Com a rápida evolução da tecnologia, a segurança cibernética tornou-se indispensável em muitos setores. À medida que o risco de ataques cibernéticos se infiltra no setor de saúde, o Congresso dos EUA é pressionado a agir. À medida que uma série de dispositivos médicos - bombas intravenosas, máquinas de ressonância magnética, monitores de frequência cardíaca - avança para poder se conectar a redes digitais, eles ficam cada vez mais vulneráveis a riscos cibernéticos.
Riscos de segurança cibernética em alta
Vários fatores contribuem para o aumento das ameaças à segurança cibernética dos dispositivos médicos. O mais direto é o influxo da conectividade no setor médico. Cada vez mais, os dispositivos médicos estão sendo projetados para se conectarem à Internet e a outras redes digitais. Embora existam inúmeras vantagens nesses avanços tecnológicos, eles expõem o software - e, com ele, os dados dos pacientes - a um mundo de riscos. Os hackers podem explorar vulnerabilidades no software ou nas conexões de rede para obter acesso a dados confidenciais ou até mesmo assumir o controle do próprio dispositivo. Nesses casos, os recalls de produtos podem ser particularmente perigosos para a vida dos pacientes, pois o uso contínuo do dispositivo não é uma opção.
O conceito de correção também deve ser considerado. Às vezes, os dispositivos conectados podem ser corrigidos com um patch de software over-the-air. Dada a natureza de alguns dispositivos e sua importância crítica para a saúde do paciente, nem um patch de software nem um recall são soluções simples. Há também a consideração de equipamentos e aparelhos pesados instalados em hospitais e centros médicos que não podem ser facilmente removidos de seu local físico; scanners de ressonância magnética, máquinas de raios X e de ultrassom, para citar apenas alguns. Como esses dispositivos estão cada vez mais conectados às redes hospitalares, eles também se tornam vulneráveis a ameaças cibernéticas. Quando não podem ser consertados remotamente com um patch de software, geralmente é necessário o envio de um engenheiro de campo para inspecionar, diagnosticar e consertar no local.
A possibilidade de recall não depende apenas de um incidente real, mas também da suscetibilidade a ataques cibernéticos. O teste preventivo de vulnerabilidade desempenha um papel fundamental na identificação de pontos fracos na estrutura de segurança desses dispositivos, ajudando a atenuar o início de incidentes antes que eles ocorram. Por meio da avaliação contínua - e da correção da exposição descoberta - os prestadores de serviços de saúde e os fabricantes podem aprimorar a segurança cibernética geral dos equipamentos médicos essenciais, reduzindo o risco de danos aos pacientes e violações de dados.
Os órgãos reguladores de dispositivos médicos estão correndo para acompanhar a rápida evolução da tecnologia. Mesmo assim, não há normas de segurança padronizadas em todo o setor. Como resultado, os fabricantes não podem projetar os produtos com um sistema de segurança formidável, passando a responsabilidade aos provedores de serviços de saúde para que façam o melhor possível na avaliação da segurança dos dispositivos. Muitos dos dispositivos médicos são construídos em sistemas legados que não foram projetados de acordo com os padrões de segurança modernos. Esses sistemas podem ser especialmente vulneráveis a ataques cibernéticos e mais difíceis - e caros - de atualizar para proteger contra ameaças modernas.
O Congresso aloca fundos para a segurança cibernética
Até a aprovação da legislação recente, a Food and Drug Administration (FDA) dos EUA não tinha poder para impor diretrizes de segurança cibernética. Um projeto de lei assinado em dezembro de 2022, chamado Consolidated Appropriations Act, 2023 (H.R. 26217) - que contém US$ 1,7 trilhão em recursos discricionários ao longo do ano fiscal, o nível mais alto de financiamento não relacionado à defesa na história dos Estados Unidos - tem o potencial mais real até o momento para conter as ameaças à segurança cibernética. O projeto de lei de apropriações gerais está repleto de financiamento para programas governamentais e desenvolvimento econômico de desenvolvimento rural e infraestrutura, conservação, saúde animal e vegetal, pesquisa agrícola e de marketing e muito mais.
Entre eles, US$ 3,5 bilhões são alocados à FDA para tratar de questões como a crise dos opioides, problemas na cadeia de suprimentos médicos e, sim, melhorar a segurança cibernética de dispositivos médicos. Também, notavelmente, deu à FDA a autoridade para estabelecer e aplicar padrões de segurança cibernética para dispositivos médicos pela primeira vez.
