4. august 2023
I takt med at teknologien udvikler sig hurtigt, er cybersikkerhed blevet uundværlig i mange brancher. I takt med at risikoen for cyberangreb infiltrerer sundhedssektoren, presses den amerikanske kongres til at handle. Efterhånden som en række medicinske apparater - IV-pumper, MR-maskiner, pulsmålere - bliver i stand til at koble sig på digitale netværk, bliver de mere og mere sårbare over for cyberrelaterede risici.
Risikoen for cybersikkerhed stiger
Flere faktorer bidrager til stigningen i cybersikkerhedstrusler mod medicinsk udstyr. Den mest direkte er tilstrømningen af konnektivitet i den medicinske industri. Mere og mere medicinsk udstyr bliver designet til at blive forbundet med internettet og andre digitale netværk. Selv om der er mange fordele ved disse teknologiske fremskridt, åbner det softwaren - og dermed patienternes data - for en verden af risici. Hackere kan udnytte sårbarheder i software eller netværksforbindelser til at få adgang til følsomme data eller endda overtage selve enheden. I disse tilfælde kan produkttilbagekaldelser være særligt farlige for patienternes liv, da kontinuerlig brug af enheden ikke er en mulighed.
Begrebet afhjælpning skal også overvejes. Til tider kan tilsluttede enheder repareres med en over-the-air softwareopdatering. I betragtning af nogle enheders karakter og deres betydning for en patients helbred er hverken en softwareopdatering eller tilbagekaldelse enkle løsninger. Der er også hensynet til tungt udstyr og apparater, der er installeret på hospitaler og medicinske centre, og som ikke let kan fjernes fra deres fysiske placering; MR-scannere, røntgen- og ultralydsmaskiner for blot at nævne nogle få. Efterhånden som disse enheder bliver mere og mere forbundet med hospitalets netværk, bliver de også sårbare over for cybertrusler. Hvis de ikke kan repareres eksternt med en softwareopdatering, er det typisk nødvendigt at indsætte en feltingeniør til at inspicere, diagnosticere og reparere på stedet.
Muligheden for tilbagekaldelse er ikke kun betinget af en faktisk hændelse, men også af modtagelighed for cyberangreb. Forebyggende sårbarhedstest spiller en central rolle i at identificere svagheder i disse enheders sikkerhedsstruktur og hjælper med at afbøde hændelser, før de opstår. Gennem løbende vurdering - og afhjælpning af opdaget eksponering - kan sundhedsudbydere og producenter forbedre den overordnede cybersikkerhed for kritisk medicinsk udstyr og reducere risikoen for skade på patienter og databrud.
Myndighederne for medicinsk udstyr har travlt med at holde trit med den hurtige teknologiske udvikling. Alligevel er der ingen standardiserede sikkerhedsregler på tværs af branchen. Producenterne kan derfor ikke designe produkterne med et formidabelt sikkerhedssystem og overlader ansvaret til sundhedsudbyderne, som skal gøre deres bedste for at evaluere deres udstyrs sikkerhed. Mange af de medicinske apparater er bygget på ældre systemer, som ikke er designet i overensstemmelse med moderne sikkerhedsstandarder. Disse systemer kan være særligt sårbare over for cyberangreb og mere udfordrende - og dyre - at opdatere for at beskytte mod moderne trusler.
Kongressen bevilger penge til cybersikkerhed
Indtil vedtagelsen af den seneste lovgivning havde U.S. Food and Drug Administration (FDA) ingen beføjelser til at håndhæve retningslinjer for cybersikkerhed. Et lovforslag, der blev underskrevet i december 2022, kaldet Consolidated Appropriations Act, 2023 (H.R. 26217) - med 1,7 billioner dollars i diskretionære ressourcer i hele finansåret, det højeste niveau af ikke-forsvarsfinansiering i amerikansk historie - har det hidtil mest reelle potentiale til at bremse cybersikkerhedstrusler. Omnibusbevillingsloven er spækket med midler til offentlige programmer og økonomisk udvikling af udvikling og infrastruktur i landdistrikterne, naturbeskyttelse, dyre- og plantesundhed, landbrugs- og markedsføringsforskning og meget mere.
Blandt andet er der afsat 3,5 milliarder dollars til FDA til at løse problemer som opioidkrisen, problemer med den medicinske forsyningskæde og - ja - til at forbedre cybersikkerheden for medicinsk udstyr. Det gav også FDA myndighed til at etablere og håndhæve cybersikkerhedsstandarder for medicinsk udstyr for første gang.
