Af Matt Walker, rådgiver for tilbagekaldelse
Cybersikkerhed er blevet et kritisk emne for industrien for medicinsk udstyr, hvor en cybertrussel kan føre til skade eller endda død.
For at løse dette voksende problem har U.S. Food and Drug Administration, MITRE Corporation og Medical Device Innovation Consortium (MDIC) udgivet en drejebog, der giver indsigt til organisationer, der udvikler eller udvikler en tilgang til at skabe trusselsmodeller for cybersikkerhed for medicinsk udstyr.
Hvad er trusselsmodellering, og hvordan er det nyttigt?
Ifølge drejebogen er trusselsmodellering "at analysere repræsentationer af et system for at fremhæve bekymringer om sikkerheds- og privatlivskarakteristika". Det indebærer, at man stiller fire nøglespørgsmål for at begynde at erkende, hvad der kan gå galt i et system. Disse spørgsmål omfatter:
- Hvad arbejder vi på?
- Hvad kan gå galt?
- Hvad skal vi gøre ved det?
- Gjorde vi et godt nok stykke arbejde?
Efter at have gennemgået en trusselsmodelleringsøvelse identificerer virksomheder "trusler" - design- eller implementeringsproblemer i et medicinsk udstyr, der kræver justeringer eller afhjælpning. I betragtning af det medicinske udstyrs kompleksitet og forbundethed er det vigtigt, at alle virksomheder regelmæssigt gennemfører trusselsmodelleringsøvelser. Hvis man opdager en trussel tidligt, kan man ofte forhindre, at fremtidige patienter dør eller kommer til skade.
De trusler, der opstår som følge af cybersikkerhedssårbarheder, er også de risici, der kan føre til en tilbagekaldelse for en producent af medicinsk udstyr. En trusselsmodeløvelse kan hjælpe producenterne med at identificere disse risici i hele det medicinske udstyrs livscyklus og skabe mulighed for at afbøde risiciene, før de bliver til en tilbagekaldelse.
Selvom FDA har meddelt, at drejebogen for trusselsmodellering ikke er en vejledning, har Suzanne Schwartz, direktør for FDA's Center for Devices and Radiological Health's Office of Strategic Partnerships and Technology Innovation, advaret om, at FDA "vil være på udkig efter meget mere detaljeret og omfattende trusselsmodellering som en del af godkendelsesprocessen for medicinsk udstyr." Med dette i tankerne bør alle producenter af medicinsk udstyr, der planlægger at indsende en enhed til godkendelse, være meget opmærksomme på drejebogen for trusselsmodellering og tage de nødvendige skridt nu for at sikre, at de er parate til at fremlægge bevis for en tilstrækkelig trusselsmodel.
Trusselsmodellering vil også hjælpe producenterne med at identificere risici tidligt i F&U-fasen og hjælpe dem med at overveje, hvilken indvirkning risiciene kan have, når enheden er på markedet. I sidste ende vil omhyggelig trusselsmodellering skabe ro i sindet, spare penge og, endnu vigtigere, redde liv.
Tags: Brandbeskyttelse, forbrugersikkerhed, cyber, cyberrisiko, cybersikkerhed, cybertrusler, cybersikkerhed, Udviklende risici + respons, FDA, Produktion, Medicinsk udstyr, Modstandsdygtighed + beredskab, trusselsmodellering