Por Matt Walker, asesor de retirada
La ciberseguridad se ha convertido en una cuestión crítica para el sector de los dispositivos médicos, en el que una amenaza cibernética puede provocar lesiones o incluso la muerte.
Para hacer frente a este problema cada vez mayor, la Administración de Alimentos y Medicamentos de EE.UU., la MITRE Corporation y el Consorcio de Innovación de Dispositivos Médicos (MDIC) han publicado un manual que ofrece ideas a las organizaciones que están desarrollando o desarrollando un enfoque para crear modelos de amenazas para la ciberseguridad de los dispositivos médicos.
¿Qué es la modelización de amenazas y en qué es útil?
Según el libro de jugadas, el modelado de amenazas consiste en "analizar las representaciones de un sistema para poner de relieve las preocupaciones sobre las características de seguridad y privacidad". Esto implica plantearse cuatro preguntas clave para empezar a reconocer lo que puede ir mal en un sistema. Estas preguntas son
- ¿En qué estamos trabajando?
- ¿Qué puede salir mal?
- ¿Qué vamos a hacer al respecto?
- ¿Hemos hecho un buen trabajo?
Tras realizar un ejercicio de modelado de amenazas, las empresas identifican las "amenazas", es decir, los problemas de diseño o implementación de un producto sanitario que requieren ajustes o mitigación. Dada la complejidad y conectividad de los productos sanitarios, es importante que todas las empresas realicen periódicamente ejercicios de modelización de amenazas. Detectar una amenaza a tiempo puede evitar a menudo la muerte o lesiones de futuros pacientes.
Las amenazas que surgen de las vulnerabilidades de ciberseguridad son también los riesgos que pueden llevar a una retirada del mercado de un fabricante de productos sanitarios. Realizar un ejercicio de modelado de amenazas puede ayudar a los fabricantes a identificar estos riesgos a lo largo del ciclo de vida de un producto sanitario y crear la oportunidad de mitigarlos antes de que se conviertan en una retirada.
Aunque la FDA ha declarado que el manual de modelado de amenazas no es una guía, Suzanne Schwartz, directora de la Oficina de Asociaciones Estratégicas e Innovación Tecnológica del Centro de Dispositivos y Salud Radiológica de la FDA, ha advertido que la FDA "exigirá un modelado de amenazas mucho más detallado y exhaustivo como parte del proceso de autorización o aprobación de dispositivos médicos". Teniendo esto en cuenta, todos los fabricantes de dispositivos médicos que tengan previsto presentar un dispositivo para su aprobación deben prestar mucha atención al manual de modelado de amenazas y tomar ahora las medidas necesarias para asegurarse de que están preparados para presentar pruebas de un modelo de amenazas adecuado.
La modelización de amenazas también ayudará a los fabricantes a identificar los riesgos en las primeras fases de I+D, así como a reflexionar sobre el impacto que podrían tener una vez que el dispositivo esté en el mercado. Al final, un modelado de amenazas cuidadoso generará tranquilidad, ahorrará dinero y, lo que es más importante, salvará vidas.