Por Matt Walker, consultor de recall
A segurança cibernética tornou-se uma questão crítica para o setor de dispositivos médicos, no qual uma ameaça cibernética pode levar a lesões ou até mesmo à morte.
Para lidar com esse problema crescente, a U.S. Food and Drug Administration, a MITRE Corporation e o Medical Device Innovation Consortium (MDIC) publicaram um manual que oferece insights para organizações que estão desenvolvendo ou evoluindo uma abordagem para criar modelos de ameaças para a segurança cibernética de dispositivos médicos.
O que é modelagem de ameaças e como ela é útil?
De acordo com o manual, a modelagem de ameaças consiste em "analisar representações de um sistema para destacar preocupações sobre características de segurança e privacidade". Isso envolve fazer quatro perguntas-chave para começar a reconhecer o que pode dar errado em um sistema. Essas perguntas incluem:
- Em que estamos trabalhando?
- O que pode dar errado?
- O que vamos fazer a respeito?
- Fizemos um trabalho suficientemente bom?
Depois de realizar um exercício de modelagem de ameaças, as empresas identificam "ameaças" - problemas de projeto ou implementação em um dispositivo médico que exigem ajustes ou mitigação. Dada a complexidade e a conectividade dos dispositivos médicos, é importante que todas as empresas realizem regularmente exercícios de modelagem de ameaças. A detecção precoce de uma ameaça pode, muitas vezes, evitar a morte ou lesão de futuros pacientes.
As ameaças que surgem das vulnerabilidades de segurança cibernética também são os riscos que podem levar a um recall para um fabricante de dispositivos médicos. A execução de um exercício de modelagem de ameaças pode ajudar os fabricantes a identificar esses riscos durante todo o ciclo de vida de um dispositivo médico e criar a oportunidade de mitigar os riscos antes que eles se transformem em um recall.
Embora a FDA tenha compartilhado que o manual de modelagem de ameaças não é uma orientação, Suzanne Schwartz, diretora do Escritório de Parcerias Estratégicas e Inovação Tecnológica do Centro de Dispositivos e Saúde Radiológica da FDA, advertiu que a FDA "buscará uma modelagem de ameaças muito mais detalhada e abrangente como parte do processo de liberação ou aprovação de dispositivos médicos". Com isso em mente, todos os fabricantes de dispositivos médicos que planejam enviar um dispositivo para aprovação devem prestar muita atenção ao manual de modelagem de ameaças e tomar as medidas necessárias agora para garantir que estejam preparados para apresentar provas de um modelo de ameaças adequado.
A modelagem de ameaças também ajudará os fabricantes a identificar os riscos no início do estágio de P&D, além de ajudá-los a pensar sobre o impacto que os riscos poderão ter quando o dispositivo estiver no mercado. No final, a modelagem cuidadosa de ameaças criará tranquilidade, economizará dinheiro e, o que é mais importante, salvará vidas.