医疗设备网络安全的新规将于10月生效

关键要点

随着即将到来的10月1日，美国食品药品监督管理局（FDA）
将解决两个严重的医疗设备安全问题：要求新提交的设备在设计时考虑安全，以及要求提供软件材料清单（SBOM），以便网络安全防护人员能够识别这些设备中的漏洞。

这一声明获得了广泛的共识：“终于来临了。”

医疗设备安全一直是医疗行业面临的最大网络安全挑战之一，原因在于复杂的生态系统、对传统技术的依赖，以及很多直接接触患者的设备在设计时并没有考虑安全性。最终，保障设备基础设施安全的责任落在了医疗服务机构的身上。

即使是最具装备的医疗系统，也难以迎接这一挑战。虽然老旧设备和基础设施问题在短期内不会因这一新设备要求而受到直接影响，但这意味着数字创新可以更加有意识地向前推进安全。而最终，老旧设备将不再是个大问题。

“这真是令人振奋，”MedCrypt的网络安全质量与安全高级总监NaomiSchwartz在接受采访时表示。“过去十年来，美国的监管机构还没有这样针对网络安全的改变。”

十年前，是国防部 推动对商业产品的监管。她补充道：“自那时以来没有出现这样的活动。接下来的几年里，我们将看到更多这样的行动。”

FDA发言人向SC媒体表示：“从2023年10月1日起，FDA希望网络设备的赞助商有足够的时间准备含有所需材料的市场前提交，并计划拒绝那些不包含这些材料的市场前提交。”

对于关注医疗行业的人来说，FDA在3月29日的通知应该早有预期。根据2023年12月29日签署的《综合拨款法案》，该机构获得了对新设备提交进行上述更改的权限。

正如早前在1月所报道的，这一行动通知开发者和制造商他们的时间到了。FDA被赋予了明确的时间表来实施这些措施和权限。

一些媒体暗示，10月1日的最后期限实际上是网络要求的新提交的延迟，但有证据表明，FDA已经开始退还一些未满足特定标准的提交。

MedCrypt首席执行官MikeKijewski表示，甚至一些制造商也错误地将新闻解读为“延迟执法”。相反，“这一天终于来了”，而“FDA相当体贴地给了大家六个月的时间来整理材料。”

最新声明给开发者设定了一个“截止日期”，他们将开始因网络安全漏洞拒绝设备的提交。Schwartz告知SC媒体，这并不意味着FDA会让制造商“松一口气”。

然而，这确实意味着，即使是现在，新提交的设备也将面临互动审核，以确保这些设备符合现行网络安全标准和新要求。

FDA设备与放射卫生中心战略伙伴关系与技术创新办公室主任Suzanne Schwartz已告诫制造商，这并不是不采取这些网络安全措施的借口。

相反，制造商应该将此视为六个月的缓冲期，或FDA给予的支持，以使其设备达到标准。FDA发言人向SC媒体表示：“在这六个月内，FDA仍要求制造商提供必要信息，以确保网络设备符合新的网络安全要求。”

“如果这些材料不完整，或不符合新的标准，那么FDA将在我们互动审核过程中与赞助商合作，确保这些要求得到满足后再开始接受提交。”发言人补充道。

与任何监管变更一样，制造商也进行了大量反对。某安全负责人评论说：“在嵌入的库和包中计算 CVE 并不等于网络安全。”

坦率地说，没有人声称这解决了医疗设备的安全问题。相反，增加的SBOM要求、漏洞披露和所有新提交的安全要求，将需要战略性的实施、适当的审核、机构资助和对审核