Naarmate de technologie zich snel ontwikkelt, is cyberbeveiliging in veel sectoren onmisbaar geworden. Nu het risico van cyberaanvallen de gezondheidszorg binnendringt, wordt het Amerikaanse Congres onder druk gezet om actie te ondernemen. Nu steeds meer medische apparaten - infuuspompen, MRI-machines, hartslagmeters - verbinding kunnen maken met digitale netwerken, worden ze steeds kwetsbaarder voor cybergerelateerde risico's.
Cyberbeveiligingsrisico's nemen toe
Er zijn verschillende factoren die bijdragen aan de toename van cyberbeveiligingsbedreigingen voor medische apparatuur. De meest voor de hand liggende is de toename van connectiviteit in de medische industrie. Steeds meer medische apparaten worden ontworpen om verbinding te maken met het internet en andere digitale netwerken. Hoewel deze technologische vooruitgang vele voordelen heeft, stelt het de software - en daarmee de gegevens van patiënten - bloot aan een wereld van risico's. Hackers kunnen misbruik maken van kwetsbaarheden in de software. Hackers kunnen kwetsbaarheden in de software of netwerkverbindingen misbruiken om toegang te krijgen tot gevoelige gegevens, of zelfs het apparaat zelf overnemen. In deze gevallen kan het terugroepen van producten bijzonder gevaarlijk zijn voor het leven van patiënten, omdat continu gebruik van het apparaat geen optie is.
Het concept van herstel moet ook in overweging worden genomen. Soms kunnen aangesloten apparaten worden gerepareerd met een over-the-air softwarepatch. Gezien de aard van sommige apparaten en het kritieke karakter ervan voor de gezondheid van een patiënt, zijn noch een softwarepatch, noch een terugroepactie eenvoudige oplossingen. Dan is er ook nog de zware apparatuur die in ziekenhuizen en medische centra is geïnstalleerd en die niet gemakkelijk van hun fysieke locatie kan worden verwijderd; MRI-scanners, röntgen- en echografieapparaten om er maar een paar te noemen. Omdat deze apparaten steeds meer verbonden raken met ziekenhuisnetwerken, worden ze ook kwetsbaar voor cyberdreigingen. Als deze apparaten niet op afstand kunnen worden gerepareerd met een softwarepatch, is het meestal nodig om een veldtechnicus in te zetten om ze ter plekke te inspecteren, diagnosticeren en repareren.
De mogelijkheid van terugroepen hangt niet alleen af van een daadwerkelijk incident, maar ook van de gevoeligheid voor cyberaanvallen. Preventieve kwetsbaarheidstests spelen een cruciale rol bij het identificeren van zwakke plekken in de beveiligingsstructuur van deze apparaten, waardoor incidenten kunnen worden beperkt voordat ze zich voordoen. Door voortdurende beoordeling - en herstel van ontdekte kwetsbaarheden - kunnen zorgverleners en fabrikanten de algehele cyberbeveiliging van kritieke medische apparatuur verbeteren, waardoor het risico op schade aan patiënten en gegevensschendingen afneemt.
Regelgevers voor medische hulpmiddelen haasten zich om gelijke tred te houden met de snel evoluerende technologie. Toch zijn er geen gestandaardiseerde beveiligingsregels voor de hele sector. Als gevolg hiervan kunnen fabrikanten hun producten niet ontwerpen met een formidabel beveiligingssysteem, waardoor zorgverleners de verantwoordelijkheid krijgen om hun best te doen bij het evalueren van de beveiliging van hun apparaten. Veel van de medische apparaten zijn gebouwd op oudere systemen die niet zijn ontworpen volgens moderne beveiligingsstandaarden. Deze systemen kunnen bijzonder kwetsbaar zijn voor cyberaanvallen en het is moeilijker - en duurder - om ze bij te werken om ze te beschermen tegen moderne bedreigingen.
Congres kent financiering toe voor cyberbeveiliging
Tot de aanname van recente wetgeving had de Amerikaanse Food and Drug Administration (FDA) geen bevoegdheid om cyberbeveiligingsrichtlijnen af te dwingen. Een wetsvoorstel dat in december 2022 in de wet is opgenomen, de Consolidated Appropriations Act, 2023 (H.R. 26217) - met 1,7 biljoen dollar aan discretionaire middelen voor het hele fiscale jaar, het hoogste niveau van financiering buiten defensie in de Amerikaanse geschiedenis - heeft het grootste potentieel tot nu toe om bedreigingen voor cyberbeveiliging te beteugelen. De omnibuskredieten zitten boordevol financiering voor overheidsprogramma's en economische ontwikkeling van plattelandsontwikkeling en -infrastructuur, natuurbehoud, gezondheid van dieren en planten, landbouw- en marketingonderzoek en meer.
Daarvan is $ 3,5 miljard toegewezen aan de FDA om problemen aan te pakken, waaronder de opioïdecrisis, problemen met de medische toeleveringsketen en ja - het verbeteren van de cyberbeveiliging van medische apparaten. Het gaf de FDA voor het eerst ook de bevoegdheid om cyberbeveiligingsnormen voor medische apparaten op te stellen en te handhaven.
