Dispositivi medici e perché la sicurezza informatica non è negoziabile
Le autorità di regolamentazione hanno a lungo atteso società di dispositivi medici per gestire la sicurezza informatica dei loro prodotti in modo efficace.
Questo articolo è stato originariamente pubblicato in Nuova elettronica.
Per aiutare questo sforzo, la Food and Drug Administration (FDA) ha emesso la sua prima guida sulla sicurezza informatica del dispositivo medico nel 2005, concentrandosi su dispositivi medici in rete con software off-the-shelf (OTS).
Tuttavia, nel corso degli anni, la guida del premercato della FDA si è evoluta in modo significativo, espandendosi da un documento di 9 pagine nel 2014 ad una guida completa di 57 pagine nel 2023. Questa evoluzione mostra solo l'importanza crescente della sicurezza informatica nel settore dei dispositivi medici.
Il 2023 Consolidated Appropriations Act, tuttavia, ha trasformato le raccomandazioni tradizionalmente informali della FDA sulla sicurezza informatica del dispositivo medico in requisiti formali e basati sulla legge. Accoppiato con la guida aggiornata della FDA 2023 su Cybersecurity in dispositivi medici: Considerazioni di sistema di qualità e contenuto di sottomissioni di premercato, questo sviluppo significa elevati standard nella sicurezza informatica del dispositivo medico. Insieme, questi cambiamenti rappresentano un significativo progresso nel panorama normativo per la sicurezza informatica del dispositivo medico.
Assicurare dispositivi medici rimangono ‘ciber safe’
Come dimostrano le iniziative di tutto il mondo, queste aspettative non sono esclusive per gli Stati Uniti. Ad esempio, la direttiva 2022/2555 dell’UE sulla sicurezza dei sistemi di rete e di informazione (NIS2) richiede ora produttori di prodotti medici, compresi i prodotti chimici (API), i farmaci e i dispositivi medici, per implementare misure complete di gestione del rischio di sicurezza informatica e rispettare i requisiti di segnalazione.
Poi, in Australia, la Therapeutic Goods Administration (TGA) ha rilasciato il 2022 Medical Device Cybersecurity Guidance for Industry, che manda un ciclo di vita totale del prodotto (TPLC) approccio alla sicurezza informatica. Questo approccio richiede ai produttori di incorporare test di penetrazione, modellizzazione delle minacce e altre misure proattive nel loro processo di valutazione della gestione dei rischi.
A Singapore, il Cybersecurity Labelling Scheme for Medical Device s (CLS-MD) introduce un sistema di rating per i dispositivi medici in base alle loro disposizioni sulla sicurezza informatica. In questo schema, i dispositivi medici vengono valutati e etichettati in base alla loro robustezza della sicurezza informatica, fornendo preziose informazioni ai fornitori pubblici e sanitari generali. Questo sistema di etichettatura consente decisioni di acquisto informate, consentendo agli stakeholder di identificare e selezionare dispositivi medici che soddisfano elevati standard di sicurezza informatica.
Queste iniziative globali riflettono un crescente consenso internazionale sull'importanza di robuste misure di sicurezza informatica nel settore dei dispositivi medici.
I vantaggi dell'interconnessione non sono senza debolezze
Quando un dispositivo medico include software, soprattutto se può connettersi elettronicamente ad altri dispositivi o reti, la priorità della sicurezza informatica diventa cruciale. L'interconnessione di dispositivi medici nel moderno paesaggio medico, facilitato da dispositivi medicali intelligenti abilitati al software e uno spostamento verso un Internet delle cose (IoT) offre innegabilmente il vantaggio di una cura comoda e tempestiva.
Ad esempio, i pazienti con impianti cardiaci possono essere monitorati da remoto, riducendo la necessità di frequenti visite al medico. Allo stesso modo, nuovi strumenti per la gestione dei livelli di zucchero nel sangue consentono ai metri di glucosio e alle pompe di insulina di interagire senza soluzione di continuità. Gli ospedali stanno anche adottando dispositivi più interconnessi per migliorare la cura e l'efficienza condividendo i dati senza soluzione di continuità. Tuttavia, allo stesso tempo, questo rende anche i dispositivi medici più vulnerabili ai cyberattacchi e violazioni della sicurezza se ci sono deboli collegamenti nei sistemi sanitari.
I rischi accurati derivano da attori dannosi che mirano alle organizzazioni sanitarie per sfruttare i dispositivi vulnerabili, accedere ai record dei pazienti, interrompere le operazioni, richiedere i riscatto o infiltrare le reti. Ad esempio, dispositivi come pompe di insulina, pacemaker cardiaci e indossabili affrontano una maggiore vulnerabilità grazie al loro monitoraggio in tempo reale dei dati del paziente e alla trasmissione immediata di informazioni a pazienti e medici. Di conseguenza, robuste misure di sicurezza informatica sono essenziali per proteggere questi dispositivi critici e garantire la sicurezza dei pazienti.
