Cybersikkerhedstrusler i sektoren for medicinsk udstyr

I takt med den hurtige teknologiske udvikling er cybersikkerhed blevet uundværlig i mange brancher. Da risikoen for cyberangreb også rammer sundhedssektoren, er det amerikanske kongres under pres for at handle. I takt med at en række medicinske apparater – IV-pumper, MR-scannere, pulsmålere – bliver mere avancerede og kan tilsluttes digitale netværk, bliver de også mere sårbare over for cyberrelaterede risici.

Cybersikkerhedsrisici i stigning

Flere faktorer bidrager til stigningen i cybersikkerhedstrusler mod medicinsk udstyr. Den mest åbenlyse er den stigende tilslutning til internettet i medicinalindustrien. Medicinsk udstyr designes i stigende grad til at kunne tilsluttes internettet og andre digitale netværk. Selvom disse teknologiske fremskridt har mange fordele, udsætter det softwaren – og dermed patienternes data – for en lang række risici. Hackere kan udnytte sårbarheder i software eller netværksforbindelser til at få adgang til følsomme data eller endda overtage selve udstyret. I disse tilfælde kan tilbagekaldelse af produkter være særligt farligt for patienternes liv, da det ikke er muligt at fortsætte med at bruge udstyret.

Begrebet afhjælpning skal også tages i betragtning. Nogle gange kan tilsluttede enheder repareres med en trådløs softwareopdatering. I betragtning af nogle enheders karakter og deres betydning for patienters helbred er hverken en softwareopdatering eller tilbagekaldelse en enkel løsning. Der er også spørgsmålet om tungt udstyr og apparater, der er installeret på hospitaler og medicinske centre, og som ikke let kan fjernes fra deres fysiske placering, f.eks. MR-scannere, røntgen- og ultralydsmaskiner, for blot at nævne nogle få. I takt med at disse enheder i stigende grad bliver forbundet til hospitalernes netværk, bliver de også sårbare over for cybertrusler. Hvis disse ikke kan repareres eksternt med en softwareopdatering, er det typisk nødvendigt at sende en tekniker ud for at inspicere, diagnosticere og reparere på stedet.

Muligheden for tilbagekaldelse afhænger ikke kun af en faktisk hændelse, men også af sårbarheden over for cyberangreb. Forebyggende sårbarhedstest spiller en afgørende rolle i identificeringen af svagheder i disse enheders sikkerhedsstruktur og bidrager til at mindske risikoen for hændelser, inden de opstår. Gennem løbende vurderinger – og afhjælpning af opdagede sårbarheder – kan sundhedsudbydere og producenter forbedre den samlede cybersikkerhed for kritisk medicinsk udstyr og dermed reducere risikoen for skader på patienter og databrud.

Myndighederne, der regulerer medicinsk udstyr, har travlt med at følge med den hurtige teknologiske udvikling. Alligevel findes der ingen standardiserede sikkerhedsregler på tværs af branchen. Producenterne kan derfor ikke designe produkter med et effektivt sikkerhedssystem, hvilket betyder, at ansvaret for at vurdere udstyrets sikkerhed i vid udstrækning overlades til sundhedsudbyderne. Mange af de medicinske apparater er baseret på ældre systemer, der ikke er designet i overensstemmelse med moderne sikkerhedsstandarder. Disse systemer kan være særligt sårbare over for cyberangreb og mere udfordrende – og dyre – at opdatere for at beskytte mod moderne trusler.

Kongressen bevilger midler til cybersikkerhed

Indtil den nylige lovgivning blev vedtaget, havde den amerikanske fødevare- og lægemiddeladministration (FDA) ingen beføjelser til at håndhæve retningslinjer for cybersikkerhed. Et lovforslag, der blev underskrevet i december 2022, kaldetConsolidated Appropriations Act, 2023 (H.R. 26217) – med 1,7 billioner dollars i diskretionære ressourcer i løbet af regnskabsåret, det højeste niveau af ikke-forsvarsfinansiering i amerikansk historie – har det hidtil mest realistiske potentiale til at dæmme op for cybersikkerhedstrusler. Omnibusbevillingsloven er fyldt med midler til offentlige programmer og økonomisk udvikling af landdistrikter og infrastruktur, bevarelse, dyre- og plantesundhed, landbrugs- og markedsføringsforskning og meget mere.

Heraf er 3,5 milliarder dollar afsat til FDA til at tackle problemer som opioidkrisen, problemer med forsyningskæden inden for medicinalvarer og ja – forbedring af cybersikkerheden for medicinsk udstyr. Det gav også FDA beføjelse til for første gang at fastsætte og håndhæve cybersikkerhedsstandarder for medicinsk udstyr.

