FDA ottaa suuren askeleen eteenpäin lääkinnällisten laitteiden turvallisuuden alalla
Sisällysluettelo:
Viime hetken omnibus-kulutuslaskut ovat Capitol Hillin karkkipurkkeja. Nämä lakiehdotukset, jotka keräävät 12 kuukautta myöhässä ollutta lainsäädäntöä vuoden lopussa, ovat usein täynnä "sianlihaa" – poliittiset makeutusaineet työskentelivät viime hetkellä saadakseen poliitikkojen paikallisten äänestäjien suosion. Joskus he voivat kuitenkin viedä läpi kauan odotettuja toimenpiteitä, jotka muutoin saattaisivat jäädä kukkulalle.
Viime joulukuussa 1.7 miljardia dollaria Konsolidoidut määrärahat (CAA) sisälsi kriittisen osan: lainsäädäntöä, joka lopulta pakottaisi lääkinnällisten laitteiden valmistajat pysymään kyberturvallisuuden kärjessä sen jälkeen, kun heidän laitteet ovat poistuneet hyllyiltä.
CAA:n pykälällä 3305 muutettiin liittovaltion elintarvike-, lääke- ja kosmetiikkalakia lisäämällä pykälä 542B, "Lääkinnällisten laitteiden kyberturvallisuuden varmistaminen". Tämä uusi asetus koskee kaikkia FDA:n kattamia laitteita, jotka muodostavat yhteyden Internetiin ja voivat olla haavoittuvia kyberturvallisuusongelmille.
Jatkuva lähestymistapa kyberturvallisuuteen
Osa uuden lain sanamuodosta tulee pakollisista säännöistä, jotka olivat toimineet kongressin läpi. Maaliskuussa 2022 annettu Protecting and Transforming Cyber Health Care (PATCH) Act -laki yritti säätää lääkinnällisten laitteiden kyberturvallisuuden valvonnasta.
PATCH-lakia toistaen uusi laki pakottaa lääkinnällisten laitteiden valmistajat antamaan virastolle suunnitelman kyberturvallisuuden haavoittuvuuksien tarkkailemiseksi, tunnistamiseksi ja korjaamiseksi laitteiden julkaisun jälkeen.
Laitevalmistajien on myös otettava käyttöön koordinoitu haavoittuvuuden paljastamisohjelma. Tämä tarkoittaa, että he eivät voi enää lakaista vikoja maton alle jättämällä huomioimatta niitä tai niitä kasvattavia tutkijoita.
Toimittajien on myös tarjottava ohjelmistoluettelo (SBOM), jossa luetellaan laitteen käyttämät ohjelmistokomponentit FDA:n suurella nyökkäyksellä toimitusketjun turvallisuuteen.
FDA:n sihteerin on päivitettävä viraston ohjeet lääkinnällisten laitteiden kyberturvallisuustoimista ennen myyntiä sidosryhmien, mukaan lukien valmistajien ja terveydenhuollon tarjoajien, palautteen perusteella. FDA:n on myös julkaistava vuosittain tietoa ja resursseja lääkinnällisten laitteiden kyberturvallisuuden parantamisesta.
Yhdysvaltain hallituksen tilivelvollisuusvirasto (GAO) julkaisee myös vuosiraportin, jossa esitetään yksityiskohtaisesti kaikki esteet, joita sidosryhmät ovat kohdanneet saadakseen liittovaltion hallituksen tukea laitteiden kyberturvallisuuden parantamiseksi.
CAA:n kieli ei ole ensimmäinen, joka vaatii laitetoimittajilta kyberturvallisuusponnisteluja. FDA:lla on jo laatujärjestelmäasetus (QSR), joka velvoittaa laitevalmistajilta riskiperusteisen lähestymistavan kyberturvallisuuteen, mikä tarkoittaa, että heidän on tunnistettava kyberriskien todennäköisyys ja vaikutukset.
QSR menee kuitenkin vain niin pitkälle. Esittelemällä erityisesti käynnissä olevaa kyberturvallisuuden korjausohjelmaa julkaisun jälkeen uusi laki pakottaa enemmän jatkuva lähestymistapa kyberturvallisuuteen "Tulta ja unohda" -lähestymistavan sijaan, joka todistaa laitteen turvallisuuden vain yhdessä ajankohtana.
