Bedreigingen voor cyberbeveiliging in de sector medische hulpmiddelen

Door de snelle technologische ontwikkelingen is cyberbeveiliging in veel sectoren onmisbaar geworden. Nu het risico op cyberaanvallen ook de gezondheidszorg bedreigt, staat het Amerikaanse Congres onder druk om maatregelen te nemen. Naarmate allerlei medische apparaten – infuuspompen, MRI-scanners, hartslagmeters – steeds meer worden uitgerust met digitale netwerkverbindingen, worden ze ook steeds kwetsbaarder voor cyberrisico's.

Cyberbeveiligingsrisico's nemen toe

Verschillende factoren dragen bij aan de toename van cyberbeveiligingsrisico's voor medische apparatuur. De meest voor de hand liggende factor is de toename van connectiviteit in de medische sector. Steeds meer medische apparatuur wordt ontworpen om verbinding te maken met het internet en andere digitale netwerken. Hoewel deze technologische vooruitgang tal van voordelen biedt, stelt het de software – en daarmee ook de gegevens van patiënten – bloot aan een wereld vol risico's. Hackers kunnen misbruik maken van kwetsbaarheden in software of netwerkverbindingen om toegang te krijgen tot gevoelige gegevens of zelfs het apparaat zelf over te nemen. In deze gevallen kan het terugroepen van producten bijzonder gevaarlijk zijn voor het leven van patiënten, omdat continu gebruik van het apparaat geen optie is.

Ook moet rekening worden gehouden met het concept van herstelmaatregelen. Soms kunnen verbonden apparaten worden gerepareerd met een draadloze softwarepatch. Gezien de aard van sommige apparaten en hun cruciale belang voor de gezondheid van een patiënt, zijn noch een softwarepatch, noch een terugroepactie eenvoudige oplossingen. Daarnaast moet ook rekening worden gehouden met zware apparatuur en toestellen die in ziekenhuizen en medische centra zijn geïnstalleerd en die niet gemakkelijk van hun fysieke locatie kunnen worden verwijderd, zoals MRI-scanners, röntgen- en echografieapparatuur, om maar een paar voorbeelden te noemen. Naarmate deze apparaten steeds meer worden aangesloten op ziekenhuisnetwerken, worden ook zij kwetsbaar voor cyberdreigingen. Wanneer deze niet op afstand kunnen worden gerepareerd met een softwarepatch, is het doorgaans noodzakelijk dat een technicus ter plaatse komt om de apparatuur te inspecteren, een diagnose te stellen en te repareren.

De mogelijkheid van terugroeping hangt niet alleen af van een daadwerkelijk incident, maar ook van de kwetsbaarheid voor cyberaanvallen. Preventieve kwetsbaarheidstests spelen een cruciale rol bij het identificeren van zwakke plekken in de beveiliging van deze apparaten, waardoor incidenten kunnen worden voorkomen voordat ze zich voordoen. Door middel van voortdurende beoordeling – en het verhelpen van ontdekte kwetsbaarheden – kunnen zorgverleners en fabrikanten de algehele cyberbeveiliging van kritieke medische apparatuur verbeteren, waardoor het risico op schade voor patiënten en datalekken wordt verminderd.

Regelgevende instanties voor medische hulpmiddelen hebben moeite om de snel evoluerende technologie bij te benen. Toch zijn er nog steeds geen gestandaardiseerde veiligheidsvoorschriften voor de hele sector. Als gevolg daarvan kunnen fabrikanten geen producten ontwerpen met een krachtig beveiligingssysteem, waardoor de verantwoordelijkheid bij zorgverleners komt te liggen om de veiligheid van hun apparaten zo goed mogelijk te beoordelen. Veel medische hulpmiddelen zijn gebaseerd op verouderde systemen die niet zijn ontworpen volgens de moderne veiligheidsnormen. Deze systemen zijn mogelijk bijzonder kwetsbaar voor cyberaanvallen en het is moeilijker – en duurder – om ze te updaten om ze te beschermen tegen moderne bedreigingen.

Het Congres wijst middelen toe voor cyberbeveiliging

Tot de goedkeuring van recente wetgeving had de Amerikaanse Food and Drug Administration (FDA) geen bevoegdheid om cyberbeveiligingsrichtlijnen te handhaven. Een wetsvoorstel dat in december 2022 werd ondertekend, deConsolidated Appropriations Act, 2023 (H.R. 26217) genaamd, met 1,7 biljoen dollar aan discretionaire middelen voor het hele fiscale jaar, het hoogste niveau van niet-defensiefundering in de Amerikaanse geschiedenis, heeft het meest reële potentieel tot nu toe om cyberbeveiligingsbedreigingen te beteugelen. Het omnibusbegrotingsvoorstel zit vol met financiering voor overheidsprogramma's en economische ontwikkeling van plattelandsontwikkeling en infrastructuur, natuurbehoud, dier- en plantgezondheid, landbouw- en marketingonderzoek en meer.

Daarvan wordt 3,5 miljard dollar toegewezen aan de FDA om problemen aan te pakken zoals de opioïdencrisis, problemen in de medische toeleveringsketen en ja, ook het verbeteren van de cyberbeveiliging van medische apparatuur. Het gaf de FDA ook voor het eerst de bevoegdheid om cyberbeveiligingsnormen voor medische apparatuur vast te stellen en te handhaven.

