來源：生策會編譯

閏年、總統大選、奧運等重要大事每四年一次，除此之外還有美國FDA將加強網絡安全措施，以保護連網醫療設備(IoT in Healthcare)。繼2018年和2014年發布之後，該機構關於這一主題的最新指引草案（PDF）近日出爐。 美國FDA指出，當涉及到網絡安全問題時，定期修訂和更新是特別必要的，因為 "快速發展的環境和面臨威脅及其潛在緩解措施來進一步了解"，以及越來越多針對醫材和醫療機構的駭客攻擊。

該指引圍繞四個核心原則：(1)網絡安全是整個設備安全的一個關鍵部分、(2)安全元素需要崁入整個設備的設計中、(3)揭露網絡安全措施和漏洞透明度的重要性，以及(4)要求在設備的監管申請中探討所有潛在之漏洞。

美國FDA表示：“這些建議綜合起來，可以促進高效的上市前審查流程，並有助於確保上市的醫療設備對網絡全威脅有足夠的彈性"。

為了確保所有這四項中心原則都存在於設備的開發和最終提交的FDA文件中，該機構建議藥材設備製造商建立並採用安全產品開發框架，或稱SPDF，它被描述為 "在整個設備生命週期中減少產品漏洞數量和嚴重程度的一套流程"。SPDF應包括設備製造商的風險管理努力，其每個設備的安全架構和網絡安全測試的細節。

在第一類中，美國FDA為風險管理策略提供了一些建議，然後可以在上市前提交的文件中描述。 它們包括對設備的所有潛在威脅進行建立模型，並在提交審查前對設備軟體的所有錯誤、缺陷和其他異常情況進行徹底評估。FDA還要求開發商將所有第三方零組件納入其網絡安全風險評估，最好是編制一份 "軟體材料清單"，列出設備的每一個零組件，以便更容易地確定任何未來漏洞的來源。

同時，一個設備的安全架構，"定義了系統和所有進入和/或離開系統的端到端連結。透過在上市前審查過程中提交該資訊，該機構將能夠更好地評估其安全性並權衡任何潛在的駭客風險。

最後，除了對設立醫療備解決指定健康問題的能力的典型測試外，美國FDA還要求醫材設備製造商將他們的產品通過網絡安全的考驗，並以與臨床試驗文件相同的方式提交這些結果，包括產品對安全的要求、減少威脅的努力以及漏洞和滲透測試(Penetration Test, PT) 。

自2014年美國FDA為醫療設備製造商敲定第一份網絡安全指引以來，一直在穩步加強其抵禦網絡攻擊的努力。例如，在2021年初，該機構在設備和放射健康中心 (Center for Devices and Radiological Health;CDRH)任命了有史以來第一位醫療設備網絡安全主任。 該機構任命密歇根大學(University of Michigan)副教授兼安全和隱私研究小組主任Kevin Fu博士以代理身份擔任這項職務。

資料來源：FierceBiotech