Dispositivos médicos y por qué la ciberseguridad es innegociable
Las autoridades reguladoras esperan desde hace mucho tiempo que las empresas de dispositivos médicos gestionen eficazmente la ciberseguridad de sus productos.
Este artículo fue publicado originalmente en Nueva Electrónica.
Para ayudar en este esfuerzo, la Administración de Alimentos y Medicamentos (FDA) publicó su primera guía sobre ciberseguridad de dispositivos médicos en 2005, centrándose en dispositivos médicos en red con software disponible en el mercado (OTS).
Aún así, a lo largo de los años, la guía previa a la comercialización de FDA ha evolucionado significativamente, expandiéndose de un documento de 9 páginas en 2014 a una guía integral de 57 páginas en 2023. Esta evolución por sí sola muestra la creciente importancia de la ciberseguridad en la industria de dispositivos médicos.
Sin embargo, la Ley de Asignaciones Consolidadas de 2023 transformó las recomendaciones tradicionalmente informales del FDA sobre la ciberseguridad de los dispositivos médicos en requisitos formales basados en la ley. Junto con la guía actualizada de 2023 de FDA sobre Ciberseguridad en dispositivos médicos: consideraciones del sistema de calidad y contenido de las presentaciones previas a la comercialización, este desarrollo significa estándares más estrictos en ciberseguridad de dispositivos médicos. En conjunto, estos cambios representan un avance significativo en el panorama regulatorio para la ciberseguridad de los dispositivos médicos.
Garantizar que los dispositivos médicos sigan siendo "ciberseguros"
Como lo demuestran iniciativas de todo el mundo, estas expectativas no son exclusivas del US. Por ejemplo, la Directiva 2022/2555 de EU sobre seguridad de redes y sistemas de información (NIS2) ahora exige que los fabricantes de productos médicos, incluidos productos químicos (API), productos farmacéuticos y dispositivos médicos, implementen medidas integrales de gestión de riesgos de ciberseguridad y cumplan con los requisitos de presentación de informes.
Luego, en Australia, la Administración de Productos Terapéuticos (TGA) emitió la Guía de ciberseguridad para la industria de dispositivos médicos 2022, que exige un enfoque de ciberseguridad del ciclo de vida total del producto (TPLC). Este enfoque requiere que los fabricantes incorporen pruebas de penetración, modelos de amenazas y otras medidas proactivas en su proceso de evaluación de la gestión de riesgos.
En Singapur, el Programa de etiquetado de ciberseguridad para dispositivos médicos (CLS-MD) introduce un sistema de clasificación para dispositivos médicos basado en sus disposiciones de ciberseguridad. Según este esquema, los dispositivos médicos se evalúan y etiquetan de acuerdo con su solidez en materia de ciberseguridad, brindando información valiosa al público en general y a los proveedores de atención médica. Este sistema de etiquetado permite tomar decisiones de compra informadas, lo que permite a las partes interesadas identificar y seleccionar dispositivos médicos que cumplan con altos estándares de ciberseguridad.
Estas iniciativas globales reflejan un creciente consenso internacional sobre la importancia de medidas sólidas de ciberseguridad en la industria de dispositivos médicos.
Las ventajas de la interconexión no están exentas de debilidades
Cuando un dispositivo médico incluye software, especialmente si puede conectarse electrónicamente a otros dispositivos o redes, priorizar la ciberseguridad se vuelve crucial. La interconexión de los dispositivos médicos en el panorama médico moderno, facilitada por dispositivos médicos inteligentes habilitados por software y un cambio hacia una Internet de las cosas (IoT), sin lugar a dudas, ofrece el beneficio de una atención conveniente y oportuna.
Por ejemplo, los pacientes con implantes cardíacos pueden ser monitoreados de forma remota, lo que reduce la necesidad de visitas frecuentes al médico. De manera similar, las nuevas herramientas para controlar los niveles de azúcar en sangre permiten que los medidores de glucosa y las bombas de insulina interactúen sin problemas. Los hospitales también están adoptando dispositivos más interconectados para mejorar la atención y la eficiencia al compartir datos sin problemas. Sin embargo, al mismo tiempo, esto también hace que los dispositivos médicos sean más vulnerables a los ciberataques y las violaciones de seguridad si existen eslabones débiles en los sistemas de salud.
Los mayores riesgos provienen de actores maliciosos que atacan a las organizaciones de atención médica para explotar dispositivos vulnerables, acceder a registros de pacientes, interrumpir operaciones, exigir rescates o infiltrarse en redes. Por ejemplo, dispositivos como bombas de insulina, marcapasos y dispositivos portátiles se enfrentan a una mayor vulnerabilidad debido a su seguimiento en tiempo real de los datos de los pacientes y la transmisión inmediata de información a pacientes y médicos. Como resultado, medidas sólidas de ciberseguridad son esenciales para proteger estos dispositivos críticos y garantizar la seguridad del paciente.
