監(jiān)管機構表示 FDA在設備網絡安全準備方面存在缺陷

HHS的檢查員辦公室在一項新的審計中稱FDA的政策和程序不足以應對醫(yī)療設備的上市后網絡安全威脅。

OIG發(fā)現(xiàn)，具體而言，F(xiàn)DA尚未充分測試其應對涉及設備的網絡安全緊急情況的能力，并且19個地區(qū)辦事處中有兩個沒有書面的標準操作程序，涵蓋易受攻擊設備的召回。

美國食品和藥物管理局表示，該報告描述了該機構對醫(yī)療設備網絡安全的監(jiān)督“不完整和不充分”。

在過去兩年中針對該行業(yè)的一波攻擊浪潮之后，美國政府機構正在努力改善解決和預防醫(yī)療設備和醫(yī)療保健組織網絡安全風險的戰(zhàn)略，其中包括2017年5月的高調WannaCry漏洞。

本周早些時候，HHS正式啟動了一個名為HC3 的衛(wèi)生部門網絡安全協(xié)調中心，以促進政府機構和行業(yè)之間的協(xié)調和信息共享，以確定模式并加強對威脅的檢測。

10月，F(xiàn)DA與Mitre Corporation聯(lián)合發(fā)布了一份網絡安全手冊，F(xiàn)DA和國土安全部宣布了一個協(xié)調醫(yī)療設備網絡安全工作的新框架。

該機構于7月份公布的醫(yī)療器械安全行動計劃要求整合設備和放射健康中心的上市前和售后辦公室。

OIG的審計重點是FDA在進入市場后解決醫(yī)療設備網絡安全問題的內部流程。該報告稱，雖然FDA有解決醫(yī)療設備出現(xiàn)的某些問題的程序，但這些程序不足以應對網絡安全事件。OIG說，原因是該機構沒有充分認定網絡安全是一種新興的公共衛(wèi)生風險。

FDA不同意OIG的結論，即它沒有評估企業(yè)級的醫(yī)療設備網絡安全，并且其先前存在的政策不足。在一份冗長的回復中，F(xiàn)DA科學與戰(zhàn)略合作伙伴關系副總監(jiān)Suzanne Schwartz表示，該機構已經并且仍然積極主動地解決這個問題，并且已經實施了OIG的一些建議。

施瓦茨寫道：“ 就像受監(jiān)管設備不斷變化的性質 - 以及網絡安全面臨的威脅 - FDA的監(jiān)管方式并非一成不變。我們已經并將繼續(xù)完善和擴展我們已經實施的監(jiān)管框架。”

OIG推薦FDA：

持續(xù)評估醫(yī)療設備的網絡安全風險并更新其計劃和策略。

建立書面程序和實踐，以便與主要利益相關者安全地共享有關網絡安全事件的敏感信息。

與聯(lián)邦機構合作伙伴簽訂正式協(xié)議，即國土安全部工業(yè)控制系統(tǒng)網絡應急響應小組，確定與醫(yī)療設備網絡安全相關的角色和職責。

建立并維護處理易受網絡安全威脅的醫(yī)療設備召回的程序。

鄭重聲明：本文版權歸原作者所有，轉載文章僅為傳播更多信息之目的，如有侵權行為，請第一時間聯(lián)系我們修改或刪除，多謝。

推薦內容