FDA 9 月 27 号最新发布！SBOM 将作为医疗设备上市的重要参考材料！

一、前言

大家好，这里是安势信息。

随着互联网和具有网络连接功能的各种便携式媒体设备（如 USB 或 CD）的普及，网络与医疗设备在当下有着频繁的信息交互。因此，为确保医疗设备的安全性和有效性而采取强有力的网络安全控制措施变得更加重要。

同时，随着“万物互联”的发展，单个的医疗设备器械一般都只是作为大型医疗设备系统中的一个单一原件。这些系统可能包括医疗设施网络、其他设备和软件更新服务器，以及其他相互连接的设备或组件。因此，如果不认真对待这些系统中各方面的网络安全隐患，网络安全威胁就会通过破坏系统中各种设备或组件的功能从而危及设备的安全性和有效性。因此，确保设备的安全性和有效性需要优先考虑设备的网络安全，这也是该设备所处系统的网络安全的一部分。

二、原文解析

基于现今全球都面临的医疗器械设备网络安全隐患，在今年的 9 月 27 日，美国食品和药品监督管理局（后续简称 FDA）发布了一项指南，该材料是《医疗器械的网络安全指南：质量体系需考虑的因素和上市前需提交的材料》。（后续简称《指南》）

（PS：原文标题为《Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions—Guidance for Industry and Food and Drug Administration Staff 》原文链接文末附上。）

因此，《指南》虽不具备法律效力或约束力，但是其中提到的对于医疗器械上市前需提交材料的各种建议，是对于想要通过 FDA 认证并进入美国市场的厂商来说是非常重要的参考来源。

对于全球的医疗设备生产商来说，其生产的各类医疗器械设备能够准入美国市场的前提条件是需要通过 FDA 机构的检验和评估，这些在产品设备进入市场前需提交用于证明设备有效性及安全性的材料被称为“上市前提交材料”，而《指南》则为众多医疗器械生产商提供了可选可参考的“上市前提交材料”内容的建议（主要围绕安全性相关）。

需要被提交的材料范围如下：

• Premarket Notification (510(k)) submissions;（上市通知）

• De Novo requests; （De Novo 分类请求）

• Premarket Approval Applications (PMAs) and PMA supplements; （上市批准申请及补充文件）

• Product Development Protocols (PDPs); （产品开发协议）

• Investigational Device Exemption (IDE) submissions; （试验设备豁免申请，简称 IDE）

• Humanitarian Device Exemption (HDE) submissions; （人道主义设备豁免申请，简称 HDE）

• Biologics License Application (BLA) submissions; （生物制剂许可，简称 BLA）

• Investigational New Drug (IND) submissions. （新药研究申请，简称 IND）

《指南》共从以下三个方面为相关产业工作人员提供了建议：

• 一般原则

• 通过 SPDF 进行管理网络安全风险

  
  

  (Secure Product Development Framework，安全产品生产框架）

• 网络安全透明度

1. 一般原则

《指南》中一般原则对提高设备网络安全非常重要，遵循这些原则能对设备的安全性和有效性产生积极影响。本《指南》中的建议涵盖可能影响设备安全性和有效性的所有相关网络安全考虑因素，包括但不限于软件、硬件和固件。一般原则主要如下点：

1. 网络安全是设备安全和质量体系法规的一部分

2. 从安全角度进行产品设计

3. 保障设备整个生命周期中与之相关的网络安全信息的透明度

4. 提交与网络安全风险相匹配的产品设计文档及其他材料

2. 通过 SPDF 进行网络安全风险管理

对于单一的医疗器械设备或更大的医疗器械系统所面临的网络安全风险来说，使用 SPDF 方法不失为一种有效的控制手段。以下各小节从几个方面提供了使用 SPDF 流程的建议，FDA 认为这些流程为开发安全有效的医疗器械提供了重要的参考，比如这些流程如何补充 QS （Quality System）法规，以及如果作为上市前提交材料时需考虑的事项。相关建议如下：

