Ameaças à segurança cibernética no setor de dispositivos médicos

Com a rápida evolução da tecnologia, a segurança cibernética tornou-se indispensável em muitos setores. À medida que o risco de ataques cibernéticos se infiltra no setor de saúde, o Congresso dos Estados Unidos é pressionado a tomar medidas. À medida que uma variedade de dispositivos médicos — bombas IV, máquinas de ressonância magnética, monitores de frequência cardíaca — avançam para se conectar a redes digitais, eles se tornam cada vez mais vulneráveis a riscos cibernéticos.

Riscos de segurança cibernética em ascensão

Vários fatores contribuem para o aumento das ameaças à segurança cibernética dos dispositivos médicos. O mais evidente é o influxo de conectividade na indústria médica. Cada vez mais, os dispositivos médicos estão sendo projetados para se conectarem à Internet e a outras redes digitais. Embora existam inúmeras vantagens nesses avanços tecnológicos, eles expõem o software — e, com ele, os dados dos pacientes — a um mundo de riscos. Os hackers podem explorar vulnerabilidades no software ou nas conexões de rede para obter acesso a dados confidenciais ou até mesmo assumir o controle do próprio dispositivo. Nesses casos, o recall de produtos pode ser particularmente perigoso para a vida dos pacientes, pois o uso contínuo do dispositivo não é uma opção.

O conceito de remediação também deve ser considerado. Às vezes, os dispositivos conectados podem ser corrigidos com um patch de software over-the-air. Dada a natureza de alguns dispositivos e sua importância para a saúde do paciente, nem um patch de software nem um recall são soluções simples. Há também a consideração de equipamentos e aparelhos pesados instalados em hospitais e centros médicos que não podem ser facilmente removidos de seu local físico; scanners de ressonância magnética, máquinas de raios-X e ultrassom, para citar apenas alguns. À medida que esses dispositivos se tornam cada vez mais conectados às redes hospitalares, eles também se tornam vulneráveis a ameaças cibernéticas. Quando não é possível corrigi-los remotamente com um patch de software, normalmente é necessário enviar um engenheiro de campo para inspecionar, diagnosticar e corrigir no local.

A possibilidade de recall não depende apenas de um incidente real, mas também da suscetibilidade a ataques cibernéticos. Testes preventivos de vulnerabilidade desempenham um papel fundamental na identificação de pontos fracos na estrutura de segurança desses dispositivos, ajudando a mitigar o surgimento de incidentes antes que eles ocorram. Por meio de avaliações contínuas – e correção das exposições descobertas –, os prestadores de serviços de saúde e fabricantes podem melhorar a segurança cibernética geral de equipamentos médicos essenciais, reduzindo o risco de danos aos pacientes e violações de dados.

Os reguladores de dispositivos médicos estão correndo para acompanhar a rápida evolução da tecnologia. Mesmo assim, não há regulamentos de segurança padronizados em todo o setor. Como resultado, os fabricantes não podem projetar produtos com um sistema de segurança formidável, passando a responsabilidade para os profissionais de saúde, que devem fazer o possível para avaliar a segurança de seus dispositivos. Muitos dos dispositivos médicos são construídos com base em sistemas legados que não foram projetados de acordo com os padrões de segurança modernos. Esses sistemas podem ser especialmente vulneráveis a ataques cibernéticos e mais difíceis — e caros — de atualizar para se proteger contra ameaças modernas.

O Congresso aloca verbas para a segurança cibernética

Até a aprovação da legislação recente, a Administração de Alimentos e Medicamentos dos Estados Unidos (FDA) não tinha poder para fazer cumprir as diretrizes de segurança cibernética. Um projeto de lei sancionado em dezembro de 2022, chamadoLei de Apropriações Consolidadas de 2023 (H.R. 26217) — com US$ 1,7 trilhão em recursos discricionários ao longo do ano fiscal, o maior nível de financiamento não relacionado à defesa na história dos Estados Unidos — tem o potencial mais real até agora para conter as ameaças à segurança cibernética. O projeto de lei de apropriações coletivas está repleto de financiamento para programas governamentais e desenvolvimento econômico de desenvolvimento rural e infraestrutura, conservação, saúde animal e vegetal, pesquisa agrícola e de marketing e muito mais.

Desse montante, US$ 3,5 bilhões são destinados à FDA para lidar com questões como a crise dos opiáceos, problemas na cadeia de abastecimento médico e, sim, melhorar a segurança cibernética dos dispositivos médicos. Além disso, vale destacar que, pela primeira vez, a FDA recebeu autoridade para estabelecer e aplicar normas de segurança cibernética para dispositivos médicos.

