Politici de Sanatate

FDA cere ca dispozitivele medicale să fie securizate împotriva atacurilor cibernetice

30 martie
08:45 2023
FDA cere ca dispozitivele medicale să fie securizate împotriva atacurilor cibernetice

Începând din 29 martie, companiile nu își mai pot vinde dispozitivele medicale conectate la internet decât dacă au prezentat mai întâi la FDA un plan serios de securitate cibernetică. Iar agenția dispune de 5 milioane de dolari pentru a pune în aplicare această măsură – o îmbunătățire față de resursele din trecut.

Este deja cunoscut  cazul, datând din 2008, când cercetătorii au demonstrat că un stimulator cardiac putea fi piratat. Cincisprezece ani mai târziu, vulnerabilitatea dispozitivelor medicale continuă să fie o preocupare reală. Noua lege îi obligă pe producătorii de dispozitive să dezvolte procese mai bune de supraveghere postcomercializare pentru securitatea cibernetică, cerându-le producătorilor de dispozitive să ofere FDA o „listă de materiale software” care să enumere software-ul cu sursă deschisă și software-ul terților într-o bază de cod.

Context

La 29 decembrie 2022, președintele Biden semna un act normativ care avea un impact semnificativ asupra reglementării securității cibernetice a dispozitivelor medicale. Secțiunea 3305 din Consolidated Appropriations Act of 2023 („Secțiunea 3305”) autorizează Food and Drug Administration (FDA) să stabilească standarde de securitate cibernetică pentru dispozitivele medicale.

Proliferarea internetului obiectelor (IoT) în domeniul asistenței medicale a avut beneficii profunde pentru îngrijirea pacienților, dar a prezentat, de asemenea, provocări unice în materie de securitate cibernetică pentru producătorii de dispozitive, furnizorii de asistență medicală, terții furnizori de servicii pentru dispozitive și pacienți. Anul trecut, Divizia de cibernetică a Biroului Federal de Investigații (FBI) a avertizat că vulnerabilitățile de securitate cibernetică ale dispozitivelor medicale au potențialul de a avea un impact asupra siguranței pacienților, a operațiunilor unităților de asistență medicală, a confidențialității și integrității datelor. De fapt, preocupările legate de dispozitivele medicale, cum ar fi pompele pentru perfuzii, au fost discutate de cel puțin zece ani, existând temeri că actorii amenințători ar putea modifica de la distanță dozele sau ar putea face ca pompele pentru perfuzii să curgă liber printr-un atac fără fir sau prin Bluetooth, ceea ce ar duce la vătămări catastrofale sau la moartea pacienților.

FBI a precizat că un dispozitiv medical mediu rămâne în uz activ între 10 și 30 de ani, deși ciclurile de viață ale actualizărilor software variază și sunt specificate de fiecare producător în parte. Aceste cicluri de viață a software-ului variază de la câteva luni până la durata maximă de viață a dispozitivului. Acest lucru, spune FBI, permite actorilor care se ocupă cu amenințările cibernetice să aibă timp să descopere și să exploateze vulnerabilitățile. Această amenințare este deosebit de acută în cazul dispozitivelor medicale cu software învechit, deoarece acestea nu beneficiază de sprijinul producătorului pentru patch-uri sau actualizări menite să atenueze vulnerabilitățile identificate, iar astfel de echipamente hardware vechi nu dispun de capacități moderne de criptare. Impactul financiar al amenințării cibernetice asupra industriei medicale este enorm. Un sondaj realizat de Ponemon Institute a constatat că 50% dintre spitale s-au confruntat cu un anumit tip de atac ransomware. Aceste atacuri vizează adesea dispozitive medicale critice, dar foarte comune, cum ar fi aparatele RMN și monitoarele de ritm cardiac – care au fost implicate în 88% dintre încălcările de date. Studiul indică, de asemenea, că, în medie, companiile au plătit între 250.000 și 500.000 de dolari pentru fiecare atac ransomware. În timp ce atacurile cibernetice care vizează dispozitivele medicale nu duc, de obicei, la expunerea informațiilor medicale protejate (PHI), infractorii cibernetici se infiltrează adesea în dispozitivele medicale pentru a obține acces la sistemele IT care găzduiesc astfel de date.

În cazul în care informațiile medicale protejate sunt expuse, raportul anual Cost of a Data Breach Report al IBM Security, raportează că,  un cost mediu al unei astfel de încălcări a datelor medicale, este la un nivel record de 10,1 milioane de dolari.

 

Bogdan Guță

Alte articole

TOP

REVISTA POLITICI DE SANATATE

Editii speciale

revista politici de sanatate-Republica Moldova

OncoGen

Abonează-te la newsletter

:
: