Next Steps Toward Managing Legacy Medical Device Cybersecurity Risks
必须结合 IMDRF 的两份文件来理解:
Principles and Practices for Medical Device Cybersecurity
Principles and Practices for Medical Device Cybersecurity of Legacy Medical Devices
"遗留器械legacy device"一词有不同的用法。IMDRF文件假定无法再对传统设备进行网络安全调整。IEC 81001-5-1将市场上未按照网络安全要求开发的产品称为"过渡软件software in transition",从而与"遗留器械legacy device "一词区分开来。
MITRE的新文件最初将"遗留器械legacy device"称为最初未按照网络安全要求开发的产品。
与IMDRF一样,该文件将"遗留器械legacy device"定义为"无法合理防范当前网络安全威胁的医疗器械"。这一条件与产品的寿命无关。换句话说,无法针对当前的网络安全威胁提供合理保护的较新器械,无论其使用年限如何,仍将被视为遗留器械。
该文件介绍了如何提高这些产品的网络安全性。旨在为利益相关方提供明确的方法,以识别潜在的遗留器械,并提供切实可行的方法,以实现遗留医疗器械的网络安全。
该文件将自己视为IMDRF文件的补充。为了从当前状态过渡到更为理想的未来状态,IMDRF N60指导文件提出了针对遗留器械的TPLC框架。
在该文件的编写过程中,我们可以清楚地看到,IMDRF文件中的"产品全生命周期流程"(TPLC)被再次采用。由于"设计安全"难以追溯实施,因此更多的措施转移到了操作人员身上。文件中强调了操作员和制造商之间的互动及其各自的任务。因此,该文件似乎是对IEC 81001-5-1 的有益补充,后者仅在附录F中列出了制造商的任务(规范性!)。
