如何導入醫療器材資安新標準？安華聯網解讀SDL與IEC 81001-5-1應用

隨著美國 FDA 於 2023 年 9 月發佈新版「Cybersecurity in Medical Devices：Quality System Considerations and Content of Premarket Submissions」，意謂提供已經導入 IEC 62304 標準的醫療器材製造商更明確的方向，知道該如何滿足 FDA 對於網路安全的要求，然而在執行面，仍是一大挑戰。

安華聯網技術長劉作仁指出，解決這項問題的關鍵，無疑落在 IEC 81001-5-1 標準，IEC 81001-5-1 係以 IEC 62304 為基礎，再加入 IEC 62443-4-1 應用安全軟體開發生命週期（SDL）的要求，作為讓製造商實現產品安全 (Product cybersecurity) 的指引。

醫材攸關人命不容馬虎，須持續貫徹SDL

劉作仁說，臺灣有許多從事醫療設備製造的廠商，大多會將產品出口銷售到不同國家，此時即需遵循該國的法規要求。有感於日益嚴峻的法遵壓力，不少業者亟欲瞭解到底需要採取哪些措施，以滿足大部份合規需求。

根據市場研究機構Statista指出，在全球醫療器材市場中，產值佔比最大為美國，無疑成為業者在法遵合規方面的重點標的。由此，FDA 於 2023 年提出的新版 Cybersecurity 規定，自然是重中之重。
 
持平而論，無論是醫材或者其他類型產品的製造商，都難免將本求利，對於成本支出十分敏感；然而，一旦出現強制性法規要求，製造商就勢必得付出一定開銷，以滿足基本的產品驗證需求。特別是在醫材資安領域，當前無論歐盟、美國、臺灣、日本等地，都已祭出對應要求並整合了相關國際標準，顯見業者已無迴避遲疑的空間，未來在醫療器材開發過程中，肯定需要加入更多檢查機制與管控措施。
 
值得一提，以往許多製造商認為只要通過產品安全測試，至此形同闖關成功、可以卸下法遵壓力。但醫材與生命息息相關，不論Safety或Security皆應嚴謹看待，FDA定義的SPDM（Secure Product Development Framework）或TPLC（Total Product Life Cycle）都提將產品開發生命週期納入產品安全管理範疇，代表業者對於產品安全的投入不僅僅是在於執行測試而已，後續在產品開發過程中確實執行需求分析、系統設計及安全測試等相關程序。綜觀這些內容，基本上都趨近於IEC 62443的需求分析與威脅建模，乃至系統設計、實作及測試等等概念。

開發規範加原始碼掃描，避免程式錯誤而釀成漏洞

劉作仁表示，為實踐SDL，除上述提及的FDA SPDF框架可供依循外，業者亦可選用其他框架。IEC 81001-5-1即是一個常見標準，它不僅提出產品安全測試要求，還強調應基於完整的生命週期來執行分析，找出潛在問題。隨後，再通過設計、實作和測試過程來實踐產品安全，從而化解潛在的資安隱患。
 
歐盟醫療器材協調小組（MDCG）已提供一份參考文件，要求醫療設備製造商滿足資安要求。然而，對於製造商或發證單位而言，單憑這份文件並不足以理解如何滿足要求；因此，歐盟再提出調和標準，將IEC 81001-5-1融入其中，為製造商和評估單位提供明確的指引。
 
實際上，另有兩個標準與 IEC 81001-5-1 十分相近。首先是 IEC 62443-4-1 標準，兩者均強調廠商在開發流程中必須應用安全活動以確保產品安全性，並提供了明確的標準以進行對應。不同之處在於，IEC 81001-5-1 適用醫療設備或醫療軟體，而IEC 62443-4-1則適用於工業控制系統和自動化領域。若製造商已採用 IEC 62443 標準，則可加速導入資訊安全開發流程，並滿足 IEC 81001-5-1 的規範。
 
其次是IEC 62304標準，它同樣借鑒了62443-4-1的精神，要求在軟體開發過程中必須實施一定的安全措施，以實現軟體確效的目標。儘管軟體確效與資訊安全方向不儘相同，但已導入 IEC 62304 的廠商，可在原有基礎上建立關於資安風險評估與控制的新機制，逐步構建符合 IEC 81001-5-1 的完整架構。

從威脅建模到實作：建立有效的資安控制基礎

關於 IEC 81001-5-1 導入步驟，建議製造商先藉由內外部顧問專家協助進行威脅建模分析，判斷當下使用的資安工具庫是否有效。接下來則進入品質系統建構階段，首先應確認產品所需的功能特徵，比方說量血糖、量血壓等。除了這些功能需求外，製造商還需確認資安功能需求。在此基礎上，可根據威脅建模所識別的問題，結合 FDA 建立的基本安全控制項目，如識別和認證控制  （Identification and Authentication Control, IAC）、加密、資料保存等，作為資安功能的實作基礎。
 
如何定義 IEC 81001-5-1 合規旅程？需要具備哪些管制措施？劉作仁重申，必須大量依賴威脅建模，及早挖掘出可能存在的問題；建議透過 STRIDE 模型，針對產品開發的資料流，以人工或自動方式產出對應威脅，再設法制定有效的控制措施，方能全力消弭這些威脅。
 
在此過程中，企業也有必要定義 Best Practices，提供 RD 團隊作為參考依據，以確保實作內容的正確性。建議參考 SEI CERT Coding Standards 和 OWASP Secure Coding Practices，並制定相應的 Coding Guideline，幫助工程師識別和避免錯誤的程式碼寫法，降低潛在的安全漏洞風險；接著配合原始碼掃描機制，才能將人為程式撰寫可能引發的安全漏洞問題降至最低。