Hoe de Consolidated Appropriations Act kan helpen

De Consolidated Appropriations Act bevat verschillende bepalingen die gericht zijn op de cyberbeveiliging van medische hulpmiddelen en die de regelgevende bevoegdheid van de FDA vergroten.

Ten eerste zullen er op federaal niveau ongekende veiligheidsvereisten worden ingevoerd. Fabrikanten zullen verplicht worden om veiligheidsmaatregelen te nemen die ongeoorloofde toegang tot apparaten voorkomen, ervoor zorgen dat medische apparaten toegankelijk blijven tijdens een cyberaanval en de vertrouwelijkheid en gegevens van patiënten beschermen. Elke fabrikant zal een uitgebreid cyberbeveiligingsplan moeten indienen bij de FDA, dat zal worden beoordeeld voor goedkeuring vóór het in de handel brengen. In dit plan moeten de procedures worden beschreven die ervoor zorgen dat consumenten na het in de handel brengen kunnen beschikken over software- en firmware-updates.

De maatregelen vereisen ook meer transparantie en verantwoordingsplicht van fabrikanten. Fabrikanten moeten nu cyberbeveiligingsincidenten binnen een bepaalde termijn melden aan de FDA (en aan de getroffen patiënten) en updates verstrekken over de voortgang van de herstelmaatregelen en plannen om soortgelijke incidenten te voorkomen.

Productterugroepingen en herstelmaatregelen als gevolg van cyberdreigingen komen regelmatig voor, en nu instanties (zoals de FDA) steeds vaker publiekelijk kritiek uiten op beslissingen van fabrikanten, moeten fabrikanten zich hieraan conformeren en zich aan de regels houden om negatieve reacties van het publiek te voorkomen. Daardoor is er meer aanleiding om het advies van experts op te volgen en terugroep- en herstelplannen op te stellen waarin wordt beschreven hoe te reageren op een productgerelateerde crisis. Ook wordt fabrikanten aangeraden om als onderdeel van hun risicobeheerprotocollen simulatieoefeningen voor terugroepacties uit te voeren.

Sommige bepalingen gaan verder dan alleen fabrikanten van medische hulpmiddelen, zoals een belangrijke bepaling die voorziet in de oprichting van een nieuw centrum binnen de FDA dat zich toelegt op het verbeteren en coördineren van cyberbeveiligingsinspanningen voor medische hulpmiddelen. Het Cybersecurity Center of Excellence zal normen en beste praktijken ontwikkelen en implementeren, fabrikanten en zorgverleners begeleiden en de veiligheid van hulpmiddelen evalueren. Belangrijk is dat hiermee een brug wordt geslagen tussen fabrikanten en de federale overheid om een weg voorwaarts te creëren bij het aanpakken van cyberbeveiligingsproblemen in de medische hulpmiddelenindustrie.

Andere bepalingen bevorderen het delen van informatie en samenwerking tussen belanghebbenden; de FDA zal verplicht worden een publiek-privaat partnerschap op te zetten om cyberbeveiliging binnen de sector te bevorderen. De FDA zal ook verplicht worden een nieuw proefprogramma op te zetten om rapportages over cyberbeveiligingskwetsbaarheden te beoordelen en het agentschap te voorzien van cruciale gegevens over risico's.

De verwachte impact

Nu de FDA, fabrikanten en zorgverleners verplicht zijn om samen te werken, kunnen problemen met betrekking tot onduidelijkheid of transparantie eindelijk worden opgelost. Aan de kant van de fabrikanten zullen de FDA en zorgverleners, dankzij de vereisten om cyberbeveiligingsinformatie in terugroeprapporten te vermelden, hoge beveiligingsnormen te garanderen en informatie aan de instantie te rapporteren, over een schat aan informatie beschikken om de cyberbeveiligingsrisico's van medische hulpmiddelen beter te begrijpen.

Omgekeerd zullen fabrikanten (en zorgverleners) nuttige kennis verwerven die helpt om probleemgebieden te verbeteren en het risico op productterugroepingen te verlagen, doordat de FDA verplicht wordt om richtlijnen te geven voor beoordelingen na het in de handel brengen, een speciaal centrum op te richten voor het ontwikkelen van normen en een proefprogramma op te zetten dat zich richt op kwetsbaarheden.

Wanneer medische hulpmiddelen een risico vormen voor patiënten, is snel handelen van cruciaal belang. Naast de gezondheid van patiënten kunnen terugroepacties van medische hulpmiddelen een verwoestend effect hebben op het imago en de winst van een bedrijf, en bedrijven blootstellen aan regelgevende maatregelen en rechtszaken. brand protection van Sedgwick hebben tientallen jaren ervaring op het gebied van medische hulpmiddelen en helpen u bij het ontwikkelen, verbeteren, testen en uitvoeren van uw productterugroepplannen of herstelprocedures.

Meer informatie > Bezoek onzewebsiteom onze ervaring in de sector van medische hulpmiddelen te ontdekken.