Dispositivos médicos e por que a cibersegurança é inegociável
As autoridades regulatórias há muito esperam que as empresas de dispositivos médicos gerenciem a cibersegurança de seus produtos de forma eficaz.
Este artigo foi originalmente publicado na New Electronics.
Para apoiar esse esforço, a Food and Drug Administration (FDA) emitiu seu primeiro guia sobre segurança cibernética de dispositivos médicos em 2005, focando em dispositivos médicos conectados em rede com software comercial pronto para uso (off-the-shelf - OTS).
Ainda assim, ao longo dos anos, o guia de pré-mercado do FDA evoluiu significativamente, expandindo-se de um documento de 9 páginas em 2014 para um guia abrangente de 57 páginas em 2023. Essa evolução por si só demonstra a crescente importância da segurança cibernética na indústria de dispositivos médicos.
No entanto, o Consolidated Appropriations Act de 2023 transformou as recomendações tradicionalmente informais do FDA sobre a segurança cibernética de dispositivos médicos em requisitos formais baseados na lei. Somado ao guia atualizado de 2023 do FDA sobre Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions (Segurança Cibernética em Dispositivos Médicos: Considerações sobre o Sistema de Qualidade e Conteúdo de Submissões de Pré-mercado), esse desenvolvimento sinaliza padrões mais elevados na segurança cibernética de dispositivos médicos. Juntas, essas mudanças representam um avanço significativo no cenário regulatório da segurança cibernética de dispositivos médicos.
Garantindo que os dispositivos médicos permaneçam 'ciberseguros'
Como demonstram as iniciativas ao redor do mundo, essas expectativas não são exclusivas dos EUA. Por exemplo, a Diretiva (UE) 2022/2555 sobre a Segurança das Redes e da Informação (NIS2) da União Europeia exige agora que os fabricantes de produtos médicos, incluindo insumos químicos (IFAs), produtos farmacêuticos e dispositivos médicos, implementem medidas abrangentes de gerenciamento de riscos de segurança cibernética e cumpram os requisitos de notificação.
Em seguida, na Austrália, a Therapeutic Goods Administration (TGA) emitiu o 2022 Medical Device Cybersecurity Guidance for Industry (Guia de Segurança Cibernética de Dispositivos Médicos para a Indústria de 2022), que exige uma abordagem de ciclo de vida total do produto (TPLC) para a segurança cibernética. Essa abordagem exige que os fabricantes incorporem testes de intrusão (penetration testing), modelagem de ameaças (threat modelling) e outras medidas proativas em seu processo de avaliação de gerenciamento de riscos.
Em Cingapura, o Cybersecurity Labelling Scheme for Medical Devices (CLS-MD) introduz um sistema de classificação para dispositivos médicos com base em suas provisões de segurança cibernética. Sob esse esquema, os dispositivos médicos são avaliados e rotulados de acordo com sua robustez cibernética, fornecendo informações valiosas para o público em geral e prestadores de serviços de saúde. Esse sistema de rotulagem viabiliza decisões de compra informadas, permitindo que as partes interessadas identifiquem e selecionem dispositivos médicos que atendam a altos padrões de segurança cibernética.
Essas iniciativas globais refletem um crescente consenso internacional sobre a importância de medidas robustas de segurança cibernética na indústria de dispositivos médicos.
As vantagens da interconexão não estão isentas de vulnerabilidades
Quando um dispositivo médico possui software, especialmente se puder se conectar eletronicamente a outros dispositivos ou redes, priorizar a segurança cibernética torna-se crucial. A interconexão de dispositivos médicos no cenário de saúde moderno, facilitada por dispositivos médicos inteligentes habilitados por software e pela transição para a Internet das Coisas (IoT), inegavelmente oferece o benefício de um atendimento conveniente e oportuno.
Por exemplo, pacientes com implantes cardíacos podem ser monitorados remotamente, reduzindo a necessidade de visitas frequentes ao médico. Da mesma forma, novas ferramentas para o controle da glicemia permitem que medidores de glicose e bombas de insulina interajam de forma integrada. Os hospitais também estão adotando mais dispositivos interconectados para aprimorar o atendimento e a eficiência por meio do compartilhamento contínuo de dados. No entanto, ao mesmo tempo, isso também torna os dispositivos médicos mais vulneráveis a ataques cibernéticos e violações de segurança se houver elos fracos nos sistemas de saúde.
Os riscos elevados decorrem de agentes maliciosos que visam organizações de saúde para explorar dispositivos vulneráveis, acessar prontuários de pacientes, interromper operações, exigir resgates ou se infiltrar em redes. Por exemplo, dispositivos como bombas de insulina, marcapassos cardíacos e dispositivos vestíveis (wearables) enfrentam maior vulnerabilidade devido ao rastreamento em tempo real dos dados do paciente e à transmissão imediata de informações para pacientes e médicos. Como resultado, medidas robustas de segurança cibernética são essenciais para proteger esses dispositivos críticos e garantir a segurança do paciente.