Como a Lei de Apropriações Consolidadas pode ajudar
A Lei de Apropriações Consolidadas contém várias disposições voltadas para a segurança cibernética de dispositivos médicos, ao mesmo tempo em que aumenta a autoridade regulatória da FDA.
Primeiro, os requisitos de segurança serão implementados em um nível federal sem precedentes. Os fabricantes deverão implementar controles de segurança que impeçam o acesso não autorizado aos dispositivos, garantam que os dispositivos médicos estejam acessíveis em caso de ataque cibernético e protejam a confidencialidade e os dados dos pacientes. Cada fabricante deverá enviar um plano abrangente de segurança cibernética para a FDA, a ser analisado para aprovação antes da comercialização, que detalhará seus procedimentos para garantir que as atualizações de software e firmware pós-comercialização estejam disponíveis para os consumidores.
As medidas também exigirão maior transparência e responsabilidade dos fabricantes. Agora, os fabricantes devem relatar incidentes de segurança cibernética à FDA (bem como aos pacientes afetados) dentro de um prazo específico e fornecer atualizações sobre o progresso dos esforços de correção e planos para evitar a ocorrência de incidentes semelhantes.
Os recalls de produtos e as preocupações com a remediação devido a ameaças cibernéticas acontecem com frequência e, como as agências (como a FDA) expressam cada vez mais publicamente suas críticas às decisões dos fabricantes, os fabricantes devem seguir o exemplo e fazer as coisas de acordo com as regras para evitar reações públicas. Consequentemente, há mais incentivo para seguir o conselho de especialistas e estabelecer planos de recall e remediação que incluam como responder a uma crise relacionada a um produto. Sugere-se também que os fabricantes participem de exercícios simulados de recall como parte de seus protocolos de gerenciamento de riscos.
Algumas disposições vão além de visar apenas os fabricantes de dispositivos médicos - como uma disposição importante que estabelece um novo centro dentro da FDA dedicado a melhorar e coordenar os esforços de segurança cibernética para dispositivos médicos. O Centro de Excelência em Segurança Cibernética desenvolverá e implementará padrões e práticas recomendadas, fornecerá orientação aos fabricantes e prestadores de serviços de saúde e avaliará a segurança dos dispositivos. É importante ressaltar que isso criará uma ponte entre os fabricantes e o governo federal para criar um caminho para abordar as preocupações com a segurança cibernética no setor de dispositivos médicos.
Outras disposições promovem o compartilhamento de informações e a cooperação entre as partes interessadas; a FDA será obrigada a estabelecer uma parceria público-privada para promover a segurança cibernética no setor. A FDA também será obrigada a estabelecer um novo programa piloto projetado para avaliar os relatórios de vulnerabilidade de segurança cibernética e fornecer à agência dados críticos sobre os riscos.
O impacto projetado
Agora que a FDA, os fabricantes e os prestadores de serviços de saúde terão que trabalhar em conjunto, os problemas que envolvem falta de clareza ou transparência poderão finalmente ser resolvidos. No lado dos fabricantes, com os requisitos para detalhar as informações de segurança cibernética nos relatórios de recall, garantir padrões de segurança de alto nível e relatar informações à agência, a FDA e os provedores de serviços de saúde terão uma grande quantidade de informações para entender melhor os riscos de segurança cibernética associados aos dispositivos médicos.
Por outro lado, ao exigir que a FDA forneça orientações sobre análises pós-comercialização, crie um centro dedicado para desenvolver padrões e estabeleça o programa piloto que visa às vulnerabilidades, os fabricantes (e os prestadores de serviços de saúde) receberão conhecimentos úteis que ajudarão a melhorar as áreas problemáticas e a reduzir o risco de recalls de produtos.
Quando os dispositivos médicos colocam os pacientes em risco, uma ação rápida torna-se fundamental. Além da saúde do paciente, os recalls de dispositivos médicos podem ter um impacto devastador sobre a marca e os resultados financeiros de uma empresa, além de deixá-la exposta a ações regulatórias e litígios. Os especialistas em proteção de marcas da Sedgwick oferecem décadas de experiência em dispositivos médicos, ajudando-o a desenvolver, aprimorar, testar e executar seus planos de recall de produtos ou procedimentos de correção.
Saiba mais > visite nosso site para explorar nossa experiência no setor de dispositivos médicos
Tags: cibernético, risco cibernético, segurança cibernética, dados, saúde, saúde e segurança, preocupações com a saúde, cuidados médicos, reclamações médicas, medicina, segurança, segurança