Обновленное руководство FDA для премаркета демонстрирует сдвиг в передовой практике кибербезопасности
В последние годы кибербезопасность была одним из главных приоритетов медицинского сообщества из-за значительного роста использования медицинских устройств с беспроводным подключением, подключением к Интернету или сети, а также из-за увеличения числа кибербезопасных атак, направленных на системы здравоохранения и больницы по всей стране.
Терри Мун
Эти атаки являются основной причиной, по которой Управление по контролю за продуктами и лекарствами США (FDA) в октябре прошлого года выпустило обновленный проект руководства для рынка, касающегося кибербезопасности медицинских устройств, говорит Терри Мун, старший директор по стратегическим источникам HealthTrust.
«Я считаю, что это была реакция со стороны FDA», объясняет Мун. «Если бы некоторые из этих известных уязвимостей кибербезопасности на некоторых медицинских устройствах не были нарушены, FDA, скорее всего, сохранило бы прежние руководящие принципы 2014 года».
Помимо указания, какую информацию производители медицинских устройств должны собирать до подачи новых продуктов на рассмотрение FDA, в обновленное руководство FDA также включены рекомендации для производителей о том, как оценивать кибербезопасность при разработке и проверке своих премаркет-продуктов. Последнее может оказаться особенно полезным, если возникнет проблема с устройством, поскольку это может ускорить, как быстро проблема может быть выявлена и решена.
Марк Саммонс
Марк Сэммонс, директор по стратегическим источникам для HealthTrust, говорит, что изменение в тоне FDA было тем, что сначала поразило его при рассмотрении обновленных руководящих принципов. «Когда дело доходит до безопасности медицинского устройства, рефлекс должен ссылаться на руководство FDA», объясняет Сэммонс. «Таким образом, тот факт, что FDA взвешивает рекомендации по кибербезопасности, является положительным. Это будет полезно, когда дело доходит до изменения отрасли, поскольку необходимо признать, что многие из этих медицинских устройств должны пройти целый ряд различных этапов, чтобы получить одобрение ».
Согласно Муну, руководство предполагает, что FDA слушает системы больниц, которые звали на помощь.
«У них не было такого рода власти или влияния, чтобы требовать замены от производителей медицинского оборудования [производителей оригинального оборудования]. Таким образом, кажется, что есть хорошее соответствие между тем, что хотят наши члены, и тем, что FDA предлагает, является правильным решением », — говорит он.
Еще одно поразительное различие между обновленным руководством и версией 2014 года заключается в том, что более новая версия требует от производителей медицинских устройств, подключенных к Интернету, предоставлять клиентам ведомость материалов по кибербезопасности (CBOM). По сути, CBOM потребует от производителей медицинских устройств, подключенных к Интернету, перечислить коммерческие или готовые компоненты программного и аппаратного обеспечения, которые могут быть подвержены уязвимостям.
Включение правила CBOM рассматривается как проактивный шаг для тех, кто в безопасности медицинского устройства.
«Наличие списка всех различных компонентов, задействованных в создании продукта, является, по крайней мере, тем, что можно ввести в инвентарь и использовать для снижения рисков во всей организации», — говорит Сэммонс.
Хотя обновленное руководство перед началом рынка может свидетельствовать о решимости FDA усилить свои меры кибербезопасности, подавляющее большинство рекомендаций составлено из необязательных рекомендаций, то есть эти обязанности, рекомендованные FDA, не подлежат юридическому исполнению. Аналогичным образом, новое руководство также описывает переговоры по контрактам между производителями медицинского оборудования и поставщиками медицинских услуг как общую ответственность. Сэммонс объясняет, что, хотя фраза «общая ответственность» может быть открыта для обсуждения, FDA четко указывает, что, по его мнению, необходимо учитывать производителям при представлении премаркет-продукта на рассмотрение.
«Многие из продуктовых линеек в области медицинского оборудования несовершенны с точки зрения кибербезопасности, особенно когда вы сравниваете здравоохранение с финансовой или банковской индустрией», — говорит Сэммонс. «В финансах есть очень специфические правила и обязательные условия. Я думаю, что это означает начало сдвига, когда сообщество медицинских устройств начнет видеть все больше и больше обязательных, а не обязательных, поэтому FDA отвечает тем же ».
Хотя Мун считает, что рекомендации по безопасности пациентов для производителей были положительным улучшением рекомендаций 2014 года, он был разочарован отсутствием юридически обязательных правил. «За несоблюдение этих указаний все еще требуется какое-то наказание», — добавляет он. «Пока этого не произойдет, мы никогда не сможем рассчитывать на 100%. При поддержке FDA или без нее мы должны оценить все возможности для защиты пациентов, потому что наша задача — продолжать настаивать на усилении мер кибербезопасности от имени всех участников HealthTrust ».