A. 安全风险管理

• 威胁建模

• 网络安全风险评估

• 交互性考虑因素

• 第三方软件

• 未解决异常情况的安全评估

• TPLC 安全风险管理

B. 安全架构

• 安全管控的落地

• 安全架构视图

3. 网络安全透明度

无论从最终用户角度还是大型的风险管理框架（如 NIST CSF）的角度来看，为了更好的对医疗设备系统中的安全风险进行管理，网络安全透明度都是确保安全有效地使用和整合设备与系统的重要因素。这种透明度可以通过设备标签和制定制造商漏洞管理计划来传达。然而，不同类型的用户（如制造商、服务提供商、患者）因其角色的权力和义务各不相同，那么为了确保持续的网络安全而采取的行动也各不相同。基于此，在《指南》中 FDA 提供了对于提升网络安全透明度的两大项建议如下：

• 针对存在网络安全风险的设备的标签（labeling）建议

• 制定网络安全管理计划的建议

三、SBOM 的重要性

一方面，在全球范围内，美国 FDA 在医药卫生与食品行业具有极高的权威性和公信力，能够通过 FDA 认证的相关医药卫生产品及食物，说明其安全性和有效性有一定的保障。

另一方面，对于全球范围内的医疗器械生产商来说，其产品出口到美国市场都需要通过 FDA 的认证，这也意味着 FDA 的认证是其上市流通的“通行证”。

在《指南》原文中多次提到了 SBOM，一方面 SBOM 对于医疗器械生产商来说是其产品上市前的重要材料之一，另一方面，SBOM 的存在的确是能够有效降低医疗器械网络安全风险的切实可行手段，接下来，我们将结合《指南》不同章节中提到 SBOM 的情况为大家进行分析及探讨。

1. 安全风险管理与 SBOM

在网络安全方面，安全风险管理流程至关重要，因为网络安全威胁和风险处于不断变化中，没有任何设备是完全安全的，也不可能是完全安全的。安全风险管理应成为制造商整个质量体系中的一部分，并在整个 TPLC 中不断完善和加强。

所以为了为记录医疗器械系统的安全风险管理活动，FDA 建议制造商制定安全风险管理计划和报告，对于安全风险管理报告，FDA 在《指南》中明确建议在安全风险管理报告中需包含 SBOM。具体如下文：

“Manufacturers should include their security risk management reports—including the outputs of their security risk management processes—in their premarket submissions to help demonstrate the safety and effectiveness of the device. A security risk management report, such as that described in that in AAMI TIR57, should be sufficient to support the security risk management process aspect of demonstrating a reasonable assurance of safety and effectiveness. Such report should include the documentation elements for the system threat modeling, cybersecurity risk assessment, Software Bill of Materials (SBOM), component support information, vulnerability assessments, and unresolved anomaly assessment(s) described in the sections below.”

—《指南》章节 V 第 A 节

从安全风险管理的角度来看，一方面 SBOM 是机器可读的软件物料清单，这使得 SBOM 能够实现一定程度上的自动化，而安全风险管理显然是需要一定的自动化土壤才能“茁壮生长”的；另一方面，SBOM 是对各类网络安全漏洞进行溯源以及修复的重要依据，只有明确了漏洞与不同组件之间的对应关系，才能降低医疗器械在面对不同威胁和不同的环境时的网络安全风险。

2. 第三方软件与 SBOM

前文对于《指南》内容的简要介绍中可以看到，安全风险管理主要由 6 个部分组成，而在《指南》中，在安全风险管理中的第三方软件中又再次提到了 SBOM。

软件在当下对于医疗设备来说已经是非常重要的一个组成部分，其重要程度与设备本身的硬件甚至更大。正如 FDA 指南 Off-The-Shelf (OTS) Software Use in Medical Devices 和 Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software 中提到的，医疗器械通常包含第三方软件，这些第三方软件中有闭源和开源软件。当纳入这些软件时，软件的安全风险应成为整个医疗器械系统风险管理计划中的一部分，而 SBOM 是一种有助于管理供应链风险以及明确识别和跟踪设备所含软件的重要工具。具体如下文：

”To assist FDA’s assessment of the device risks and associated impacts on safety and effectiveness related to cybersecurity, FDA recommends that premarket submissions include SBOM documentation as outlined below. For cyber devices, an SBOM is required (see section 524B(b)(3) of the FD&C Act). SBOMs can also be an important tool for transparency with users of potential risks as part of labeling as addressed later in Section VI.“

