ANSM 指引
(見前篇)© All Rights reserved. 版權聲明。
二、 開發
L. 挑選程式語言:
製造商主導的軟體開發,宜合理考量挑選之程式語言,制訂編碼規則,且依品質管理系統予以管制、做出確證及迴歸測試。例如,具有強大資料類型機制的語言有助於避免某些錯誤。
醫療器材軟體開發將需要透過使用中自動檢查的查核以符合編碼規則。此法允許自動化漏洞偵測。旨在生產「透過建構確保安全」的軟體。可以使用開源工具、專有工具或自訂工具。此等工具須足以檢查公認標準中所述的屬性,例如 MISRA C/C++、CWE、SANS Top 25、CERT、OWASP 等。
M. 確證方法:
建議醫療器材軟體設計者明確敘述預期的軟體功能,得以為每個功能開發相關的試驗程序和類型(基於要求的測試、程式碼分析)。
當執行試驗時,建議量測程式碼的結構覆蓋率,並且必須為測試未覆蓋的所有程式碼之編碼行提供理由。死代碼(未敘述且不可測試的編碼)須刪除之。
N. 安全啟動、整合記憶事項及敏感資料
聯網型醫療器材須具備在啟動和操作期間檢查器材軟體和敏感資料的完整性和真實性的功能。醫療器材須有顯示正在使用的軟體最新版本和敏感資料的功能。此點亦適用更新過程。
器材依照SNMP (簡單網路管理協定) 標準在網路上散播自身配置的資訊。網路管理員依照通訊協定得以用於管理該項網路上的各個設備,以及遠端監控和診斷硬體和網路問題。因此建議使用最新安全版本的 SNMP 協定(使用舊版可能會引入嚴重漏洞)。
O. 醫療器材保護機制:
醫療器材自行監督功能包括設定在啟動時和醫療器材操作期間運作的自我檢測機制。原則是在適當的時間並儘可能頻繁地提供完整性檢查,這將取決於相關DMIL(醫療器材整合邏輯)的類型。示例:
- 啟動時執行韌體完整性檢查(安全啟動)
- 每次存取永久儲存(非揮發性記憶體NVM、大容量儲存)期間進行記憶體完整性檢查
- 每次啟動或從休眠狀態啟動時產生的軟體完整性的自我監督,
- 啟動時執行的硬體完整性自我監督
- 自動監督醫療器材電池
使用攻擊偵測器(如:光線、溫度變化等)得能在發生攻擊時偵測到異常情況。若偵測到異常情況,醫療器材會自動從標準操作模式切換到安全的失效保護模式。例如:當發生警報時,配備駕駛員偵測器之安全積體電路觸發降級模式。
P. 文件化:
文件化可涵蓋組成醫療器材的所有硬體和軟體組件(版本、作業系統)的技術屬性。此資訊宜透過線上使用者區域或以紙本格式存取。醫療器材整合軟體(MDIS)須制訂必要內容,如下示:
- 聯網型醫療器材因行政管理所提供使用者操作的工作站:硬體功能、作業系統版本、中間件和驅動程式、週邊設備等
- 供使用者操作的工作站的性質:硬體性能、操作系統版本、仲介元件和驅動程式、週邊設備等。
- 軟體的規格、來源程式碼、可執行文件以及測試過程和結果。
備註:上述建議適用於醫療器材整合軟體生命週期的每個階段。
Q. 軟體查證與確證
- 建議應用適當的查證方法和工具,以確保軟體中不再有漏洞(安全記憶體管理:資料庫、原始作業系統或硬體等)。盡量最小化出現異常的風險,並確保軟體符合規格(如:攻擊模擬、分析工具)。
- 鼓勵製造商將其醫療器材提交給安全評鑑過程(例如: CSPN 或 ANSSI:係ANSSI23 提出的通用準則)。醫療器材放入市場前須進行評估,然後當每次醫療器材需要大修時予以更新。
R. 啟動生產與確證過程
- 建議製造商提供啟動生產過程清單。為系統整合商提供將醫療器材整合到健康資訊系統中的安全建議和要求指引。醫療器材每逢重要更新時宜一併更新前述事項。
- 供應商和/或製造商承諾僅啟用操作聯網型醫療器材所需的那些服務,及為該等服務僅啟用操作係稱醫療器材所需者。
- 在整合外包服務(分包商、採購管理、合併未知來源的軟體(SOUP)之前建立接收檢查系統。宜事先定義好規格方得順利完成,而整合新元件僅在查證其完全滿足規格後,才會執行確證;建議在未經執行適當檢查的情況下,不要整合外部元件。如:某些超音速聲音技術(HSS)版本的資料庫須鑑別漏洞,經由試誤法試驗資料庫,方得以整合SOUP(未知來源的軟體)。
- 此亦涉及接收檢查類型的方法,因為不宜局部排除資料導入,可以採取相關做法,
- 成為製造商風險分析的必要組成部分。例如:凡涉及使用可能破壞系統的物理介質(如:USB 殺手)時,執行相關的風險評鑑;