Como a Lei de Apropriações Consolidadas pode ajudar

A Lei de Apropriações Consolidadas contém várias disposições voltadas para a segurança cibernética de dispositivos médicos, ao mesmo tempo em que aumenta a autoridade regulatória da FDA.

Primeiro, os requisitos de segurança serão implementados em um nível federal sem precedentes. Os fabricantes serão obrigados a implementar controles de segurança que impeçam o acesso não autorizado aos dispositivos, garantam que os dispositivos médicos permaneçam acessíveis durante um ataque cibernético e protejam a confidencialidade e os dados dos pacientes. Cada fabricante será obrigado a apresentar um plano abrangente de segurança cibernética à FDA para ser analisado para aprovação pré-comercialização, detalhando seus procedimentos para garantir que as atualizações de software e firmware pós-comercialização estejam disponíveis para os consumidores.

As medidas também exigirão maior transparência e responsabilidade por parte dos fabricantes. Agora, os fabricantes devem relatar incidentes de segurança cibernética à FDA (bem como aos pacientes afetados) dentro de um prazo específico e fornecer atualizações sobre o andamento dos esforços de remediação e planos para evitar que incidentes semelhantes ocorram.

Recalls de produtos e preocupações com remediação devido a ameaças cibernéticas ocorrem com frequência e, à medida que agências (como a FDA) expressam cada vez mais suas críticas às decisões dos fabricantes publicamente, os fabricantes devem seguir o exemplo e agir de acordo com as regras para evitar reações negativas do público. Consequentemente, há mais incentivo para seguir os conselhos dos especialistas para estabelecer planos de recall e remediação que incluam como responder a uma crise relacionada ao produto. Também é sugerido que os fabricantes participem de exercícios simulados de recall como parte de seus protocolos de gerenciamento de risco.

Algumas disposições vão além de visar apenas os fabricantes de dispositivos médicos — como uma disposição fundamental que estabelece um novo centro dentro da FDA dedicado a melhorar e coordenar os esforços de segurança cibernética para dispositivos médicos. O Centro de Excelência em Segurança Cibernética desenvolverá e implementará normas e melhores práticas, fornecerá orientação aos fabricantes e prestadores de serviços de saúde e avaliará a segurança dos dispositivos. É importante ressaltar que isso criará uma ponte entre os fabricantes e o governo federal para abrir caminho para abordar as preocupações de segurança cibernética na indústria de dispositivos médicos.

Outras disposições promovem o compartilhamento de informações e a cooperação entre as partes interessadas; a FDA será obrigada a estabelecer uma parceria público-privada para promover a segurança cibernética dentro do setor. A FDA também será obrigada a estabelecer um novo programa piloto destinado a avaliar relatórios de vulnerabilidade à segurança cibernética e fornecer à agência dados críticos sobre riscos.

O impacto projetado

Agora que a FDA, os fabricantes e os prestadores de serviços de saúde serão obrigados a trabalhar em conjunto, as questões relacionadas à falta de clareza ou transparência poderão finalmente ser resolvidas. Do lado dos fabricantes, com a exigência de detalhar as informações de segurança cibernética nos relatórios de recall, garantir padrões de segurança de alto nível e relatar informações à agência, a FDA e os prestadores de serviços de saúde terão uma grande quantidade de informações para entender melhor os riscos de segurança cibernética associados aos dispositivos médicos.

Por outro lado, ao exigir que a FDA forneça orientações sobre revisões pós-comercialização, crie um centro dedicado ao desenvolvimento de normas e estabeleça o programa piloto que visa vulnerabilidades, os fabricantes (e prestadores de serviços de saúde) receberão conhecimentos úteis que ajudam a melhorar áreas problemáticas e reduzir o risco de recalls de produtos.

Quando os dispositivos médicos colocam os pacientes em risco, é fundamental agir rapidamente. Além da saúde dos pacientes, os recalls de dispositivos médicos podem ter um impacto devastador na marca e nos resultados financeiros de uma empresa, além de expô-la a ações regulatórias e litígios. Os especialistas em proteção de marca da Sedgwick oferecem décadas de experiência em dispositivos médicos, ajudando você a desenvolver, aprimorar, testar e executar seus planos de recall de produtos ou procedimentos de remediação.

Saiba mais > Visite nossositepara explorar nossa experiência no setor de dispositivos médicos