如何判断医疗器械是否需要做网络安全测试

随着医疗云计算、远程医疗、人工智能技术的普及，越来越多的医疗器械通过其配套的软件连接网络进行电子数据交换或远程控制以提升医疗水平。由于医疗器械软件涉及到患者隐私和医疗数据的安全，因此医疗器械软件的网络安全一直都是监管部门十分关注的问题。
一、哪些医疗器械适用于网络安全测试
电子输注泵：
用于将输送到患者体内。电子输注泵通常需要与计算机系统进行通信，以便医护人员可以控制注入泵，调整输送量等。然而，如果这个通信过程没有采取保护措施，可能会利用计算机网络攻击电子输注泵，擅自调整输送量，对患者造成伤害。下面是一些可能的网络安全威胁：
1.通过Wi-Fi或蓝牙攻击：一些电子输注泵可以通过无线网络连接到计算机系统，以便医护人员进行控制和监测。如果电子输注泵连接到一个不安全的Wi-Fi网络或蓝牙网络上，可能会利用这些漏洞进行攻击。2.通过恶意软件攻击：可能会开发恶意软件，利用漏洞入侵电子输注泵的计算机系统。一旦控制了电子输注泵的计算机系统，他们就可以远程控制电子输注泵，并对输送量进行操纵。

无电子数据传输、交换的机械血压表：
根据《医疗器械网络安全注册审查指导原则（2022 年修订版）》的规定，针对没有形成电子数据传输或交换的器械，并不需要进行网络安全测试。这是因为这些设备并不需要连接到互联网或其他设备进行通信，所以他们没有网络安全方面的风险。这里需要注意的是，电子数据既包括医疗数据，也包括设备数据（记录医疗器械运行状况的数据（含日志），用于监视、控制医疗器械运行或者医疗器械的维护与升级，不得含有个人信息）。

二、网络安全法规要求
国家药监局器审中心在2022年3月更新了两个相关指导原则：①《医疗器械软件注册审查指导原则（2022年修订版）》（简称《软件指导原则》）②《医疗器械网络安全注册审查指导原则（2022年修订版）》（简称《网络安全指导原则》）。
《软件指导原则》详细描述了医疗器械软件定义、技术考量等内容，《网络安全指导原则》则是明确规定了22项网络安全能力，生产商在注册申报时需根据产品特性来分析网络安全能力的适用性。

三、网络安全测试方法
当我们确定需要对医疗器械进行网络安全测试后，我们可以使用多种测试方式，包括威胁建模、代码审计、渗透测试、漏洞扫描和模糊测试。下面是这五种测试方式的含义和适用场景。第三方检测机构需要具备机构的认证证书，比如CMA,CNAS 等。

四、测试注意事项
医疗器械软件网络安全测试是确保医疗器械软件安全性的重要环节。在测试过程中，需要密切关注以下方面：
● 明确测试目标和范围：如测试的软件功能、测试的网络环境、测试的数据范围等。
● 选择合适的测试工具和方法：如漏洞扫描、渗透测试、代码审计等。
● 关注网络安全特性：如保密性、完整性、可得性等。● 模拟真实攻击场景：如网络钓鱼、恶意软件攻击等。
● 保证测试环境和数据的安全性：测试环境应该与实际生产环境相隔离，以避免对实际生产环境造成影响。同时，测试数据应该进行加密和备份，以防止数据泄露和丢失。
● 及时修复发现的安全漏洞：在测试过程中，如果发现安全漏洞，需要及时进行修复。修复后需要重新进行测试。
● 遵守相关法律法规和标准：在进行医疗器械软件网络安全测试时，需要遵守相关法律法规和标准，如《网络安全法》、医疗器械相关标准等。

                  📍 关于天磊卫士
天磊卫士是一家具备软件评测水平的实验室。该实验室已通过国家质量技术监督部门计量认证（CMA）的认证。我们的实验室可测试各种BS、CS架构软件，涵盖所有操作系统软件。我们的专业测评软件工程师拥有注册信息安全专业人员认证（CISP）以及国家注册信息安全渗透测试工程师认证（CISP-PTE），具备规划测试方案、编写项目测试计划、编写测试用例、测试报告等能力，可以满足包括漏洞扫描在内的主流需求和注册法规要求。我们可以为医疗器械产品在其全生命周期的各阶段提供全方位、率的合规化技术服务📑