Austrália 
Canadá 
Dinamarca 
França 
Alemanha 
Grécia 
Irlanda 
Países Baixos 
Nova Zelândia 
Noruega 
Espanha e Portugal 
Reino Unido 
Estados Unidos 4 de agosto de 2023
Com a rápida evolução da tecnologia, a segurança cibernética tornou-se indispensável em muitos setores. À medida que o risco de ataques cibernéticos se infiltra no setor de saúde, o Congresso dos Estados Unidos é pressionado a tomar medidas. À medida que uma variedade de dispositivos médicos — bombas IV, máquinas de ressonância magnética, monitores de frequência cardíaca — avançam para se conectarem a redes digitais, eles ficam cada vez mais vulneráveis a riscos cibernéticos.
Riscos de cibersegurança em ascensão
Vários fatores contribuem para o aumento das ameaças à segurança cibernética dos dispositivos médicos. O mais óbvio é o influxo de conectividade na indústria médica. Cada vez mais, os dispositivos médicos estão a ser projetados para se conectarem à Internet e a outras redes digitais. Embora existam inúmeras vantagens nesses avanços tecnológicos, eles expõem o software — e, com ele, os dados dos pacientes — a um mundo de riscos. Os hackers podem explorar vulnerabilidades no software ou nas ligações de rede para obter acesso a dados confidenciais ou até mesmo assumir o controlo do próprio dispositivo. Nesses casos, o recall de produtos pode ser particularmente perigoso para a vida dos pacientes, pois o uso contínuo do dispositivo não é uma opção.
O conceito de remediação também deve ser considerado. Às vezes, os dispositivos conectados podem ser corrigidos com um patch de software over-the-air. Dada a natureza de alguns dispositivos e sua importância crítica para a saúde do paciente, nem um patch de software nem um recall são soluções simples. Há também a consideração de equipamentos e aparelhos pesados instalados em hospitais e centros médicos que não podem ser facilmente removidos de sua localização física; scanners de ressonância magnética, máquinas de raios-X e ultrassom, para citar apenas alguns. À medida que esses dispositivos se tornam cada vez mais conectados às redes hospitalares, eles também se tornam vulneráveis a ameaças cibernéticas. Quando não é possível corrigi-los remotamente com um patch de software, normalmente é necessário enviar um engenheiro de campo para inspecionar, diagnosticar e corrigir no local.
A possibilidade de recall não depende apenas de um incidente real, mas também da suscetibilidade a ataques cibernéticos. Testes preventivos de vulnerabilidade desempenham um papel fundamental na identificação de pontos fracos na estrutura de segurança desses dispositivos, ajudando a mitigar o surgimento de incidentes antes que eles ocorram. Por meio de avaliações contínuas – e correção das exposições descobertas –, os prestadores de serviços de saúde e fabricantes podem melhorar a segurança cibernética geral de equipamentos médicos essenciais, reduzindo o risco de danos aos pacientes e violações de dados.
Os reguladores de dispositivos médicos estão a correr para acompanhar a rápida evolução da tecnologia. Mesmo assim, não existem regulamentos de segurança padronizados em todo o setor. Como resultado, os fabricantes não podem projetar produtos com um sistema de segurança formidável, passando a responsabilidade para os prestadores de cuidados de saúde, que devem fazer o possível para avaliar a segurança dos seus dispositivos. Muitos dos dispositivos médicos são construídos com base em sistemas antigos que não foram projetados de acordo com os padrões de segurança modernos. Esses sistemas podem ser especialmente vulneráveis a ciberataques e mais difíceis — e caros — de atualizar para proteger contra ameaças modernas.
O Congresso aloca fundos para a segurança cibernética
Até a aprovação da legislação recente, a Administração de Alimentos e Medicamentos dos EUA (FDA) não tinha poder para fazer cumprir as diretrizes de cibersegurança. Um projeto de lei sancionado em dezembro de 2022, chamadoLei de Apropriações Consolidadas de 2023 (H.R. 26217) — com US$ 1,7 trilhão em recursos discricionários ao longo do ano fiscal, o maior nível de financiamento não relacionado à defesa na história dos Estados Unidos — tem o potencial mais real até agora para conter as ameaças à segurança cibernética. O projeto de lei de dotações orçamentárias está repleto de financiamentos para programas governamentais e desenvolvimento económico do desenvolvimento rural e infraestrutura, conservação, saúde animal e vegetal, pesquisa agrícola e de marketing e muito mais.
