醫療器材產業的網路安全威脅

隨著科技的快速發展，網路安全已成為許多產業不可或缺的一環。隨著網路攻擊的風險滲透到醫療照護產業，美國國會也迫於壓力必須採取行動。隨著一系列醫療裝置 (靜脈注射泵、磁力共振掃描機、心率監測器) 進一步能夠連接至數位網路，它們越來越容易受到網路相關風險的威脅。

網路安全風險持續增加

造成醫療裝置網路安全威脅增加的因素有許多。最直接的因素就是醫療產業的連線湧入。越來越多的醫療裝置被設計成可連線至網際網路和其他數位網路。儘管這些技術進步有許多好處，但卻讓軟體 - 以及病患的資料 - 開啟了一個充滿風險的世界。駭客可以利用軟體或網路連線的漏洞存取敏感資料，甚至接管裝置本身。在這些情況下，由於無法持續使用裝置，產品回收對病患的生命尤其危險。

還必須考慮修復的概念。有時，連線裝置可以透過空中軟體修補程式來修復。鑑於某些裝置的性質及其對病患健康的重要性，軟體修補程式或召回都不是簡單的解決方案。此外，醫院和醫療中心所安裝的重型設備和儀器，如 MRI 掃描器、X 光機和超音波機等，也無法輕易從其實際位置移除。由於這些裝置與醫院網路的連線越來越多，因此也容易受到網路威脅。如果軟體修補程式無法遠端修復這些裝置，則通常需要派遣現場工程師進行檢查、診斷和現場修復。

召回的可能性不僅取決於實際事件，也取決於網路攻擊的易受性。先發制人的弱點測試在識別這些裝置安全結構的弱點上扮演關鍵角色，有助於在事件發生前減緩其發生。透過持續的評估，以及對已發現的漏洞進行修復，醫療照護提供者和製造商可以提升關鍵醫療設備的整體網路安全性，降低傷害病患和資料外洩的風險。

醫療設備監管機構急於跟上快速發展的技術。即使如此，整個產業仍沒有標準化的安全規範。因此，製造商無法設計出具備強大安全系統的產品，將責任推給醫療照護提供者，讓他們盡力評估裝置的安全性。許多醫療裝置都是建構在不符合現代安全標準的傳統系統上。這些系統可能特別容易受到網路攻擊，而且更新以防範現代威脅的工作更具挑戰性，也更昂貴。

國會分配網路安全資金

在最近的立法通過之前，美國食品藥物管理局 (FDA) 無權執行網路安全指引。2022 年 12 月簽署成為法律的法案稱為「2023 年綜合撥款法案」（H.R. 26217）--在整個財政年度內持有 1.7 兆美元的可支配資源，是美國歷史上最高的非國防撥款水平--具有遏制網路安全威脅的最大潛力。該綜合撥款法案包含了大量用於政府計劃和經濟發展的資金，如農村發展和基礎設施、自然保護、動植物健康、農業和銷售研究等。

其中，35 億美元分配給 FDA，以解決包括阿片類藥物危機、醫療供應鏈問題，以及是的 - 改善醫療裝置的網路安全。值得注意的是，它還首次賦予 FDA 建立和執行醫療設備網路安全標準的權力。

綜合撥款法案」如何提供協助

綜合撥款法案包含數項針對醫療器材網路安全的規定，同時增加了 FDA 的監管權力。

首先，安全要求將以前所未有的聯邦層級實施。製造商必須執行安全控制，以防止未經授權存取裝置、確保醫療裝置在網路攻擊中仍可存取，以及保護病患的機密性和資料。每家製造商都必須向 FDA 提交一份全面的網路安全計畫，以接受上市前核准的審查，其中將詳細說明其程序，以確保消費者可獲得上市後的軟體和韌體更新。

措施還將要求製造商提高透明度和問責性。現在，製造商必須在特定的時間範圍內向 FDA (以及受影響的病患) 報告網路安全事故，並提供最新的補救工作進度以及防止類似事故發生的計劃。

由於網路威脅所導致的產品回收和修復問題經常發生，而且隨著各機構（例如 FDA）對製造商決策的公開批評越來越多，製造商必須紛紛效法，照章行事，以防止公眾反彈。因此，有更多動力去遵循專家的建議，建立包含如何因應產品相關危機的召回和修復計畫。此外，還建議製造商參與模擬召回演習，作為其風險管理協議的一部分。

有些條款不只針對醫療器材製造商，例如其中一項重要條款是在 FDA 內設立一個新中心，專門改善和協調醫療器材的網路安全工作。網路安全卓越中心將開發並實施標準和最佳實務，為製造商和醫療保健提供者提供指導，並評估裝置的安全性。重要的是，這將在製造商和聯邦政府之間架起一座橋樑，為解決醫療器材產業的網路安全問題開闢一條前進的道路。

其他條款促進利益相關者之間的資訊分享與合作；FDA 將被要求建立公私合作夥伴關係，以促進產業內的網路安全。FDA 也有義務建立新的試驗計畫，以評估網路安全弱點報告，並提供該機構關於風險的重要資料。

預計影響

現在，FDA、製造商和醫療保健提供者將被要求攜手合作，涉及缺乏清晰度或透明度問題的問題可能終於得到解決。在製造商方面，由於製造商須在回收報告中詳細說明網路安全資訊、確保高層級安全標準，並向該機構報告資訊，因此 FDA 和醫療保健提供者將可獲得大量資訊，以便更好地瞭解與醫療裝置相關的網路安全風險。

相反地，要求 FDA 提供上市後審查的指導、建立專門的中心來制定標準，以及建立針對弱點的試驗計畫，製造商 (和醫療保健提供者) 將會獲得有用的知識，有助於改善問題領域，降低產品召回的風險。

當醫療器材危及病患時，迅速採取行動變得至關重要。除了患者的健康之外，醫療器材召回還會對公司的品牌和底線造成破壞性的影響，並使公司面臨監管行動和訴訟。Sedgwick 的品牌保護專家提供數十年的醫療器材經驗 - 協助您開發、強化、測試和執行產品召回計劃或補救程序。

瞭解更多 >造訪我們的網站，探索我們在醫療器材領域的經驗