Hvordan den konsoliderede bevillingslov kan hjælpe

Den konsoliderede bevillingslov indeholder flere bestemmelser, der vedrører cybersikkerhed for medicinsk udstyr, samtidig med at FDA's reguleringsmyndighed udvides.

For det første vil sikkerhedskrav blive implementeret på et hidtil uset føderalt niveau. Producenter vil blive pålagt at implementere sikkerhedskontrol, der forhindrer uautoriseret adgang til enheder, sikrer, at medicinsk udstyr er tilgængeligt under et cyberangreb, og beskytter patienters fortrolighed og data. Hver producent vil blive pålagt at indsende en omfattende cybersikkerhedsplan til FDA, der skal gennemgås med henblik på godkendelse før markedsføring, og som skal indeholde detaljerede oplysninger om deres procedurer for at sikre, at software- og firmwareopdateringer efter markedsføring er tilgængelige for forbrugerne.

Foranstaltningerne vil også kræve øget gennemsigtighed og ansvarlighed fra producenterne. Nu skal producenterne indberette cybersikkerhedshændelser til FDA (samt berørte patienter) inden for en bestemt tidsramme og give opdateringer om fremskridt i afhjælpningsindsatsen og planer for at forhindre lignende hændelser i at forekomme.

Produkt tilbagekaldelser og bekymringer om afhjælpning på grund af cybertrusler forekommer hyppigt, og da myndigheder (som FDA) i stigende grad giver udtryk for deres kritik af producenternes beslutninger offentligt, må producenterne følge trop og gøre tingene efter bogen for at undgå offentlig modreaktion. Derfor er der større incitament til at følge eksperternes råd om at opstille tilbagekaldelses- og afhjælpningsplaner, der omfatter, hvordan man skal reagere på en produktrelateret krise. Det foreslås også, at producenterne gennemfører simulerede tilbagekaldelsesøvelser som en del af deres risikostyringsprotokoller.

Nogle bestemmelser går videre end blot at være rettet mod producenter af medicinsk udstyr — såsom en vigtig bestemmelse, der etablerer et nyt center inden for FDA, der er dedikeret til at forbedre og koordinere cybersikkerhedsindsatsen for medicinsk udstyr. Cybersecurity Center of Excellence vil udvikle og implementere standarder og bedste praksis, yde vejledning til producenter og sundhedsudbydere og evaluere udstyrets sikkerhed. Det er vigtigt, at dette vil skabe en bro mellem producenter og den føderale regering for at skabe en vej fremad i håndteringen af cybersikkerhedsproblemer i medicinalindustrien.

Andre bestemmelser fremmer informationsudveksling og samarbejde mellem interessenterne; FDA vil blive pålagt at etablere et offentligt-privat partnerskab for at fremme cybersikkerhed inden for branchen. FDA vil også blive forpligtet til at etablere et nyt pilotprogram, der skal vurdere rapportering om cybersikkerhedssårbarhed og forsyne agenturet med vigtige data om risici.

Den forventede virkning

Nu hvor FDA, producenter og sundhedsudbydere skal arbejde sammen, kan problemer med manglende klarhed eller gennemsigtighed endelig løses. På producenternes side vil kravene om at specificere cybersikkerhedsoplysninger i tilbagekaldelsesrapporter, sikre høje sikkerhedsstandarder og rapportere oplysninger til agenturet give FDA og sundhedsudbydere en masse information, der gør det lettere at forstå cybersikkerhedsrisici forbundet med medicinsk udstyr.

Omvendt vil kravet om, at FDA skal udstede retningslinjer for eftermarkedsvurderinger, oprette et dedikeret center til udvikling af standarder og etablere et pilotprogram, der fokuserer på sårbarheder, give producenter (og sundhedsudbydere) nyttig viden, der kan bidrage til at forbedre problemområder og mindske risikoen for tilbagekaldelse af produkter.

Når medicinsk udstyr udgør en risiko for patienterne, er det afgørende at handle hurtigt. Ud over patienternes helbred kan tilbagekaldelse af medicinsk udstyr have en ødelæggende indvirkning på et virksomheds brand og bundlinje og udsætte virksomheder for regulerende tiltag og retssager. Sedgwicks eksperter i brandbeskyttelse har mange års erfaring med medicinsk udstyr og hjælper dig med at udvikle, forbedre, teste og gennemføre dine produkt tilbagekaldelsesplaner eller afhjælpningsprocedurer.

Læs mere > Besøg voreshjemmesidefor at udforske vores erfaring inden for medicinsk udstyr.