医疗设备安全的变革：制造商的责任

关键要点

• 医疗设备的安全性问题主要由医疗机构负责，但这并不合理。
• FDA 正在逐步推动设备制造商承担更多的安全责任，可能会要求设备供应商提供软件材料清单。
• 医疗设备的安全标准有明显提升，但仍需大量改善。
• 可能会出台强制性漏洞披露制度，以提高设备安全透明度。

当前，确保医疗设备安全这一复杂任务主要落在了医疗提供者身上，尽管一些技术领先的实体也未能解决系统性的设备安全问题。但如果将责任回归给开发者，状况会怎样呢？

幸运的是，食品药品监督管理局（FDA）最近采取了一系列行动和调查，表明设备制造商或许将在不久的将来面临更加严格的监管要求。从更新网络安全指导规则到可能强制要求每款设备附带软件材料清单，针对医疗设备安全的措施正在进行全面革新。

MedCrypt 的首席执行官 Mike Kijewski 表示，这一转变来得恰逢其时。

医疗机构的困境

尽管有些例外，绝大多数医疗提供者并不具备解决长期医疗设备问题的技能。Kijewski 透露，一家中型医院大约有 200 张床位，但仅有两名 IT人员，想要全面保护成千上万的连接终端显得“毫无逻辑”。

例如，Scripps Health 受到网络攻击和故障的事件便是此情况的典型例子。“被勒索软件攻击瘫痪并不一定意味着安全管理不善，”Kijewski表示，“即使你采取了所有防护措施，依然可能发生坏事情。但是，如果 Scripps没能保护自己，小型医院又该如何呢？他们根本无法做到，想象他们能做到是荒谬的。”

Kijewski 强调，正确的做法是今天就采取行动，以便五年后医院拥有那些在安全设计上得到强化的设备，这样医院的安全责任就会减轻。

安全标准的提升

这种转变已经在发生。Kijewski 指出，过去一年提交的医疗设备和 2017年提交的设备相比，安全性至少提高了一倍，甚至可能增加到十倍。然而，尽管有所进步，医疗行业的起点仍然较低，因此还有大量工作亟需完成。一些制造商仍未达到所需标准，但整体来看，设备制造商的趋势无疑是朝着正确的方向发展。

大多数产品安全负责人对产品安全的重视程度都有所提升，然而在历史上，吸引企业高管对产品安全进行投资显得尤为艰难，因为这往往被视为可做与不可做的事情。

强制性漏洞披露的可能性

2016 年 FDA发布的上市后指导文件，为那些主动报告漏洞并参与自愿协调漏洞披露的设备制造商提供了监管优势。数据显示，文件发布后的头几年，漏洞的披露迅速增加，某些估计表明，从
2016 年到 2018 年，披露率增长了 400%。

Kijewski 表达了希望，“我们希望人们能报告这些漏洞。”然而，绝大多数的漏洞警报仅来自少数几家制造商。

FDA 发现近年来未获批准的设备数量因网络安全问题上升，制造商的开发思路也随之改变，开始意识到有效的网络安全对获得监管批准的重要性。

新时代的 FDA

在 四月的 CyberMed 会议上，FDA 战略合作伙伴和技术办公室主任 Suzanne Schwartz 证实，FDA正在倾听医疗领导者的行动呼吁，强调其并“不等待伤害发生后才采取措施”，正积极改善其指导政策和监管规则，寻找医疗设备安全的解决方案。

Kijewski 强调，FDA 近期对设备制造商的问询已更加详细，开始关注设备的安全机制和潜在缺陷，这是之前未曾做到的。

穿透测试与设备安全

在安全方面，FDA 询问如何判断所采取的安全控制措施是否有效，穿透测试（penetrationtesting）便是一种有效的方法。“穿透测试有时是明确进行的，设备制造商会事先规划邀请测试公司发现问题；而有时则是在用户或研究人员联系厂家时隐性发生的。”
Kijewski 表