İnanması zor, ancak Gıda ve İlaç İdaresi’nin pazar öncesi onayına (FDA’nın Sınıf III tıbbi cihazların güvenliğini ve etkinliğini değerlendirmek için gözden geçirme süreci) tabi olan tıbbi cihaz üreticileri, FDA’nın 2014’ten itibaren orijinal tıbbi cihaz siber güvenlik kılavuzuna göre faaliyet göstermeye devam ediyor. ve 2018’de bir sonraki güncelleme. Ancak bu, büyük ölçüde değişmek üzere.
FDA, 2018 pazar öncesi siber güvenlik taslağı kılavuzunu son haline getirmek yerine, siber güvenliğin hızlı evrimini yansıtmak için yeni bir 2022 versiyonunu yayınlamaya karar verdi ve 2018 selefinde önemli değişikliklerle birlikte yeni bir dizi kalite sistem yönetmeliği (QSR) ekledi.
Yeni FDA Taslak Rehberi
” başlıklı yeni taslak kılavuzTıbbi Cihazlarda Siber Güvenlik: Kalite Sistemi Hususları ve Pazar Öncesi Sunumların İçeriği”, tıbbi cihaz üreticilerinin yeni cihazlarının FDA ön pazar onayı alabilmesi için ele alması gereken sayısız tasarım, etiketleme ve belgeleme konularıyla ilgilenir.
FDA’nın siber güvenlik konusundaki orijinal kılavuzu yalnızca dokuz sayfayken, 2022 sürümü 50 sayfaya çıkıyor ve siber güvenlik ekosistemindeki ilerlemeleri ve en iyi uygulamaları yansıtıyor. Görünüşe göre, pazar için bağlantılı tıbbi cihazları onaylarken, FDA, özellikle hasta güvenliğine yönelik risk seviyeleri ile ilgili olarak, siber güvenliğin nasıl uygulandığına uzun süre bakacak.
Güncellenmiş Düzenlemeler: Neden Şimdi?
Sağlık sektörü büyük bir siber saldırı hedefi haline geldiğinden, tıbbi cihazları ve bunların operasyonel ve hasta verilerini korumak için daha fazla siber güvenlik önlemi alınması hayati önem taşıyor. Veri ihlalleri 2021’de tüm zamanların en yüksek seviyesine ulaştı, korunan sağlık bilgilerinin rekor bir hacmini açığa çıkarıyor. Veri çalmanın yanı sıra, bir artan sayıda ihlal bilgisayarlı tomografi ve manyetik rezonans görüntüleme makineleri gibi tıbbi cihazların düzgün çalışmasını bozmaya çalışmak, potansiyel olarak yanlış teşhislere, gereksiz tıbbi prosedürlere veya hastalara doğrudan zarara neden olabilir.
bu American Hospital Association’ın siber güvenlik ve riskten sorumlu kıdemli danışmanı hastane odalarında kullanılan tıbbi cihazların ortalama 6.2 güvenlik açıkları. Cihazlar daha karmaşık ve birbirine bağlı hale geldikçe, siber saldırganların güvenlik açıklarından yararlanma fırsatları da artıyor, dolayısıyla güncel düzenlemelere ihtiyaç duyuluyor.
Güvenliği Artırmak için Siber Güvenliği Kalite Sistemi Düzenlemelerine Dahil Etmek
FDA, yeni kılavuzla, yeni nesil tıbbi cihazların, tasarımın en erken aşamalarından (shift-sol) başlayarak, satış öncesi ve tüm kullanım ömrü boyunca tüm cihaz yaşam döngüsü boyunca çok daha güvenli ve emniyetli olmasını sağlamayı amaçlamaktadır. ) post prodüksiyona (sağa kaydırma).
Önerilen kılavuzla FDA, modern cihazların karmaşıklığını ve günümüzün gelişen tehdit ortamını ele almak için siber güvenliği kalite düzenlemelerine dahil etme çabalarını ikiye katlıyor.
CBOM’dan SBOM’a: Fark Nedir?
