Ancaman keamanan siber di sektor perangkat medis

Seiring dengan perkembangan teknologi yang pesat, keamanan siber telah menjadi hal yang tak terpisahkan di berbagai industri. Seiring dengan meningkatnya risiko serangan siber yang merambah industri kesehatan, Kongres AS ditekan untuk mengambil tindakan. Seiring dengan kemajuan berbagai perangkat medis — pompa infus, mesin MRI, pemantau detak jantung — yang kini dapat terhubung ke jaringan digital, perangkat-perangkat tersebut semakin rentan terhadap risiko siber.

Risiko keamanan siber semakin meningkat

Beberapa faktor berkontribusi terhadap peningkatan ancaman keamanan siber terhadap perangkat medis. Salah satu faktor yang paling jelas adalah peningkatan konektivitas di industri medis. Semakin banyak perangkat medis yang dirancang untuk terhubung ke Internet dan jaringan digital lainnya. Meskipun ada banyak keuntungan dari kemajuan teknologi ini, hal ini membuka perangkat lunak — dan dengan itu, data pasien — pada risiko yang besar. Hacker dapat memanfaatkan kerentanan dalam perangkat lunak atau koneksi jaringan untuk mengakses data sensitif, atau bahkan mengambil alih perangkat itu sendiri. Dalam kasus seperti ini, penarikan produk dapat sangat berbahaya bagi nyawa pasien karena penggunaan terus-menerus perangkat tersebut tidak lagi menjadi pilihan.

Konsep remediasi juga perlu dipertimbangkan. Terkadang, perangkat terhubung dapat diperbaiki dengan pembaruan perangkat lunak melalui udara (over-the-air). Namun, mengingat sifat beberapa perangkat dan pentingnya bagi kesehatan pasien, baik pembaruan perangkat lunak maupun penarikan produk bukanlah solusi yang sederhana. Ada juga pertimbangan terkait peralatan dan alat berat yang dipasang di rumah sakit dan pusat medis yang tidak dapat dengan mudah dipindahkan dari lokasi fisiknya; misalnya pemindai MRI, mesin sinar-X, dan mesin ultrasonografi. Seiring dengan semakin terhubungnya perangkat-perangkat ini ke jaringan rumah sakit, mereka juga menjadi rentan terhadap ancaman siber. Jika perangkat-perangkat ini tidak dapat diperbaiki secara jarak jauh dengan pembaruan perangkat lunak, maka biasanya diperlukan penugasan insinyur lapangan untuk memeriksa, mendiagnosis, dan memperbaiki secara langsung di lokasi.

Kemungkinan terjadinya penarikan produk tidak hanya bergantung pada kejadian aktual, tetapi juga pada kerentanan terhadap serangan siber. Uji kerentanan preventif memainkan peran penting dalam mengidentifikasi kelemahan dalam sistem keamanan perangkat-perangkat ini, membantu mencegah terjadinya insiden sebelum terjadi. Melalui penilaian berkelanjutan – dan perbaikan terhadap kerentanan yang ditemukan – penyedia layanan kesehatan dan produsen dapat meningkatkan keamanan siber secara keseluruhan pada peralatan medis kritis, mengurangi risiko cedera pada pasien dan kebocoran data.

Regulator perangkat medis sedang berusaha keras untuk mengikuti perkembangan teknologi yang cepat. Meskipun demikian, belum ada regulasi keamanan yang standar di seluruh industri. Akibatnya, produsen tidak dapat merancang produk dengan sistem keamanan yang tangguh, sehingga tanggung jawab untuk mengevaluasi keamanan perangkat mereka beralih ke penyedia layanan kesehatan. Banyak perangkat medis dibangun berdasarkan sistem lama yang tidak dirancang sesuai dengan standar keamanan modern. Sistem-sistem ini mungkin sangat rentan terhadap serangan siber dan lebih sulit — serta lebih mahal — untuk diperbarui guna melindungi dari ancaman modern.

Dewan Perwakilan Rakyat mengalokasikan dana untuk keamanan siber.

Sebelum disahkannya undang-undang terbaru, Badan Pengawas Obat dan Makanan Amerika Serikat (FDA) tidak memiliki kewenangan untuk menegakkan pedoman keamanan siber. Sebuah rancangan undang-undang yang ditandatangani menjadi undang-undang pada Desember 2022, yang dikenal sebagaiUndang-Undang Anggaran Terpadu 2023 (H.R. 26217)— yang mencakup $1,7 triliun dana diskresioner sepanjang tahun fiskal, merupakan tingkat pendanaan non-pertahanan tertinggi dalam sejarah Amerika Serikat — memiliki potensi nyata untuk menekan ancaman keamanan siber. Rancangan undang-undang anggaran omnibus ini dipenuhi dengan dana untuk program pemerintah dan pengembangan ekonomi, pembangunan pedesaan dan infrastruktur, konservasi, kesehatan hewan dan tumbuhan, penelitian pertanian dan pemasaran, serta bidang lainnya.

Di antaranya, $3,5 miliar dialokasikan kepada FDA untuk menangani masalah-masalah termasuk krisis opioid, masalah rantai pasokan medis, dan ya — meningkatkan keamanan siber perangkat medis. Selain itu, secara signifikan, FDA diberikan wewenang untuk menetapkan dan menegakkan standar keamanan siber untuk perangkat medis untuk pertama kalinya.

