A medida que la tecnología evoluciona rápidamente, la ciberseguridad se ha vuelto indispensable en muchas industrias. A medida que el riesgo de ciberataques se infiltra en el sector sanitario, el Congreso estadounidense se ve presionado para tomar medidas. A medida que una serie de dispositivos médicos -bombas intravenosas, máquinas de resonancia magnética, monitores de frecuencia cardíaca- avanzan para poder conectarse a redes digitales, son cada vez más vulnerables a los riesgos relacionados con la ciberseguridad.
Aumentan los riesgos de ciberseguridad
Varios factores contribuyen al aumento de las amenazas a la ciberseguridad de los dispositivos médicos. El más directo es la afluencia de conectividad en la industria médica. Cada vez más, los dispositivos médicos se diseñan para conectarse a Internet y a otras redes digitales. Aunque estos avances tecnológicos tienen numerosas ventajas, exponen el software -y, con él, los datos de los pacientes- a un mundo de riesgos. Los piratas informáticos pueden aprovechar las vulnerabilidades del software o de las conexiones de red para acceder a datos confidenciales, o incluso apoderarse del propio dispositivo. En estos casos, la retirada de productos puede ser especialmente peligrosa para la vida de los pacientes, ya que el uso continuado del dispositivo no es una opción.
También hay que tener en cuenta el concepto de reparación. A veces, los dispositivos conectados pueden repararse con un parche de software. Dada la naturaleza de algunos dispositivos y su importancia para la salud del paciente, ni un parche de software ni su retirada del mercado son soluciones sencillas. También hay que tener en cuenta los equipos y aparatos pesados instalados en hospitales y centros médicos que no pueden retirarse fácilmente de su ubicación física; escáneres de resonancia magnética, aparatos de rayos X y ecógrafos, por nombrar sólo algunos. A medida que estos dispositivos se conectan cada vez más a las redes de los hospitales, también se vuelven vulnerables a las ciberamenazas. Cuando no se pueden reparar a distancia con un parche de software, suele ser necesario enviar a un ingeniero de campo para que inspeccione, diagnostique y repare in situ.
La posibilidad de retirada no depende únicamente de un incidente real, sino también de la susceptibilidad a los ciberataques. Las pruebas preventivas de vulnerabilidad desempeñan un papel fundamental en la identificación de puntos débiles en la estructura de seguridad de estos dispositivos, ayudando a mitigar la aparición de incidentes antes de que se produzcan. A través de la evaluación continua -y la corrección de la exposición descubierta- los proveedores y fabricantes sanitarios pueden mejorar la ciberseguridad general de los equipos médicos críticos, reduciendo el riesgo de daños a los pacientes y las filtraciones de datos.
Los organismos reguladores de los productos sanitarios se apresuran a seguir el ritmo de la rápida evolución de la tecnología. Aun así, no existen normas de seguridad estandarizadas en todo el sector. Los fabricantes, por tanto, no pueden diseñar los productos con un sistema de seguridad formidable, y pasan la responsabilidad a los proveedores de asistencia sanitaria para que hagan todo lo posible por evaluar la seguridad de sus dispositivos. Muchos de los dispositivos médicos se basan en sistemas heredados que no se diseñaron conforme a las normas de seguridad modernas. Estos sistemas pueden ser especialmente vulnerables a los ciberataques y más difíciles -y caros- de actualizar para protegerlos contra las amenazas modernas.
El Congreso asigna fondos a la ciberseguridad
Hasta la aprobación de la legislación reciente, la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) no tenía poder para hacer cumplir las directrices de ciberseguridad. Un proyecto de ley firmado en diciembre de 2022 llamado Ley de Asignaciones Consolidadas, 2023 (H.R. 26217) -que contiene 1,7 billones de dólares en recursos discrecionales para todo el año fiscal, el nivel más alto de financiación no relacionada con la defensa en la historia de Estados Unidos- tiene el potencial más real hasta la fecha para frenar las amenazas a la ciberseguridad. El proyecto de ley ómnibus de asignaciones está repleto de fondos para programas gubernamentales y de desarrollo económico de desarrollo rural e infraestructuras, conservación, sanidad animal y vegetal, investigación agrícola y comercial y mucho más.
Entre ellos, se asignan 3.500 millones de dólares a la FDA para abordar cuestiones como la crisis de los opioides, los problemas de la cadena de suministro médico y, sí, la mejora de la ciberseguridad de los dispositivos médicos. También se otorga a la FDA la autoridad para establecer y aplicar por primera vez normas de ciberseguridad para los dispositivos médicos.