- 受到控制:製造商必須為導入醫療器材的資料提供過濾系統(導入醫療器材的資料的安全性)。例如:如果在連接到磁振造影(MRI) 設備的工作站上使用 USB 金鑰,則需要對資料進行加密,或者需要設置惡意代碼檢測系統。
三、 配銷與初次使用
S. 初始參數及系統配置的管理
建議對初始設定和配置階段進行規劃,並使其與早期階段執行的整體風險分析保持一致。- 預設密碼宜在安裝期間或首次登入時更改,並且應為各使用者自屬的。
- 根據使用環境提供加密金鑰的廣泛使用。從設計階段開始,就遵循「一個密碼供一次使用」的基本原則。
- 可以設置防範病毒的解決方案,前提是此等解決方案不會妨礙醫療器材的正確操作。然而,該規定不適用於主動植入式醫療器材。
- 必須盡可能經常地按規劃期間更新,特別是在安裝/初始化階段。
- 醫療器材交付後,存放一段期間才啟用時,須安排初始階段之更新。
T. 醫療器材整體性的保護器材
- 建議製造商提供使用者一份在啟動階段須採取的預防措施清單,具體取決於安裝類型和相關醫療器材類型。該等預防措施將取決於已連接系統的數量、其使用方式、網路樹狀結構。
- 例如:對於連接到資訊系統網路的單一醫療器材,預防措施會有所不同,須不是通過伺服器連接到資訊系統次網路的醫療器材,用於遠端控制硬體,而資訊系統次網路自身則經由互聯網連接到遠端維護系統。
- 醫療器材宜帶有查核整體性的機制,例如:更新簽名的查證。
U. 包括使用時的適宜性/考慮最終用戶
- 應對威脅時,建議製造商採取因應措施,並將該等措施納入其適宜性開發計劃中。安全措施須配合適宜於使用者受到安全威脅的情況。
- 疏忽和誤用並非惡意行為的結果,但從而產生的衝擊可能與攻擊類似,可能會造成易於遭到駭客利用的漏洞,或者影響系統可獲得性。
- 若是無意地修改警報和警告消息的設置情況,可能引致產品的品質、提供的服務、環境、個人健康或安全發生災難性後果。
- 如果該密鑰攜帶病毒,則使用 USB 密鑰在隔離系統之間傳輸資料可能會導致系統不可用。
- 在上述兩個案例,根據實際經驗,涉案個人無意造成傷害。然而,它對系統架構產生了明顯的實際衝擊。此類疏忽的常見情況,例如:由於缺乏員工訓練、缺乏有關資安問題的資訊。因此,建議提供用戶參與資訊保全過程、軟體設計須考慮可訪問性和人體工程學、宜具備適當的訓練計劃。
- 建議製造商考慮醫療器材在緊急情況下的使用情形,包括發生威脅時。
- 應指定正確實施設備所需的服務規定:訓練、安裝、投入生產、系統運行支持、協助起草文件和設置支援方面的使用者要求。
可以識別多種使用者類型:
- 維護技術人員,不是最終使用者、醫療保健專業人員或製造商。
- 每天使用設備的醫療器材的終端點使用者
- 具有更高許可權的使用者,由其負責製造商不在現場時提供一級支援,並將監督任何符合資格的變更(硬體或軟體)。在實務上,通常由現場生物醫學工程師擔任此角色。製造商須提供適宜的、對特定用戶的訓練。
四、 監督過程,後市場管理
隨著技術的迅速發展,未能從初始就識別出醫療器材整個生命週期中可能存在的所有漏洞。上市後監督係識別新的弱點,才能做出反應及降低患者風險的重要主動式管理方法。「網路保全法」要求製造商設定監督漏洞的系統。為因應驗證醫療器材過程之需,製造商須制定漏洞登記系統。
V. 歐盟的醫療器材條例(2017/745 MDR,第87條)和體外診斷醫療器材(2017/746 IVDR,第82條)條例規定報告嚴重事件和現場安全矯正措施的義務。:
- 涉及歐盟市場上提供的器材之任何嚴重事件,但本屬預期之副作用不適用,此種副作用在產品資訊中明確記錄並在技術文件中予以量化,並根據第 88 條提供趨勢報告;
- 與放入歐盟市場的器材有關的任何現場安全矯正措施;以及若是採取現場安全矯正措施的原因不限於在第三國提供的器材,且該器材亦放入歐盟市場,亦須包括在第三國銷售的器材採取的任何現場安全矯正措施”
製造商須通知法國醫療器材主管機關ANSM,與醫療器材和體外診斷醫療器材相關的任何不良事件或風險,亦需提供調查案件所需的全部詳細資訊:在給定時間範圍內回答其他問題,並在60天內提交最終報告。該報告必須包含一項分析,證明所採取的措施是適當的,或佐證說明無須採取此類措施的合理性(因果分析、頻率等)。
通報的表格和程序(依循歐盟的MEDDEV)可在 ANSM 網站取得。該報告需要收集、記錄、識別、處理、評鑑和調查與使用醫療保健產品相關的事件或不利影響的持續過程。其目的是監督此等產品的安全使用,並通過實施矯正與/或預防措施來防範涉及使用的所有相關風險。