Şaşırtıcı bir şekilde, yeni kılavuzun getirdiği en büyük değişikliklerden biri, üreticilerin 2018’de gerektiği gibi daha sıkıcı bir siber güvenlik malzeme listesi (CBOM) yerine eksiksiz bir yazılım malzeme listesi (SBOM) sağlama gereksinimindeki hoşgörüdür. taslak. Tıbbi cihaz üreticileri, bu katılık nedeniyle 2018 yönergelerine karşı çıkıyorlardı.
Bir SBOM, çoğu sektörde siber güvenlik standartlarıyla daha uyumludur ve Biden yönetiminin yakın zamanda yayınladığı İcra Emri 14028, “Ulusun Siber Güvenliğini Geliştirmek.” Gerekli tüm yazılım paketlerini (ticari ve açık kaynak) ve sürümlerini içerir.
2018 kılavuzuna göre çok daha karmaşık CBOM, “cihaz kullanıcılarının (hastalar, bakım sağlayıcılar ve sağlık hizmeti veren kuruluşlar dahil) etkin bir şekilde çalışmasını sağlamak için ticari, açık kaynaklı ve kullanıma hazır yazılım ve donanım bileşenlerinin bir listesini talep ediyor. varlıklarını yönetin, belirlenen güvenlik açıklarının cihaz ve bağlı sistem üzerindeki potansiyel etkisini anlayın ve cihazın temel performansını korumak için karşı önlemleri uygulayın.”
Her Cihaz için Güvenli Ürün Geliştirme Çerçevesi
En son kılavuz, tıbbi cihaz üreticilerinden QSR’nin hedeflerine ulaşmak için güvenli bir ürün geliştirme çerçevesi (SPDF) kullanmayı düşünmelerini ister: “Bir SPDF, geliştirme, sürüm, destek ve hizmetten çıkarma dahil olmak üzere bir ürünün yaşam döngüsünün tüm yönlerini kapsar.”
Taslak kılavuza uygunluğun yanı sıra, bir SPDF kullanma çağrısı tıbbi cihazlara önemli değer katabilir. Taslak kılavuzda belirtildiği gibi: “Cihaz tasarımı sırasında SPDF süreçlerinin kullanılması, pazarlama ve dağıtımdan sonra bağlantı tabanlı özellikler eklendiğinde veya kontrolsüz risklere neden olan güvenlik açıkları keşfedildiğinde, cihazı yeniden yapılandırma ihtiyacını önleyebilir.”
Yeni FDA Taslak Kılavuz Bağlayıcı mı?
7 Temmuz’a kadar FDA, tıbbi cihaz üreticilerini ve halkı yeni taslağa yorum yap, tıbbi cihazlar için yeni FDA siber güvenlik kılavuzu olacağı zaman bu yıl içinde tamamlanması bekleniyor. FDA yönergesi bağlayıcı olmamakla birlikte, onaylanmış sürüm, tıbbi cihaz üreticilerinin uyumluluk ve hasta güvenliğini sağlamak için ürünlerinde siber güvenliği nasıl ele alması gerektiğine dair bir yol haritası sağlayacaktır.
FDA, siber güvenlik kurallarını güçlendirmek isteyen tek federal kurum değil. Mevzuat denilen Siber Sağlık Hizmetlerini Koruma ve Dönüştürme (PATCH) Yasası yakın zamanda ABD Kongresi’nde tanıtıldı. Eylem, EO ve önerilen diğer faturalar FDA’nın tıbbi cihaz üreticilerinden belirli siber güvenlik hedeflerini karşılamasını talep etme yeteneğini güçlendirecek hükümler içerir.
Tıbbi cihaz üreticileri, yaklaşmakta olan mevzuata karşı geleceğe hazır olmak için FDA’nın 2022 kılavuzuna ve ötesine uyumlu kalmak için ayrıntılı SBOM’lar oluşturabilen ve güvenlik açıklarını sürekli olarak tespit edebilen ve riskleri azaltabilen çözümleri araştırmaya başlamalıdır.