Bagaimana Undang-Undang Anggaran Terpadu dapat membantu

Undang-Undang Anggaran Terpadu berisi beberapa ketentuan yang bertujuan untuk meningkatkan keamanan siber perangkat medis, sekaligus memperluas wewenang regulasi Badan Pengawas Obat dan Makanan (FDA).

Pertama, persyaratan keamanan akan diterapkan pada tingkat federal yang belum pernah terjadi sebelumnya. Produsen diwajibkan untuk menerapkan kontrol keamanan yang mencegah akses tidak sah ke perangkat, memastikan perangkat medis tetap dapat diakses selama serangan siber, dan melindungi kerahasiaan pasien serta data. Setiap produsen diwajibkan untuk menyerahkan rencana keamanan siber yang komprehensif kepada FDA untuk direview dalam proses persetujuan pra-pasar, yang akan menjelaskan prosedur mereka untuk memastikan pembaruan perangkat lunak dan firmware pasca-pasar tersedia bagi konsumen.

Tindakan ini juga akan mengharuskan produsen untuk meningkatkan transparansi dan akuntabilitas. Kini, produsen wajib melaporkan insiden keamanan siber kepada FDA (serta pasien yang terdampak) dalam jangka waktu tertentu dan memberikan pembaruan mengenai kemajuan upaya pemulihan serta rencana untuk mencegah terjadinya insiden serupa di masa depan.

Penarikan produk dan masalah penanggulangan akibat ancaman siber sering terjadi, dan seiring dengan semakin banyaknya lembaga (seperti FDA) yang secara terbuka mengkritik keputusan produsen, produsen harus mengikuti aturan dan melakukan segala sesuatunya sesuai prosedur untuk menghindari reaksi negatif dari publik. Akibatnya, ada insentif yang lebih besar untuk mengikuti saran ahli dalam menyusun rencana penarikan produk dan penanggulangan yang mencakup cara menanggapi krisis terkait produk. Disarankan pula agar produsen melakukan simulasi penarikan produk sebagai bagian dari protokol manajemen risiko mereka.

Beberapa ketentuan melampaui target hanya pada produsen perangkat medis — seperti ketentuan kunci yang mendirikan pusat baru di dalam FDA yang berfokus pada peningkatan dan koordinasi upaya keamanan siber untuk perangkat medis. Pusat Keunggulan Keamanan Siber akan mengembangkan dan menerapkan standar serta praktik terbaik, memberikan panduan kepada produsen dan penyedia layanan kesehatan, serta mengevaluasi keamanan perangkat. Yang penting, ini akan menciptakan jembatan antara produsen dan pemerintah federal untuk menciptakan jalur ke depan dalam menangani masalah keamanan siber di industri perangkat medis.

Ketentuan lain mendorong pertukaran informasi dan kerja sama di antara pemangku kepentingan; FDA diwajibkan untuk membentuk kemitraan antara sektor publik dan swasta guna mempromosikan keamanan siber di industri tersebut. FDA juga diwajibkan untuk membentuk program percontohan baru yang dirancang untuk mengevaluasi pelaporan kerentanan keamanan siber dan menyediakan data kritis kepada lembaga tersebut mengenai risiko yang ada.

Dampak yang diperkirakan

Sekarang, dengan FDA, produsen, dan penyedia layanan kesehatan diharuskan bekerja sama, masalah yang berkaitan dengan ketidakjelasan atau kurangnya transparansi mungkin akhirnya dapat diselesaikan. Dari sisi produsen, dengan persyaratan untuk menyertakan informasi keamanan siber dalam laporan penarikan produk, memastikan standar keamanan tingkat tinggi, dan melaporkan informasi kepada badan pengawas, FDA dan penyedia layanan kesehatan akan memiliki akses ke sejumlah besar informasi untuk memahami risiko keamanan siber yang terkait dengan perangkat medis.

Sebaliknya, dengan mewajibkan FDA untuk memberikan panduan mengenai tinjauan pasca-pasaran, mendirikan pusat khusus untuk mengembangkan standar, dan meluncurkan program percontohan yang menargetkan kelemahan, produsen (dan penyedia layanan kesehatan) akan mendapatkan pengetahuan yang bermanfaat untuk meningkatkan area yang bermasalah dan mengurangi risiko penarikan produk.

Ketika perangkat medis membahayakan pasien, tindakan cepat menjadi sangat penting. Selain kesehatan pasien, penarikan perangkat medis dapat berdampak buruk pada citra merek dan keuntungan perusahaan, serta membuat perusahaan rentan terhadap tindakan regulasi dan gugatan hukum. Para ahli perlindungan merek Sedgwick memiliki puluhan tahun pengalaman dalam bidang perangkat medis — membantu Anda mengembangkan, meningkatkan, menguji, dan melaksanakan rencana penarikan produk atau prosedur perbaikan.

Pelajari lebih lanjut > Kunjungisitus webkami untuk mengetahui lebih lanjut tentang pengalaman kami di sektor perangkat medis.