Cómo puede ayudar la Ley de Créditos Consolidados
La Ley de Asignaciones Consolidadas contiene varias disposiciones dirigidas a la ciberseguridad de los dispositivos médicos, al tiempo que aumenta la autoridad reguladora de la FDA.
En primer lugar, se aplicarán requisitos de seguridad a un nivel federal sin precedentes. Los fabricantes deberán implantar controles de seguridad que impidan el acceso no autorizado a los dispositivos, garanticen la accesibilidad de los dispositivos médicos en caso de ciberataque y protejan la confidencialidad y los datos de los pacientes. Cada fabricante deberá presentar a la FDA un plan integral de ciberseguridad para su revisión previa a la comercialización, en el que se detallarán sus procedimientos para garantizar que los consumidores dispongan de actualizaciones de software y firmware posteriores a la comercialización.
Las medidas también exigirán una mayor transparencia y responsabilidad por parte de los fabricantes. Ahora, los fabricantes deben notificar los incidentes de ciberseguridad a la FDA (así como a los pacientes afectados) en un plazo específico y proporcionar información actualizada sobre el progreso de los esfuerzos de reparación y los planes para evitar que se produzcan incidentes similares.
Las retiradas de productos y los problemas de reparación debidos a ciberamenazas ocurren con frecuencia, y como las agencias (como la FDA) expresan cada vez más públicamente sus críticas a las decisiones de los fabricantes, éstos deben seguir el ejemplo y hacer las cosas según las normas para evitar la reacción pública. En consecuencia, hay más incentivos para seguir el consejo de los expertos de establecer planes de retirada y reparación que incluyan cómo responder a una crisis relacionada con un producto. También se sugiere que los fabricantes realicen simulacros de retirada de productos como parte de sus protocolos de gestión de riesgos.
Algunas disposiciones no se limitan a los fabricantes de productos sanitarios, como la que crea un nuevo centro dentro de la FDA dedicado a mejorar y coordinar la ciberseguridad de los productos sanitarios. El Centro de Excelencia en Ciberseguridad elaborará y aplicará normas y buenas prácticas, orientará a fabricantes y proveedores de atención sanitaria y evaluará la seguridad de los dispositivos. Y lo que es más importante, creará un puente entre los fabricantes y el gobierno federal para avanzar en la resolución de los problemas de ciberseguridad en el sector de los dispositivos médicos.
Otras disposiciones promueven el intercambio de información y la cooperación entre las partes interesadas; la FDA estará obligada a establecer una asociación público-privada para promover la ciberseguridad dentro de la industria. La FDA también estará obligada a establecer un nuevo programa piloto diseñado para evaluar la notificación de vulnerabilidades de ciberseguridad y proporcionar a la agencia datos críticos sobre riesgos.
El impacto previsto
Ahora que la FDA, los fabricantes y los proveedores de asistencia sanitaria deberán trabajar conjuntamente, es posible que por fin se resuelvan los problemas de falta de claridad o transparencia. Por parte de los fabricantes, con los requisitos de detallar la información de ciberseguridad en los informes de retirada, garantizar normas de seguridad de alto nivel y notificar información a la agencia, la FDA y los proveedores de atención sanitaria dispondrán de abundante información para comprender mejor los riesgos de ciberseguridad asociados a los productos sanitarios.
Por el contrario, si se exige a la FDA que proporcione orientaciones sobre las revisiones posteriores a la comercialización, cree un centro dedicado a elaborar normas y establezca el programa piloto que se centra en las vulnerabilidades, los fabricantes (y los proveedores de atención sanitaria) recibirán conocimientos útiles que ayudarán a mejorar las áreas problemáticas y a reducir el riesgo de retirada de productos.
Cuando los productos sanitarios ponen en peligro a los pacientes, es fundamental actuar con rapidez. Además de afectar a la salud de los pacientes, las retiradas de productos sanitarios pueden tener un impacto devastador en la marca y los resultados de una empresa, y exponerla a acciones legales y litigios. Los expertos en protección de marcas de Sedgwick aportan décadas de experiencia en productos sanitarios, ayudándole a desarrollar, mejorar, probar y ejecutar sus planes de retirada de productos o procedimientos de reparación.
Leer más > visite nuestro sitio web para conocer nuestra experiencia en el sector de los productos sanitarios
Etiquetas: ciber, ciberriesgo, ciberseguridad, Datos, salud, salud y seguridad, preocupaciones sanitarias, Atención médica, reclamaciones médicas, medicina, Seguridad, Seguridad