Hvordan den konsoliderede bevillingslov kan hjælpe
Den konsoliderede bevillingslov indeholder flere bestemmelser, der er rettet mod cybersikkerhed for medicinsk udstyr, samtidig med at FDA's lovgivningsmæssige beføjelser øges.
For det første vil sikkerhedskravene blive implementeret på et hidtil uset føderalt niveau. Producenterne skal implementere sikkerhedskontroller, der forhindrer uautoriseret adgang til udstyr, sikrer, at medicinsk udstyr er tilgængeligt under et cyberangreb og beskytter patienternes fortrolighed og data. Hver producent skal indsende en omfattende cybersikkerhedsplan til FDA, som skal gennemgås med henblik på godkendelse før markedsføring, og som beskriver deres procedurer for at sikre, at software- og firmwareopdateringer efter markedsføring er tilgængelige for forbrugerne.
Foranstaltningerne vil også kræve øget gennemsigtighed og ansvarlighed fra producenternes side. Nu skal producenterne rapportere cybersikkerhedshændelser til FDA (samt berørte patienter) inden for en bestemt tidsramme og give opdateringer om fremskridtene i afhjælpningsindsatsen og planerne for at forhindre lignende hændelser i at opstå.
Produkttilbagekaldelser og afhjælpningsproblemer på grund af cybertrusler sker ofte, og da agenturer (som FDA) i stigende grad udtrykker deres kritik af producenternes beslutninger offentligt, må producenterne følge trop og gøre tingene efter bogen for at forhindre offentligt tilbageslag. Derfor er der større incitament til at følge eksperternes råd om at udarbejde tilbagekaldelses- og udbedringsplaner, der omfatter, hvordan man reagerer på en produktrelateret krise. Det foreslås også, at producenter deltager i øvelser med simuleret tilbagekaldelse som en del af deres risikostyringsprotokoller.
Nogle bestemmelser er ikke kun rettet mod producenter af medicinsk udstyr - som f.eks. en vigtig bestemmelse, der opretter et nyt center i FDA, som skal forbedre og koordinere cybersikkerhedsindsatsen for medicinsk udstyr. Cybersecurity Center of Excellence vil udvikle og implementere standarder og bedste praksis, give vejledning til producenter og sundhedsudbydere og evaluere udstyrets sikkerhed. Det er vigtigt, at dette vil skabe en bro mellem producenter og den føderale regering for at skabe en vej frem mod at løse cybersikkerhedsproblemer i industrien for medicinsk udstyr.
Andre bestemmelser fremmer informationsdeling og samarbejde mellem interessenter; FDA vil blive pålagt at etablere et offentligt-privat partnerskab for at fremme cybersikkerhed i industrien. FDA vil også være forpligtet til at etablere et nyt pilotprogram, der er designet til at vurdere rapportering af cybersikkerhedssårbarheder og give agenturet kritiske data om risici.
Den forventede indvirkning
Nu, hvor FDA, producenter og sundhedsudbydere skal arbejde sammen, kan problemer med manglende klarhed eller gennemsigtighed endelig blive løst. For producenternes vedkommende vil FDA og sundhedsudbyderne med kravene om at specificere cybersikkerhedsoplysninger i tilbagekaldelsesrapporter, sikre sikkerhedsstandarder på højt niveau og rapportere oplysninger til agenturet have et væld af oplysninger til bedre at forstå de cybersikkerhedsrisici, der er forbundet med medicinsk udstyr.
Omvendt vil producenter (og sundhedsudbydere) få nyttig viden, der hjælper med at forbedre problemområder og sænke risikoen for produkttilbagekaldelser, hvis FDA giver vejledning om postmarket reviews, opretter et dedikeret center til at udvikle standarder og etablerer et pilotprogram, der er målrettet sårbarheder.
Når medicinsk udstyr bringer patienter i fare, er hurtig handling afgørende. Ud over patienternes sundhed kan tilbagekaldelser af medicinsk udstyr have en ødelæggende indvirkning på en virksomheds brand og bundlinje og gøre virksomheden sårbar over for lovmæssige tiltag og retssager. Sedgwicks eksperter i brandbeskyttelse har årtiers erfaring med medicinsk udstyr - og hjælper dig med at udvikle, forbedre, teste og udføre dine planer for produkttilbagekaldelse eller afhjælpningsprocedurer.
Få mere at vide > besøg vores hjemmeside for at udforske vores erfaring inden for sektoren for medicinsk udstyr