Hoe de Consolidated Appropriations Act kan helpen
De Consolidated Appropriations Act bevat verschillende bepalingen die gericht zijn op cyberbeveiliging van medische hulpmiddelen, terwijl de regelgevende bevoegdheid van de FDA wordt uitgebreid.
Ten eerste worden er op federaal niveau beveiligingsvereisten ingevoerd die hun weerga niet kennen. Fabrikanten zullen beveiligingscontroles moeten implementeren om ongeautoriseerde toegang tot apparaten te voorkomen, om ervoor te zorgen dat medische apparaten toegankelijk zijn tijdens een cyberaanval en om de vertrouwelijkheid en gegevens van patiënten te beschermen. Elke fabrikant is verplicht om een uitgebreid cyberbeveiligingsplan in te dienen bij de FDA, dat moet worden beoordeeld voor goedkeuring voordat het apparaat op de markt wordt gebracht.
De maatregelen vereisen ook een verbeterde transparantie en verantwoording van fabrikanten. Nu moeten fabrikanten incidenten op het gebied van cyberbeveiliging binnen een bepaalde termijn melden aan de FDA (en aan getroffen patiënten) en updates geven over de voortgang van de herstelinspanningen en plannen om soortgelijke incidenten te voorkomen.
Het terugroepen van producten en het herstellen van problemen als gevolg van cyberdreigingen komen regelmatig voor en omdat instanties (zoals de FDA) hun kritiek op beslissingen van fabrikanten steeds vaker in het openbaar uiten, moeten fabrikanten het voorbeeld volgen en de dingen volgens het boekje doen om publieke terugslag te voorkomen. Bijgevolg is er meer stimulans om het advies van experts op te volgen om terugroep- en herstelplannen op te stellen die bevatten hoe te reageren op een productgerelateerde crisis. Er wordt ook gesuggereerd dat fabrikanten als onderdeel van hun risicomanagementprotocollen nep-terugroepoefeningen houden.
Sommige bepalingen zijn niet alleen gericht op fabrikanten van medische hulpmiddelen - zoals een belangrijke bepaling die een nieuw centrum binnen de FDA opricht dat zich richt op het verbeteren en coördineren van cyberbeveiligingsinspanningen voor medische hulpmiddelen. Het Cybersecurity Center of Excellence zal standaarden en best practices ontwikkelen en implementeren, richtlijnen geven aan fabrikanten en zorgverleners en de beveiliging van hulpmiddelen evalueren. Het is belangrijk dat dit een brug zal slaan tussen fabrikanten en de federale overheid om een pad voorwaarts te creëren bij het aanpakken van problemen met cyberbeveiliging in de sector voor medische hulpmiddelen.
Andere bepalingen bevorderen het delen van informatie en samenwerking tussen belanghebbenden; de FDA zal een publiek-privaat partnerschap moeten opzetten om cyberbeveiliging binnen de industrie te bevorderen. De FDA zal ook worden verplicht om een nieuw pilotprogramma op te zetten dat is ontworpen om de rapportage van kwetsbaarheden op het gebied van cyberbeveiliging te beoordelen en het agentschap te voorzien van kritieke gegevens over risico's.
De verwachte impact
Nu de FDA, fabrikanten en zorgverleners verplicht zijn om samen te werken, kunnen problemen met betrekking tot onduidelijkheid of transparantie eindelijk worden opgelost. Aan de kant van de fabrikanten, met de vereisten om informatie over cyberbeveiliging gedetailleerd op te nemen in terugroeprapporten, te zorgen voor beveiligingsstandaarden op hoog niveau en informatie te rapporteren aan het agentschap, zullen de FDA en zorgverleners een schat aan informatie hebben om de risico's van cyberbeveiliging van medische hulpmiddelen beter te begrijpen.
Als de FDA daarentegen richtlijnen moet geven voor beoordelingen na het op de markt brengen, een speciaal centrum moet oprichten om standaarden te ontwikkelen en een pilotprogramma moet opzetten dat zich richt op kwetsbare punten, zullen fabrikanten (en zorgverleners) nuttige kennis ontvangen die helpt om probleemgebieden te verbeteren en het risico op het terugroepen van producten te verlagen.
Wanneer medische hulpmiddelen patiënten in gevaar brengen, is snel handelen van cruciaal belang. Naast de gezondheid van patiënten kunnen terugroepacties van medische hulpmiddelen een verwoestende impact hebben op het merk en de winst van een bedrijf, en bedrijven blootstellen aan regelgevende maatregelen en rechtszaken. Sedgwick's brand protection experts hebben tientallen jaren ervaring met medische hulpmiddelen en helpen u bij het ontwikkelen, verbeteren, testen en uitvoeren van uw plannen voor het terugroepen van producten of saneringsprocedures.
Lees meer > bezoek onze website om onze ervaring binnen de sector medische hulpmiddelen te verkennen
Tags: cyber, Cyberrisico, cyberbeveiliging, Gegevens, gezondheid, gezondheid en veiligheid, gezondheidskwesties, Medische zorg, medische claims, geneeskunde, Veiligheid, Beveiliging