Implicações práticas para os desenvolvedores
As diretrizes de segurança cibernética do FDA e seu escopo regulatório abrangem uma ampla gama de funcionalidades de software de dispositivos, incluindo armazenamento, transferência e análise de dados. Qualquer dispositivo médico ou de diagnóstico com software atualizável, porta USB ou mesmo tecnologia de CD (compact disc) agora é classificado como um dispositivo conectado e enquadra-se nas novas regulamentações.
Tanto o FDA quanto os Princípios de Design Seguro do NCSC do Reino Unido (NCSC-Secure Design Principles) enfatizam a importância de os fabricantes levarem em consideração o ecossistema mais amplo e a interconexão dos dispositivos.
Em vez de operar de forma isolada, os objetivos de segurança devem ser integrados em toda a arquitetura do sistema dos dispositivos médicos.
Os fabricantes de dispositivos médicos (MDMs) devem realizar modelagem de ameaças em seus dispositivos bem antes do lançamento para identificar prontamente ameaças e vulnerabilidades de segurança, avaliá-las e priorizá-las para garantir que os dispositivos estejam seguros antes de serem disponibilizados no mercado. A criação de uma lista priorizada das principais preocupações permite que as equipes abordem e resolvam de forma eficaz problemas críticos antes do peticionamento para fins de registro ou cadastro. Além disso, isso estabelece um registro documentado de considerações de segurança que as equipes podem tratar sistematicamente em iterações futuras.
Também é importante abordar questões sistêmicas para evitar a necessidade de correções pontuais e isoladas posteriormente. Isso pode envolver a revisão de procedimentos operacionais padrão (POPs), o alinhamento do sistema de gestão da qualidade (SGQ) e o desenvolvimento de estratégias de segurança abrangentes que abranjam todo o ciclo de vida de desenvolvimento, atendendo tanto aos padrões de segurança cibernética quanto aos requisitos regulatórios.
Em última análise, o não atendimento aos critérios explícitos estabelecidos pelo FDA para medidas de segurança cibernética não apenas coloca em risco a segurança do paciente e compromete a integridade dos dados, mas também pode gerar atrasos na aprovação do registro e na entrada no mercado, levando a perdas financeiras e danos à reputação. Da mesma forma, na UE, a não conformidade dos fabricantes com a Cyber Resilience Act pode levar à retirada do produto do Mercado Único ou a multas substanciais comparáveis às estipuladas no Regulamento Geral de Proteção de Dados (GDPR).
Para mitigar riscos, o FDA recomenda a implementação de um programa de "lista de componentes de software" (SBOM) como um elemento fundamental na segurança de software e na gestão da cadeia de suprimentos. O SBOM fornece uma lista detalhada de todos os componentes de software presentes em um dispositivo, permitindo o rastreamento e gerenciamento eficazes de vulnerabilidades.
Compreender e se alinhar com os requisitos e expectativas de segurança cibernética nos mercados-alvo é essencial para que os fabricantes naveguem de forma eficaz pelos cenários regulatórios e garantam a segurança e a integridade de seus dispositivos médicos.
Prevenir é melhor do que remediar
É importante ressaltar que a segurança cibernética não deve ser uma consideração tardia, mas sim integrada desde a base do desenvolvimento de dispositivos médicos.
A segurança cibernética deve ser uma prioridade em todas as facetas do negócio, incluindo alocação de orçamento, alocação de recursos, treinamento e assim por diante. Não se trata apenas de cumprir regulamentos e evitar penalidades; trata-se de reconhecer que o verdadeiro benefício de dispositivos avançados e interconectados só se manifestará se os usuários finais puderem confiar nos dispositivos que estão tão intimamente integrados em suas vidas. O software por trás desses dispositivos, se não for desenvolvido com a segurança cibernética em mente, pode tornar-se vulnerável a ameaças cibernéticas, expondo assim os pacientes que dependem deles aos mesmos riscos. Isso anula o próprio propósito.
Questões sistêmicas também devem ser abordadas ao se desenhar uma estratégia de segurança para evitar correções pontuais no futuro. Dar a devida importância a tais processos permitirá que os desenvolvedores prevejam quaisquer riscos potenciais e tomem medidas corretivas com bastante antecedência, poupando, em última análise, o transtorno de possíveis danos à reputação, perdas financeiras, atrasos no mercado e problemas de segurança do paciente.
Vamos conversar,
Onde quer que você esteja.
Quer esteja procurando mais informações ou pronto para ser nosso parceiro, estamos aqui para orientá-lo em todas as etapas do processo regulatório.
Fale conosco