Tıbbi cihazlar, sağlık hizmetlerinin siber güvenliğinin önemli bir zayıf noktasıdır ve hem Kongre hem de Gıda ve İlaç İdaresi, bu hafta bu açığı kapatmak için adımlar attı – Kongre, önerilen bir yasa tasarısı ve FDA, cihaz üreticileri için nasıl inşa etmeleri gerektiğine dair yeni taslak yönergeler ile saldırıya uğrama olasılığı daha düşük olan cihazlar.
İnfüzyon pompaları veya internete bağlı görüntüleme makineleri gibi cihazlar, bilgisayar korsanlarının hedefi olabilir. Bu saldırılar hasta verilerini sifonlayabilir veya güvenliklerini doğrudan riske atabilir. Uzmanlar sürekli olarak günümüzde kullanılan cihazların bilgisayar korsanları tarafından istismar edilebilecek güvenlik açıklarına sahip olduğunu tespit ediyor.
Tıbbi cihazları düzenleyen FDA, bir süredir bu sorunu çözmeye çalışıyor. 2014’te tıbbi cihaz üreticilerine, ajanstan ürünlerini temizlemesini istemeden önce siber güvenliği nasıl dahil etmeleri gerektiğini özetleyen bir kılavuz yayınladı. Ajans daha sonra 2018’de bir taslak kılavuz yayınladı. Bu yeni taslak 2018 versiyonunun yerini alıyor ve üreticilerden ve diğer uzmanlardan gelen geri bildirimlere ve son birkaç yılda tıbbi cihaz ortamındaki değişikliklere dayanıyor, Stratejik Ortaklıklar Ofisi ve Stratejik Ortaklıklar Ofisi direktörü Suzanne Schwartz ve FDA’daki Teknoloji İnovasyonu, şunları söyledi: Sınır.
Yeni belge hâlâ yalnızca bir taslak ve cihaz üreticileri, başka bir geri bildirim turundan sonra kesinleşene kadar onu kullanmaya başlamayacak. Ancak, bir cihazın tüm yaşam döngüsüne vurgu ve üreticilerin, kullanıcılara çeşitli unsurlar hakkında bilgi veren tüm yeni ürünlerle birlikte bir Yazılım Malzeme Listesi (SBOM) içermesi tavsiyesi de dahil olmak üzere, son geçişten birkaç önemli değişiklik içeriyor. bir cihaz oluşturan. Bir SBOM, kullanıcıların cihazlarında sekmeler tutmasını kolaylaştırır. Örneğin, bir yazılımda bir hata veya güvenlik açığı bulunursa, bir hastane infüzyon pompalarının bu yazılımı kullanıp kullanmadığını kolayca kontrol edebilir.
FDA da çıkardı yasama teklifleri tıbbi cihaz siber güvenliği konusunda Kongre’den gereksinimler için daha açık yetki talep ediyor. Schwartz, “Amaç, cihazların siber istismar veya izinsiz giriş potansiyeline dayanacak kadar çok daha dayanıklı olmasını sağlamaktır” diyor. Üreticilerin, cihazların işlevine zarar vermeden yazılım sorunlarını güncelleyebilmeleri veya yamalayabilmeleri gerektiğini söylüyor.
FDA’nın çabaları, Kongre’de sunulan önerilen bir yasa tasarısıyla örtüşüyor Bu haftaFDA’nın bazı önerilerini kodlayacak olan Siber Sağlık Bakımını Koruma ve Dönüştürme (PATCH) Yasası. Tasarı, cihaz üreticilerinin cihazlarıyla ilgili herhangi bir siber güvenlik sorununu çözmek için bir plana sahip olmasını ve yeni cihazlar için bir SBOM talep etmesini gerektiriyor. Tasarı geçerse, bu unsurlar FDA’nın tavsiye ettiği yönergelerden ziyade gereklilik haline gelir.
Schwartz, “Bu bize fazladan diş verir” diyor. “Bu gerçekten, ilk kez, çok açık bir şekilde siber güvenlik alanında otorite oluşturacak ve bunu doğrudan tıbbi cihazların güvenliğine bağlayacaktır.”
Özellikle, bu yeni tavsiyeler ve mevzuat, öncelikle piyasaya çıkan yeni cihazlar için geçerli olacaktır – Amerika Birleşik Devletleri’nde halihazırda kullanımda olan milyonlarca tıbbi cihazı kapsamamaktadır. FDA’nın 2016’da yazılmış ve cihaz üreticilerinin halihazırda piyasada bulunan mevcut cihazlarındaki potansiyel siber güvenlik sorunlarını nasıl takip etmeleri gerektiğini özetleyen yönergeleri vardır. Schwartz, FDA’nın bu kılavuzu güncellemek için aktif planları olmadığını, ancak ajansın dikkate alacağı bir şey olduğunu söylüyor.
Yeni taslak kılavuzların odak noktası ve FDA’nın cihaz siber güvenliğiyle ilgili mevzuat için yaptığı baskı, çevrimiçi hale gelen yeni cihazların piyasada bulunan ve mevcut siber güvenlik sorunları olan cihazlardan daha iyi durumda olmasını sağlamaktır. “Yarının cihazlarının bugün uğraştığımız eski sorunlara sahip olmamasını istiyoruz” diyor.