Implicaciones prácticas para los desarrolladores
La guía de ciberseguridad y el alcance regulatorio de FDA abarcan una amplia gama de funcionalidades de software de dispositivos, incluido el almacenamiento, la transferencia y el análisis de datos. Cualquier dispositivo médico o de diagnóstico con software actualizable, un puerto USB o incluso tecnología de disco compacto ahora se clasifica como un dispositivo conectado y está sujeto a las nuevas regulaciones.
Tanto los principios de diseño seguro NCSC de FDA como los de UK enfatizan la importancia de que los fabricantes tengan en cuenta el ecosistema más amplio y la interconexión de los dispositivos.
En lugar de operar de forma aislada, los objetivos de seguridad deben integrarse en toda la arquitectura del sistema de los dispositivos médicos.
Los fabricantes de dispositivos médicos (MDM) deben realizar modelos de amenazas en los dispositivos mucho antes de su lanzamiento para identificar rápidamente las amenazas y vulnerabilidades de seguridad, evaluarlas y priorizarlas para garantizar que los dispositivos sean seguros antes de su lanzamiento al mercado. La creación de una lista priorizada de inquietudes clave permite a los equipos abordar y resolver de manera efectiva los problemas críticos antes de presentarlos. Además, establece un registro documentado de consideraciones de seguridad que los equipos pueden abordar sistemáticamente en futuras iteraciones.
También es importante abordar los problemas sistémicos para evitar la necesidad de soluciones singulares más adelante. Esto puede implicar revisar los procedimientos operativos estándar, alinear el sistema de gestión de calidad y desarrollar estrategias de seguridad integrales que abarquen todo el ciclo de vida del desarrollo, cumpliendo tanto con los estándares de ciberseguridad como con los requisitos regulatorios.
En última instancia, el incumplimiento de los criterios explícitos establecidos por FDA para las medidas de ciberseguridad no solo pone en riesgo la seguridad del paciente y compromete la integridad de los datos, sino que también podría provocar retrasos en la entrada al mercado, lo que provocaría pérdidas financieras y daños a la reputación. De manera similar, en EU, el incumplimiento de la Ley de Resiliencia Cibernética por parte de los fabricantes podría dar lugar a la retirada del producto del Mercado Único o a multas sustanciales comparables a las estipuladas en el Reglamento General de Protección de Datos (GDPR).
Para mitigar el riesgo, FDA recomienda implementar un programa de “lista de materiales de software” (SBOM) como elemento fundamental en la seguridad del software y la gestión de la cadena de suministro. El SBOM proporciona una lista completa de todos los componentes de software dentro de un dispositivo, lo que permite un seguimiento y gestión eficaces de las vulnerabilidades.
Comprender y alinearse con los requisitos y expectativas de ciberseguridad en los mercados objetivo es esencial para que los fabricantes naveguen por los panoramas regulatorios de manera efectiva y garanticen la seguridad e integridad de sus dispositivos médicos.
Prevenir es mejor que curar
Es importante señalar que la ciberseguridad no debería ser una ocurrencia tardía, sino que debería integrarse en la base del desarrollo de dispositivos médicos.
La ciberseguridad debe ser una prioridad en todas las facetas del negocio, incluida la asignación de presupuesto, la asignación de recursos, la capacitación, etc. No se trata sólo de cumplir las normas y evitar sanciones; se trata de reconocer que el verdadero beneficio de los dispositivos avanzados e interconectados se hará patente sólo si los usuarios finales pueden confiar en los dispositivos que están tan estrechamente integrados en sus vidas. El software detrás de estos dispositivos, si no se construye teniendo en cuenta la ciberseguridad, puede volverse vulnerable a las ciberamenazas, exponiendo así a los pacientes que dependen de ellos a los mismos riesgos. Eso frustra el propósito.
También se deben abordar los problemas sistémicos al diseñar una estrategia de seguridad para evitar correcciones posteriores en el futuro. Dar la debida importancia a dichos procesos permitirá a los desarrolladores prever cualquier riesgo potencial y tomar medidas correctivas con mucha antelación, evitando en última instancia el problema de posibles daños a la reputación, pérdidas financieras, retrasos en el mercado y problemas de seguridad del paciente.
Hablemos,
esté donde esté.
Ya sea que busque más información o esté listo para asociarse con nosotros, le guiaremos en cada paso del proceso regulatorio.
Contáctenos