Implicazioni pratiche per gli sviluppatori
La guida per la sicurezza informatica della FDA e l'ambito normativo comprendono una vasta gamma di funzionalità del software del dispositivo, tra cui la memorizzazione dei dati, il trasferimento e l'analisi. Qualsiasi dispositivo medico o diagnostico con software aggiornabile, una porta USB, o anche la tecnologia del disco compatta è ora classificato come dispositivo collegato e cade sotto le nuove normative.
Sia la FDA che il Regno Unito NCSC-Secure Design Principi sottolineano l'importanza dei produttori tenendo conto dell'ecosistema più ampio e della interconnessione dei dispositivi.
Piuttosto che operare in isolamento, gli obiettivi di sicurezza dovrebbero essere integrati in tutta l'architettura di sistema di dispositivi medici.
Medical Device Manufacturers (MDMs) dovrebbe eseguire la modellazione delle minacce su dispositivi ben in anticipo del loro rilascio per identificare tempestivamente le minacce di sicurezza e le vulnerabilità, valutarli e priorità per garantire che i dispositivi sono sicuri prima che vengano rilasciati sul mercato. La creazione di un elenco prioritario delle preoccupazioni chiave consente ai team di affrontare efficacemente e risolvere problemi critici prima della presentazione. Inoltre, stabilisce un registro documentato delle considerazioni di sicurezza che le squadre possono affrontare sistematicamente in future iterazioni.
E 'anche importante affrontare problemi sistemici per evitare la necessità di correzioni singolari più tardi. Ciò può comportare la revisione delle procedure operative standard, l'allineamento del sistema di gestione della qualità, e lo sviluppo di strategie di sicurezza complete che abbracciano l'intero ciclo di vita di sviluppo, soddisfare sia gli standard di sicurezza informatica e requisiti normativi.
In definitiva, il mancato rispetto dei criteri espliciti stabiliti dalla FDA per misure di sicurezza informatica non solo mette la sicurezza dei pazienti a rischio e compromette l'integrità dei dati, ma potrebbe anche rischiare ritardi di entrata del mercato, portando a perdite finanziarie e danni reputazionali. Allo stesso modo, nell'UE, i produttori che non rispettano la legge sulla responsabilità informatica potrebbero portare alla rimozione dei prodotti dal mercato unico o ammende sostanziali paragonabili a quelle previste dal regolamento generale sulla protezione dei dati (GDPR).
Per mitigare il rischio, la FDA raccomanda di implementare un programma “software bill of material” (SBOM) come elemento fondamentale nella loro sicurezza software e gestione della supply chain. SBOM fornisce un elenco completo di tutti i componenti software all'interno di un dispositivo, consentendo un monitoraggio efficace e la gestione delle vulnerabilità.
La comprensione e l'allineamento con i requisiti di sicurezza informatica e le aspettative nei mercati target è essenziale per i produttori di navigare efficacemente i paesaggi normativi e garantire la sicurezza e l'integrità dei loro dispositivi medici.
La prevenzione è migliore della cura
È importante notare che la sicurezza informatica non dovrebbe essere un ripensamento, ma dovrebbe essere intrecciata nella fondazione di dispositivi medici in via di sviluppo.
La sicurezza informatica deve essere una priorità in tutti gli aspetti del business, tra cui l'allocazione di bilancio, l'allocazione delle risorse, la formazione e così via. Non si tratta solo di rispettare i regolamenti e di evitare sanzioni; si tratta di riconoscere che il vero vantaggio dei dispositivi avanzati e interconnessi brillerà solo se gli utenti finali possono fidarsi dei dispositivi che sono così strettamente integrati nella loro vita. Il software dietro questi dispositivi, se non costruito con la sicurezza informatica in mente, può diventare vulnerabile alle minacce informatiche, esponendo così i pazienti che si affidano a loro agli stessi rischi. Questo sconfigge lo scopo.
I problemi sistemici devono essere affrontati anche quando si progetta una strategia di sicurezza per evitare correzioni successive lungo la linea. Dare la dovuta importanza a tali processi permetterà agli sviluppatori di prevedere eventuali rischi e consentire loro di prendere misure correttive in anticipo, in ultima analisi, salvando la difficoltà di potenziali danni reputazionali, perdite finanziarie, ritardi di mercato e problemi di sicurezza dei pazienti.
Parliamo,
Ovunque tu sia.
Se siete alla ricerca di maggiori informazioni o pronti a collaborare con noi, siamo qui per guidarvi attraverso ogni fase del processo normativo.
Contattaci