随着信息技术的发展成熟及经济社会数字化程度不断提升，全球已进入到数字经济阶段。在医疗健康领域，数字技术也正逐步泛在化、深度化。粗略来看，数字技术赋能于医疗器械分三个阶段：第一阶段，赋能各种专业有源医疗器械精确控制，服务于各类专业医生辅助治疗，这个阶段已经非常成熟；第二阶段，赋能各种医疗器械互联，服务于医疗机构设备高效管理和高效运维，以及远程医疗服务，这个阶段正在进行中；第三阶段，通过医疗大数据、人工智能等技术，再次赋能各种专业医疗器械，提供精准治疗、进行早期干预，再造医疗器械，造福全人类。

　　在此过程中，数字安全风险管理的研究也得到了高度的关注。经合组织先后于2008年、2009年、2012年、2014年发布加强数字安全管理的建议文件，并呼吁各国政府要重视数字安全风险管理，特别针对医疗卫生行业的数字安全必须要有完整的解决方案。

　　基于医疗器械监管科学研究方法论，我们发现，具有数字系统或模块的医疗器械将面临数字化带来的额外风险（漏洞、威胁、事件和影响），其中包括数据传输、交换或储存带来的网络安全风险，以及数字系统或模块本身设备控制和运行风险等。而目前监管机构还仅仅是针对系统的网络安全风险的浅层次物理风险来监管，而没有从存在于医疗器械中的数字系统与医疗环境、数字环境、运营环境，以及临床应用整体来考虑。

　　因此，立即开展广泛的数字安全性风险监管研究，并建立符合数字化技术发展进程的检测手段和评价方法将为监管部门有效监管复杂数字化医疗器械做好准备。

　　医疗器械的数字安全风险研究

　　2017年5月，来自安全公司"White Scope"的研究人员分析了7个来自不同制造商的起搏器模型。研究发现，这些医疗器械很有可能被黑客攻击，黑客利用漏洞重新编程，可以停止心脏起搏器电池的运作或者修改心脏跳动的方案。在发现这个漏洞后，FDA召回了46.5万个心脏起搏器，包括美国前副总统迪克切尼(Dick Cheney)所使用的心脏起搏器。

　　史密斯医疗公司的Medfusion4000无线注射器输液泵也是一个例子。这种输液泵在全球范围内使用，用于在疾病护理环境中往注射器中输送小剂量药物。据ICS-CERT在2017年9月报道，这些设备包含8个可以远程利用的漏洞。

　　据Gartner Research称，到2020年，25％的医疗保健攻击将来自物联网设备。SANS报告称，医院中大约17％的网络攻击来自医疗终端，报告中77％的医院表示医疗设备的安全风险是他们最关心的问题。

　　已经曝光的案例只是医疗器械数字安全风险的冰山一角。一切数字环境（数字化、网络化、智能化）都存在客观或主观缺陷或漏洞，甚至是超出生产制造商、用户和监管机构的预测。

　　医疗器械不同于一般IT设备，会对人体产生物理、化学、生物等关键作用，拥有长达数十年的生命周期，系统构成和接口标准化程度弱，且采购费用高昂。在这些特征下，直接采用传统的网络安全风险管理方式并不适宜。

　　针对医疗器械数字安全风险，需要关注以下几点：

　　首先，医疗器械数字安全风险是描述应用、开发和管理医疗器械数字系统的风险，风险包括数字系统的自身安全风险和网络安全风险，可能会因为信息安全、系统安全、网络安全、数据安全和运营安全等问题导致医疗系统应用的失败。数字安全风险具有动态性，包括数字系统、物理环境、操作人员以及操作规程等多种风险来源。

　　其次，医疗器械数字风险管理是对目标医疗器械及操作人员采用的一系列标准化的行动，使得数字系统在收益最大化的情况下实现风险可控。该管理能力需要总体观、系统观，灵活性、周期性并可以循序渐进，从而实现数字技术带来的巨大收益与数字风险的合理平衡。

　　此外，医疗器械数字风险利益相关者，包括监管部门、生产者、医疗服务机构、医生和患者等政府、企业、机构和公众。其中，风险控制的决策者是监管部门及医疗器械管理部门，风险的受害者通常是患者或医疗服务机构。

　　医疗器械数字安全风险研究，一方面，要关注涉及数字资产（硬件、软件、网络和数据）的检测或导致物理过程发生变化的操作技术，包括设计、维护和操作它们的内外部实体、人员和流程，以及它们之间的关系；另一方面，还要深入研究复杂数字系统对医疗器械带来的额外风险，例如人工智能系统算法带来的伦理问题而引起的算法安全风险、软件系统自动更新带来的实时系统运营风险、系统容错能力与实时恢复、联网带来的医疗器械运行风险等。

