（FDA每周通訊2019年2月1日發布） 美國食品藥品管理局（FDA）工作人員1月29日稱，對醫療器械領域網絡安全來說，陳舊醫療器械（legacy medical devices）是一個“難以克服的挑戰”。FDA相關負責人也在同一天表示，解決這些醫療器械帶來的安全風險是FDA面臨的關鍵挑戰之一。

　　Suzanne Schwartz是FDA醫療器械與放射健康中心（CDRH）科學與戰略伙伴關系部門副主任，她在為期兩天的FDA網絡安全研討會上稱，陳舊醫療器械對于醫療機構來說至關重要，它們通常因為價格昂貴而很難更新，同時又無法通過新的安全措施進行修補或升級。這些陳舊醫療器械脆弱、易受攻擊的狀態亟待改變，它們應有更強的適應性以應對當前復雜的網絡安全問題。

　　該研討會的目的是討論FDA于2018年10月發布的“Content of Premarket Submissions for Management of Cybersecurity in Medical Device”（醫療器械網絡安全管理上市前提交內容指南草案）。該指南草案旨在指導醫療器械制造商應如何在其上市申報資料中提交網絡安全內容。

　　Schwartz同時還關注陳舊醫療器械如何實現FDA關于網絡安全的三個原則，即可信賴性（trustworthiness）、透明（transparency）和適應性強（resilience）。她表示，雖然陳舊醫療器械的網絡安全問題通常被認為是上市后監管的問題，但事實上，所有醫療器械都將不可避免地變得陳舊和過時，特別是那些價格昂貴的醫療器械，在這些器械仍然可以被繼續使用的時候就將它們更換成新器械顯然不合理。因此，將醫療器械設計成為在其全生命周期內適應性強、可升級，是產品在上市前的設計開發階段就應該考慮的問題，而不只是上市后監管的問題。

　　在研討會召開的前一天，美國醫療保健和公共衛生部門協調委員會（HSCC）剛剛發布一項聯合安全計劃，旨在為開發和維護醫療器械和其他醫療信息技術中的網絡安全功能提供基于產品全生命周期考量的指南。FDA負責人贊揚了HSCC的計劃，并呼吁通過產品全生命周期來解決網絡安全問題。

　　有專家在研討會上指出，醫療器械利益相關方仍未就陳舊醫療器械的定義達成一致。包括來自FDA、醫院、醫療器械制造商和網絡黑客在內的與會代表，對“陳舊醫療器械”都有自己的定義。但值得鼓勵的是，一些醫療器械制造商已開始就“陳舊醫療器械”和醫療器械的網絡安全進行理念變革。一位醫療器械制造商代表形容醫療器械行業開始重視網絡安全這一理念的轉變，就好比汽車制造商開始將行駛安全作為產品最大賣點的轉變。

　　FDA和醫療器械利益相關方表示，解決方案之一是使用網絡安全材料清單（cybersecurity bill of materials , CBOM）。該清單要求制造商列出該醫療器械容易受到網絡安全攻擊的軟件和硬件組件。

　　Schwartz表示，制造商還應該披露產品的薄弱環節，通過信息共享等方式使利益相關者了解可能的網絡安全威脅，從而實現FDA的第三個網絡安全原則——透明。向醫療機構提供網絡安全材料清單，就可以幫助他們在網絡安全事件發生之前很好地管理其網絡訪問，并優先考慮降低風險。（編譯/楊宇希 作者/Roza David）