- 使用者通報的所有醫療器材不良事件須加以分析。
- 與產品中嵌入的技術相關的漏洞須提供常態性與前瞻性監督。須對所有事件進行分類。此類監督係為執行矯正措施所需。
- 當製造商獲知不良事件的風險(識別到的漏洞與/或威脅)時,須知此項漏洞遭到利用的風險持續存在。使用監督系統以預測該等風險係屬必要。
- 製造商宜知悉所有已識別的漏洞,並迅即實施矯正措施。
- 例如:管理未知來源的軟體(SOUP)中異常事項的過程須有效果,方足以矯正未知來源的軟體(SOUP)編輯單位發佈的漏洞(參見標準 IEC 62304)。
W. 軟體更新方法、維持方法:
建議為軟體設置安全更新功能,確保其真實性和完整性。明確識別參與更新程序的個人。其角色須明確地定義。強烈建議在更新過程中進行強化式身份查證。
X. 保全警報事件時的因應措施
如果發生攻擊,使用者將會是第一個做出反應的人。故建議製造商提供文件化的採行措施清單,以便使用者知道如何回應警報消息。
當發生攻擊或攻擊未遂後,醫療器材必須滿足安全準則。宜考慮下述四個面向:
- 確保患者(或醫療機構的資訊系統)的醫療器材安全運作;
- 確保醫療器材的可使用性;此處涉及設置失效保護模式或隔離系統;
- 檢查醫療器材資料的完整性和機密性(查證攻擊前/攻擊後的一致性,確保維護資料的完整性);
- 通知使用者。
一旦觸發警告信號將依次觸發失效保護模式。此係保證患者安全的最初級程度的操作模式。失效保護模式將繼續運行,直到可以實施矯正措施,之後器材可以返回安全運作模式。
製造商宜制定業務連續性計劃(BCP,Business continuity plan),以確保無論遇到什麼問題,資訊都保持在可用狀況。尚須提供事件發生後的災難恢復計劃。
例如:遭受攻擊時,胰島素泵啟動到自主運行模式(預先程式設計之流速),並發出警報。
五、 生命期終止
不同情況下,可能會導致軟體程式結束生命週期:- 軟體不再供預期使用(要求項目之聲明)
- 需要將資料遷移到其他介質或其他醫療器材;遷移到更有效率或較新的系統;
- 軟體與/或硬體在升級時的待選擇事項、容量、設置、自動修改等方面過時。
如果醫療器材資訊系統(MDIS)的軟體已過時,無法更換或更新,則整個醫療器材視為已經過時。
Y. 醫療器材內第三者軟體(縮寫為COTS)
例如:操作系統、資料庫、商業套裝軟體等)的生命週期終止,須在設計階段詳細考慮,涉及末端媒介體管理,醫療器材製造商須確保媒介體的長期特性足以維持;須採取適合方法處理醫療器材內生命週期終止的第三者軟體。例如:須早在設計階段就已制定計劃,以防止 Windows 10(或後續版本)版本更新及何時將會逾時。考慮到電腦作業系統的平均壽命為六到八年(如:創建、維護、結束維護期),如果醫療器材的預期壽命為十年,則需要處理更新作業系統的問題。
Z. 醫療器材資料的生命期終止管理
- 在抹除任何資料之前,根據醫療器材的類型及其使用方式,可能需要將資料從醫療器材中傳輸出來並恢復之,以進行儲存或重複使用。將資料提取到另一個系統的過程應該是安全的。根據歐盟通用資料保護條例(GDPR),資料可攜權利是一項基本原則。
- 資料傳輸(虛擬或透過硬體)是個潛在的漏洞點。務須在保全狀況下為之。此事項需要實施資料可攜性程序以及依循密碼學良好實務應用。
- 使用醫療器材時,敏感資料可以儲存在不同的硬體媒體(例如:硬碟、磁帶、USB 金鑰、CD、DVD 等)或遠端伺服器上。
- 建議供應商依照現今良好實務要求實現保全資料抹除功能,例如:儲存媒體完全加密。
- 從媒體中刪除資料係於實務上有其困難之處。儲存媒體的完全加密增強此類過程的安全性。短期內,用於加密儲存媒體上資料的密鑰「忘記」掉即足矣,畢竟密鑰通常僅佔據幾個位元組。
- 涉及資料主機的強制要求,須遵守公眾健康法規第L1111-8條;此外,製造商宜奠定SecNumCloud的管制基礎。
ZA. 硬體
- 一旦醫療器材上保存的資料須加以管理,換句話說,一旦該等資料須予以抹除或傳輸它處,下一步就是硬體的保全回收。
- 法國國家網路安全域 (ANSSI) 亦發佈關於抹除以前帶有敏感資訊的磁性(硬碟或磁帶)和非磁性儲存介質(如 USB 金鑰或 SD 卡)的建議指引:
- 建議指引:「抹除大容量儲存介質」
- 指導:「儲存在硬碟驅動器上以供回收或匯出的資料保密性的技術指導」