　　简而言之，在数字环境中，虽然我们不知道如何建立100%可靠的系统，但是我们可以尽最大可能进行风险管理——任何系统的运行都会存在风险，我们可以通过构建科学的监管体系，科学的产品设计和生产，并运用科学的监管手段，使风险与关键活动匹配，确保其风险可控，将损失降低到可接受的范围内。

　　国外相关法规、标准和研究

　　最近5年来，FDA一致致力于创建可识别风险及保护消费者的全新的医疗器械网络安全监管架构，着眼于打造一个强大的医疗设备病患安全网，寻求各种法规的可能性，设计更安全的医疗设备，改善医疗设备的网络安全，以包含上市前、上市后的“产品全生命周期”策略来保障设备安全。

　　欧盟根据2017/745法案设立的MDCG（医疗设备协调小组）于2019年12月发布了《医疗设备网络安全指引》（Guidanceon Cybersecurity for medical devices），展示了欧盟在这个领域的最新研究成果以及最佳实践建议，研究了网络安全对医疗器械安全性和有效性的关联与影响。

　　2019年10月，国际医疗器械监管机构论坛（IMDRF）发布了《医疗设备网络安全的原则和实践》（Principles and Practices for Medical Device Cybersecurity）草案，强调医疗器械全生命周期的安全风险管理，协调各个参与方的安全责任。

　　海外产业资本不断投入医疗器械数字安全领域，成为新热点。据不完全统计，仅2018年，累计接近2亿美元的风险投资投入美国和以色列专注于医疗器械数字安全领域的9家初创公司。

　　在信息物理系统（CPS）数字安全领域，电子电器的功能安全（Safety）与信息安全（Security）之间的关系与协调，也形成了一些成果、方法和工程实践，体现在工业控制领域的IEC61508、IEC62443，和智能汽车领域的ISO26262、ISO/SAEDIS21434等标准里。这方面的成果，也可为同为信息物理系统的医疗器械数字安全风险管理提供借鉴。

　　2019年12月11日，经合组织通过了《关于关键活动数字安全的委员会建议》（Recommendation of the Councilon Digital Security of Critical Activities），建议的总体政策框架由四部分构成：制定战略方法以管理关键活动的数字安全风险、通过9类方式建立支撑数字安全风险管理和关键活动弹性的能力、建立基于证据的监视和监管周期、将数字安全风险整合到国家风险管理的关键活动。

　　对我国的启示和建议

　　我国没有参加经合组织的数字安全工作组，在数字安全研究和管理方面尚未与国际接轨，一方面，这是因为我国在数字系统风险领域网络安全问题较为突出，国家大量投入探测和防止国内外的网络攻击和病毒侵犯；另一方面，我国各应用机构对数字系统的安全性要求均仅限于黑盒测试的结果，并未考虑系统的全生命周期安全风险。但随着5G、物联网、大数据、区块链及人工智能系统大量应用，对数字系统的安全性要求将会超出传统的网络安全和数据安全范畴，需要关注更加广泛的数字安全风险管理研究。

　　在医疗器械领域，特别需要关注如下几类风险：

　　一是网联带来的设备运行风险。由于大多数的医疗器械在采购使用初衷并未有联网的需求，单设备存在明显的数字安全缺陷并未暴露。我国尚未就在用大型重要医疗器械网联后对设备的影响进行系统的评估工作，设备运行偏离预期的风险程度尚属未知。因此，对于医疗器械网联的风险评估、测试实验等相关工作迫在眉睫，在此基础上还需增加风险缓解和风险管理措施。

　　二是医疗设备的数据安全风险。监管部门曾经在飞行检查中发现某些型号的医疗器械存在向境外发送数据的情况。在大规模网联以及新一代智能型医疗器械大量使用的背景下，如何规范医疗器械的设计、生产、使用，使其符合我国《网络安全法》相关规定，也是一项迫切的工作。

　　三是人工智能、大数据等新兴技术在医疗器械中的应用风险。目前，已经发现了针对人工智能的攻击方法，无论是污染学习样本还通过人工智能软件执行中的程序错误，均会对算法执行结果带来精确的误导，但是尚未看到在医疗领域相关的人工智能数字安全性研究方面的报道。这也是值得关注非常重要的监管科学研究方向。

　　（李安渝，四川大学医疗器械监管科学研究院常务副院长；李成斌，哈尔滨安天科技集团股份有限公司创新业务事业部总工程师。）

【相关链接】

国际监管动态|国际医疗器械数字安全风险监管概述

本文仅代表作者观点，不代表本站立场。

(责任编辑：满雪)