Door Matt Walker, adviseur terugroeping
Cyberbeveiliging is een kritieke kwestie geworden voor de sector medische hulpmiddelen, waar een cyberdreiging kan leiden tot letsel of zelfs de dood.
Om dit groeiende probleem aan te pakken, hebben de Amerikaanse Food and Drug Administration, de MITRE Corporation en het Medical Device Innovation Consortium (MDIC) een draaiboek gepubliceerd dat inzichten biedt aan organisaties die een aanpak ontwikkelen of ontwikkelen voor het creëren van dreigingsmodellen voor cyberbeveiliging van medische hulpmiddelen.
Wat is dreigingsmodellering en hoe helpt het?
Volgens het draaiboek is dreigingsmodellering "het analyseren van representaties van een systeem om zorgen over beveiligings- en privacykenmerken te benadrukken". Hierbij worden vier belangrijke vragen gesteld om te beginnen met herkennen wat er mis kan gaan in een systeem. Deze vragen zijn onder andere:
- Waar werken we aan?
- Wat kan er misgaan?
- Wat gaan we eraan doen?
- Hebben we het goed genoeg gedaan?
Na het uitvoeren van een oefening in bedreigingsmodellering identificeren bedrijven "bedreigingen" - problemen met het ontwerp of de implementatie van een medisch hulpmiddel die moeten worden aangepast of beperkt. Gezien de complexiteit en verbondenheid van medische hulpmiddelen is het belangrijk dat alle bedrijven regelmatig oefeningen met dreigingsmodellen uitvoeren. Als een bedreiging in een vroeg stadium wordt opgemerkt, kan dit vaak overlijden of letsel van toekomstige patiënten voorkomen.
De bedreigingen die voortkomen uit kwetsbaarheden op het gebied van cyberbeveiliging zijn ook de risico's die kunnen leiden tot een terugroepactie voor een fabrikant van medische hulpmiddelen. Het uitvoeren van een dreigingsmodeloefening kan fabrikanten helpen deze risico's tijdens de gehele levenscyclus van een medisch hulpmiddel te identificeren en de mogelijkheid creëren om de risico's te beperken voordat ze uitmonden in een terugroepactie.
Hoewel de FDA heeft laten weten dat het threat modeling playbook geen richtlijn is, heeft Suzanne Schwartz, directeur van het FDA's Center for Devices and Radiological Health's Office of Strategic Partnerships and Technology Innovation, gewaarschuwd dat de FDA "op zoek zal gaan naar veel gedetailleerdere en uitgebreidere threat modeling als onderdeel van het goedkeurings- of goedkeuringsproces voor medische hulpmiddelen". Met dit in gedachten moeten alle fabrikanten van medische hulpmiddelen die van plan zijn om een hulpmiddel in te dienen voor goedkeuring, goed kijken naar het draaiboek voor dreigingsmodellering en nu de noodzakelijke stappen nemen om ervoor te zorgen dat ze voorbereid zijn om bewijs van een adequaat dreigingsmodel te presenteren.
Bedreigingsmodellering helpt fabrikanten ook om risico's vroeg in de R&D-fase te identificeren en om na te denken over de impact die de risico's kunnen hebben als het apparaat eenmaal op de markt is. Uiteindelijk zal een zorgvuldige dreigingsmodellering zorgen voor gemoedsrust, geld besparen en, nog belangrijker, levens redden.