Fatos importantes a saber sobre a função da Food and Drug Administration (FDA) na segurança cibernética de dispositivos médicos
Quando se trata da segurança cibernética de dispositivos médicos e da Internet das Coisas Médicas (IoMT), há muitas questões em aberto. Dada a natureza sensível e crítica (às vezes de vida ou morte) desses dispositivos, não é de surpreender que os fabricantes de dispositivos médicos (MDMs) e os operadores queiram ter certeza de que têm todas as respostas necessárias antes de tomar decisões que possam afetar as operações e a segurança de seus dispositivos clínicos.
Os diferentes órgãos, regras e regulamentos envolvidos na regulamentação de dispositivos médicos podem aumentar a complexidade do cenário de dispositivos de segurança cibernética. Para ajudá-lo a navegar nesse ambiente complicado, tentaremos eliminar parte da confusão e esclarecer a função que a Food and Drug Administration (FDA) dos EUA desempenha na segurança cibernética de dispositivos médicos.
Em geral, a FDA fornece orientação pré-mercado e pós-mercado projetada para reduzir os riscos dos dispositivos médicos e garantir sua disponibilidade e eficácia contínuas. Seu site explica: "A FDA fornece orientação para ajudar os fabricantes a projetar e manter produtos com segurança cibernética. E, em nome dos pacientes, a FDA pede que os fabricantes monitorem e avaliem os riscos de vulnerabilidade de segurança cibernética e sejam proativos na divulgação de vulnerabilidades e soluções para resolvê-las."
Percebi alguns conceitos errôneos sobre a segurança cibernética de dispositivos médicos. Embora não seja exaustivo e certamente não esteja apontando o dedo, acho que é vital para a comunidade de engenharia biomédica esclarecer os fatos e ajudar a melhorar a segurança geral de nossos dispositivos médicos e hospitais. A seguir, apresentamos sete dos aspectos mais comumente confundidos sobre a função da FDA na segurança de dispositivos médicos.
1. A FDA é o único órgão do governo federal responsável pela segurança cibernética de dispositivos médicos.
A FDA é apenas uma peça do quebra-cabeça dos dispositivos de segurança cibernética. Como a FDA observa, "[ela] compartilha a responsabilidade com fabricantes de dispositivos, hospitais, prestadores de serviços de saúde, pacientes, pesquisadores de segurança e outros órgãos governamentais, incluindo a Agência de Segurança Cibernética e de Infraestrutura (CISA) do Departamento de Segurança Interna dos EUA e o Departamento de Comércio dos EUA".
2. A segurança cibernética para dispositivos médicos é opcional.
Além do óbvio (lançar um dispositivo inseguro não seria bom para os negócios), os fabricantes de dispositivos devem cumprir várias verificações e balanços (regulamentações federais) ao projetar, construir e manter seus produtos. "Parte dessas regulamentações, chamadas de regulamentações do sistema de qualidade (QSRs), exige que os fabricantes de dispositivos médicos abordem os riscos, inclusive o risco de segurança cibernética. A orientação de segurança cibernética pré e pós-comercialização fornece recomendações para atender aos QSRs."
3. Os fabricantes de dispositivos médicos não podem atualizar os dispositivos médicos para a segurança cibernética.
Os fabricantes de dispositivos médicos sempre podem fazer atualizações que fortaleçam a segurança cibernética de seus produtos. Normalmente, a FDA não precisa revisar essas alterações. Em resumo, qualquer fabricante pode atualizar seus dispositivos sempre que necessário.
4. As organizações de prestação de serviços de saúde (HDOs) não podem atualizar e corrigir os dispositivos médicos quanto à segurança cibernética.
Na realidade, as HDOs podem (e devem) implementar patches e atualizações em seus dispositivos que reduzam os riscos. A FDA recomenda que os HDOs trabalhem em conjunto com os MDMs para coordenar quaisquer alterações e garantir que não haja consequências indesejadas.
Normalmente, os problemas mais significativos relacionados à atualização ou aplicação de patches em dispositivos médicos tendem a ser mais práticos - como os dispositivos podem estar envolvidos no atendimento ao paciente e/ou em constante movimento, pode ser difícil localizar e identificar um momento seguro para realizar uma atualização.
5. A FDA é responsável por validar as alterações de software para solucionar as vulnerabilidades de segurança cibernética.
O fabricante de dispositivos médicos é responsável por validar todas as alterações de software em seus dispositivos, inclusive aquelas necessárias para solucionar vulnerabilidades de segurança cibernética.
6. A FDA testa dispositivos médicos quanto à segurança cibernética.
A FDA não faz nenhum teste pré ou pós-comercialização. Os fabricantes de dispositivos médicos são responsáveis por testar e corrigir seus dispositivos médicos quanto a problemas de segurança cibernética.
7. As empresas que fabricam software pronto para uso (OTS) usado em dispositivos médicos são responsáveis por validar seu uso seguro.
Muitos MDMs usam software OTS em seus dispositivos médicos e são responsáveis por protegê-lo e garantir o desempenho contínuo, seguro e eficaz do dispositivo. O MDM também é responsável por relatar qualquer lista de materiais de software ou hardware (SBOM) que usar em seus dispositivos.
É extremamente importante que os engenheiros biomédicos se munam de dados altamente precisos sobre seus dispositivos para que possam garantir que tomem as medidas necessárias para corrigir, remediar ou isolar dispositivos com problemas de segurança cibernética.
Para obter mais informações sobre a segurança cibernética de dispositivos médicos, visite Medigate