Vuosia taisteltu kyberturvallisuuden puolesta
Laki, joka tuli voimaan 29. maaliskuuta 2023, on FDA:n pitkän laitteiden kyberturvallisuutta koskevan aloitteen huipentuma. Tämä juontaa juurensa vuoteen 2005, jolloin virasto julkaisi ohjaus kaupallisia, valmiita ohjelmistoja sisältävien verkkolaitteiden käsittelystä. Vuonna 2014 se julkaisi ensimmäisen erityisohjeensa kyberturvallisuustoimenpiteiden suunnittelusta ja dokumentoinnista laitteiden myynnin jälkeen. Se päivitti tämän vuonna 2018.
Sitten, huhtikuussa 2022, se julkaistiin toinen joukko kyberturvallisuusohjeita markkinoille saattamista edeltävistä hyväksynnöistä, jotka korvasivat vuoden 2018 asiakirjan. Tässä asiakirjassa vaadittiin myös ohjelmistojen materiaalilistaa kolmannen osapuolen komponenttien jäljittämiseksi. Se suositteli suojattua tuotekehityskehystä vähentämään tietoturva-aukkoja ja laitteiden sisäänrakennettuja päivitysominaisuuksia.
Vaikka viraston ponnistelut ovat olleet kiitettävät, sen FDA:n laiteturvallisuusohjeet ovat tähän mennessä olleet vapaaehtoisia, mikä yleensä tarkoittaa, että alan vaatimustenmukaisuus on epämääräistä.
FDA:lle työskennelleet asiantuntijat ovat ehdottaneet, että kyberturvallisuus on ollut virastolle ylämäkeen kamppailua. Sillä ei ollut edes yksikään kyberturvallisuustoiminnon johtajana omistautunut henkilö ennen vuoden 2021 alkua, jolloin se loi uuden roolin laite- ja säteilyterveyskeskukseensa. Kyberturvallisuusprofessori Kevin Fu toimi lääkinnällisten laitteiden kyberturvallisuuden vt. johtajana lainalla Michiganin yliopistosta vuodeksi.
Kesäkuussa 2022, hänen erottuaan roolista, Fu varoitti että FDA:lla ei ollut henkilökuntaa tai varattu budjetti puuttuakseen kasvavaan kyberturvallisuusongelmaan.
Mitä seuraavaksi
FDA on sanonut, että se ei aluksi hylkää laitteita vain osion 542B ongelmissa, vaan työskentelee mieluummin toimittajien kanssa tarkistamisen aikana. Se olettaa kuitenkin 1 jälkeen, että toimittajilla on ollut riittävästi aikaa valmistella kyberturvallisuusdokumentaationsa, ja varaa oikeuden kieltäytyä hyväksymästä laitetta, jos dokumentaatio ei läpäise vaatimuksia.
Vaatimukset eivät koske olemassa olevia laitteita, vaan ne koskevat vain uusia lähetyksiä. Tämä tarkoittaa, että laitteet, jotka esiteltiin ennen tämän vuoden maaliskuun loppua, voivat jatkaa toimintaansa vuosia ilman kyberturvallisuuspäivityssuunnitelmia, varsinkin jos sairaalat katsovat parhaaksi kunnostaa ne omaisuutensa vuoksi.
Kyberturvalaitteita koskevat määräykset ovat harvoin taannehtivia, joten kenttäpakettien ilmainen pääsy on odotettavissa. Tämä on kuitenkin suuri askel laitevalmistajien saamisessa vastuuseen laitteidensa turvaamisesta.
Olisit toivonut, että myyjät olisivat pitäneet itseään vastuullisina, mutta valitettavasti ei. Viime vuonna FBI varoitti paikatamattomien, turvattomien lääketieteellisten laitteiden rutosta. Bureau varoitti, että nämä laitteet, mukaan lukien kaikki insuliinipumpuista sydämentahdistimiin, voidaan hakkeroida potilaan terveyden vaarantamiseksi. Se sanoi, että yli neljässä kymmenestä käyttöikänsä lopussa olevasta laitteesta ei vieläkään ollut tietoturvakorjauksia tai -päivityksiä.
Myyjien saaminen ottamaan tämän vakavasti on vain puolet haasteesta. Toinen on saada terveydenhuollon tarjoajat kiinnittämään laastareita, kun niitä tulee saataville. Tuskin kolmannes terveydenhuollon tarjoajista tietää, missä kaikki heidän laitteensa ovat tai milloin heidän käyttöikänsä päättyy. Vaikka he tekisivätkin, arkojen hengenvaarallisten laitteiden paikkaus on haastava prosessi. Oletamme kuitenkin, että yksi pieni askel on parempi kuin ei mitään.
