風險(此處亦包括使用者錯誤)。電腦系統的操作安全性係指使用者能夠信賴提供服務的性質。要獲得安全的作業系統,需要結合數種方法消除可能導致系統故障發生的內部或外部失效因素。以此確保該器材的功能正確運作,例如:確保輸液幫浦以程式設定的流速傳輸製造商預期的準確劑量。
  2. 保全性(Security):指需要確保醫療器材免受可能危及醫療器材操作的外部攻擊。例如:遠端控制方式侵入輸液幫浦並獲得編輯程式功能,可能導致非設定的藥物輸送方式或流量遭到修改。
  3. 網路保全(Cybersecurity):指防止可能危及醫療器材完整性、可獲得性及資訊機密性的故意攻擊。該指引為網路保全給出的定義:為確保醫療器材的完整性、可獲得性及該醫療器材上儲存或發布的資訊的機密性,以防範針對型攻擊的風險,所採取的一組技術或組織層面的措施。
安全性與保全性的主要差異在於所設想的故障性質。根本的區別係操作安全主要涉及無意間導致的故障,安全性則包括故意的故障,即懷著惡意而肇致的故障。實務上系統係視為安全運作,因為發生不良事件的機率被認為足以忽略不計,但該系統不必然是安全的,因為攻擊者會有意地嘗試觸發不良事件。安全的系統必須提供預期的服務,滿足既定規格,且僅限於提供該項服務。安全和保全的兩項概念顯然並非互相排斥。在操作安全領域推薦的方法也可滿足保全方面的多項要求。

保全性的準則如圖1所示:
  • 可獲得性,資訊的取用性、持續性及回復性;
  • 機密性
  • 整合性
  • 可稽核性:追溯性與佐證性。
圖1:網路保全的優先考慮事項。



因為網路的惡意攻擊將長期地影響病患健康,故ANSM指引特別關注醫療器材資訊安全的兩個原則:可獲得性原則及整合性原則。

圖2:資訊系統保全重要原則示意圖



3. 風險評估與管理

法國ANSM考查既有資訊系統安全的風險分析文件,推薦使用EBIOS識別重要資產加以保護,因此等重要資產一旦遭受網路的惡意攻擊將引發資產或人員的嚴重後果。EBIOS的風險管理過程係用於評估風險、協助處理風險、鑑別應該實施的安全要求、按照要求準備保全紀錄以接受風險、匯整提供所有相關資訊,以便溝通風險事宜。

參見圖3:EBIOS的各個階段示意圖



醫療器材風險管理標準ISO 14971(另文介紹)可供製造商運用,從前置階段的風險分析、經過設計與開發、風險評估、測試及確證、申請歐盟CE驗證、投入生產及量產、放入市場、預期使用、後生產階段、維護及服務、監督後市場、直到銷毀或屆滿生命期的整個過程,如圖4呈現概略圖,各階段的投入及產出產出皆須納入風險管理及文件化檔案。

圖4:醫療器材生命週期的風險管理概略圖



  • 風險分析:供後續選定和查證各項措施,以確使保護醫療器材及其前後環節的措施前後一致且有效。
  • 為了整合與網路保全相關的風險,該指引建議製造商結合兩種方法進行風險分析過程:資訊系統安全(ISS)和 ISO 14971。
  • 重要資產列表,包括:
1. 醫療器材為潛在攻擊目標,遭到攻擊將影響病患的健康照護;
2. 醫療器材為潛入媒介,遭到侵入將破壞基礎架構的運作。
3. 需要保護的重要資產事項包括:韌體、醫療配置、加密金鑰、事件日誌和病患資料。
  • 重要資產保全對象逐一列表,考量原則包括:整合性、機密性、可獲得性及追溯性,制定保全機制並實施之,以達到保全對象。
  • 執行詳細的風險分析,評估漏洞、威脅以及對可獲得性、整合性、機密性和可追溯性的衝擊。
  • 一旦確定了重要資產,製造商須定義潛在的漏洞、危險和相關風險,展開對優先準則的衝擊分析。此步驟提供須採取的整套保護措施之總體情況。
圖5:醫療器材資訊系統保全風險分析過程示意圖


(未完,見續篇



張貼者:
標籤: , , , , ,

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)