—《指南》章节 V 第 A 节第 4 点

上述原文指出 SBOM 能够有效提高 FDA 部门对与网络安全相关的医疗设备的安全和有效性的评估效率。所以 FDA 强烈建议将 SBOM 纳入到上市前提交的材料中去，同时对于网络设备来说，美国《食品与药物法案》中也有对应的细则对 SBOM 的提交做出了规定，同时 SBOM 也应该作为设备标签的一部分来帮助用户了解潜在风险，这一点在后续的 VI 这一章节会提到。

（FD&C Act 524（b）(3)原文：provide to the Secretary a software bill of materials, including commercial, open-source, and off-the-shelf software components;）

与此同时，在 FDA 的另外两份指南性材料：Off-The-Shelf (OTS) Software Use in Medical Devices 和 Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software 中，也对 SBOM 做出了一定的要求：

A) SBOM 需要是机器可读的

B) SBOM 中包含的基本要素应符合 NTIA 对于基本要素的定义

对于众多医疗设备生产商来说，软件部分可能会向第三方进行采购，很多第三方软件中除了其自研软件还集成了大量的开源软件，这将进一步增加医疗设备的网络安全风险，因此，对于这些第三方软件进行风险管理的有效手段就是 SBOM（不论是向第三方采购抑或是自行开发），制造商们也应该建立符合其安全流程的 SBOM 管理方案从而规避软件供应链带来的相关网络安全风险。

3. 网络安全透明度与 SBOM

网络安全透明度指无论是对于医疗设备终端的使用方，抑或是与各种医疗设备息息相关整个医疗系统来说，其涉及的硬件与软件的可溯源性以及各类医疗设备在其整个 TPLC 期间产生的信息变更同步给用户的可达性。因为网络安全风险并非静态，而是会随着时间推移以及环境变化而不断变化，因此透明度高低对于抵御这种非静态的风险是至关重要的。

在《指南》中，FDA 明确提升透明度的两大建议分别围绕着“具有网络安全风险的设备标签（labeling）”与“网络安全管理计划”展开。其中关于网络安全风险的设备标签这部分也再次提到 SBOM 的相关建议。FDA 强烈建议该类设备的标签中应包含 SBOM，原文如下：

“An SBOM as specified in Section V.A.4. or in accordance with an industry accepted format to effectively manage their assets, to understand the potential impact of identified vulnerabilities to the medical device system, and to deploy countermeasures to maintain the device's safety and effectiveness. Manufacturers should provide or make available SBOM information to users on a continuous basis. If an online portal is used, manufacturers should ensure that users have up-to-date links that contain accurate information. The SBOM should be in a machine-readable format.”

—《指南》章节 VI 第 A 节

从“continous”一词度来说，持续性的信息更新是一项重要指标，SBOM 中的组件成分并非是一成不变的，一旦某个组件发生了版本的变更或者更替，那么其对应的风险也将产生变化，所以制造商需要对 SBOM 进行管理并定期的更新。

四、总结

总而言之，很多软件之所以易受攻击往往是由于漏洞的存在，所以对漏洞的更新和发现显得尤为重要，SBOM 的存在使得各类组件能够及时进行溯源，从而在漏洞发布之后能够第一时间基于 SBOM 对漏洞进行修复。在《指南》的附录 4 中，FDA 对于上市前提交文件的各项内容和风险进行了分级，其中 SBOM 不同于其他材料的“可选”，而是直接被作为“推荐”选项（标红），这也可以窥见 SBOM 对于防范网络安全风险的必要性。原表如下：

表 1：Recommended Premarket Submission Documentation

医疗保健中各个领域都少不了相关医疗设备的支持，医疗设备与患者安全息息相关，所以医疗设备的网络安全无法忽视。我们回头看，2017 年 WannaCry8 勒索软件影响了全球的医院系统和医疗设备，造成大量的患者的治疗诊断被延误。2020 年德国一家医院遭到勒索软件攻击，迫使病人转到另一家医院，这将直接对病人护理造成不好的影响。不难发现，用于临床专科的各种医疗设备中也有很多的第三方组件，这些组件都是非常普遍的（例如 URGENT/1110 和 SweynTooth），这些常用的第三方组件使得设备的安全隐患进一步增加。SBOM 之所以重要，是因为医疗设备的软件供应链上下游复杂且不易追溯，相信在不久的将来，SBOM 的应用将为医疗设备的网络安全提供更大的保障。

原文链接：Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions | FDA