Desse montante, US$ 3,5 bilhões são destinados à FDA para lidar com questões como a crise dos opiáceos, problemas na cadeia de abastecimento médico e, sim, melhorar a segurança cibernética dos dispositivos médicos. Além disso, vale destacar que a FDA recebeu pela primeira vez a autoridade para estabelecer e aplicar normas de segurança cibernética para dispositivos médicos.
Como a Lei de Apropriações Consolidadas pode ajudar
A Lei de Apropriações Consolidadas contém várias disposições voltadas para a segurança cibernética de dispositivos médicos, ao mesmo tempo em que aumenta a autoridade regulatória da FDA.
Primeiro, os requisitos de segurança serão implementados a um nível federal sem precedentes. Os fabricantes serão obrigados a implementar controlos de segurança que impeçam o acesso não autorizado aos dispositivos, garantam que os dispositivos médicos permaneçam acessíveis durante um ciberataque e protejam a confidencialidade e os dados dos pacientes. Cada fabricante será obrigado a apresentar um plano abrangente de cibersegurança à FDA para ser analisado para aprovação pré-comercialização, que detalhará os seus procedimentos para garantir que as atualizações de software e firmware pós-comercialização estejam disponíveis para os consumidores.
As medidas também exigirão maior transparência e responsabilidade por parte dos fabricantes. Agora, os fabricantes devem comunicar incidentes de cibersegurança à FDA (bem como aos pacientes afetados) dentro de um prazo específico e fornecer atualizações sobre o andamento dos esforços de correção e planos para evitar que incidentes semelhantes ocorram.
Recalls de produtos e preocupações com remediação devido a ameaças cibernéticas ocorrem com frequência e, à medida que agências (como a FDA) expressam cada vez mais suas críticas às decisões dos fabricantes publicamente, os fabricantes devem seguir o exemplo e agir de acordo com as regras para evitar reações negativas do público. Consequentemente, há mais incentivo para seguir os conselhos dos especialistas para estabelecer planos de recall e remediação que incluam como responder a uma crise relacionada ao produto. Também é sugerido que os fabricantes participem de exercícios simulados de recall como parte de seus protocolos de gestão de risco.
Algumas disposições vão além de visar apenas os fabricantes de dispositivos médicos — como uma disposição fundamental que estabelece um novo centro dentro da FDA dedicado a melhorar e coordenar os esforços de cibersegurança para dispositivos médicos. O Centro de Excelência em Cibersegurança desenvolverá e implementará normas e melhores práticas, fornecerá orientação aos fabricantes e prestadores de cuidados de saúde e avaliará a segurança dos dispositivos. É importante ressaltar que isso criará uma ponte entre os fabricantes e o governo federal para abrir caminho para abordar as preocupações de cibersegurança na indústria de dispositivos médicos.
Outras disposições promovem a partilha de informações e a cooperação entre as partes interessadas; a FDA será obrigada a estabelecer uma parceria público-privada para promover a cibersegurança dentro do setor. A FDA também será obrigada a estabelecer um novo programa piloto destinado a avaliar os relatórios de vulnerabilidade à cibersegurança e fornecer à agência dados críticos sobre os riscos.
O impacto previsto
Agora que a FDA, os fabricantes e os prestadores de cuidados de saúde serão obrigados a trabalhar em conjunto, as questões relacionadas com a falta de clareza ou transparência poderão finalmente ser resolvidas. Do lado dos fabricantes, com os requisitos de detalhar as informações de cibersegurança nos relatórios de recolha, garantir padrões de segurança de alto nível e comunicar informações à agência, a FDA e os prestadores de cuidados de saúde terão uma grande quantidade de informações para compreender melhor os riscos de cibersegurança associados aos dispositivos médicos.
Por outro lado, ao exigir que a FDA forneça orientações sobre revisões pós-comercialização, crie um centro dedicado ao desenvolvimento de normas e estabeleça um programa piloto que vise vulnerabilidades, os fabricantes (e prestadores de cuidados de saúde) receberão conhecimentos úteis que ajudam a melhorar áreas problemáticas e a reduzir o risco de recolhimento de produtos.
Quando os dispositivos médicos colocam os pacientes em risco, é fundamental agir rapidamente. Além da saúde dos pacientes, os recalls de dispositivos médicos podem ter um impacto devastador na marca e nos resultados financeiros de uma empresa, além de expô-la a ações regulatórias e litígios. Os especialistas em proteção de marca da Sedgwick oferecem décadas de experiência em dispositivos médicos, ajudando-o a desenvolver, aprimorar, testar e executar os seus planos de recall de produtos ou procedimentos de remediação.
Saiba mais > Visiteonossositepara explorar a nossa experiência no setor de dispositivos médicos
