À medida que a tecnologia evolui rapidamente, a cibersegurança tornou-se indispensável em muitos sectores. À medida que o risco de ciberataques se infiltra no sector da saúde, o Congresso dos EUA é pressionado a tomar medidas. À medida que uma série de dispositivos médicos - bombas intravenosas, máquinas de ressonância magnética, monitores de ritmo cardíaco - avançam para poderem ligar-se a redes digitais, tornam-se cada vez mais vulneráveis a riscos cibernéticos.
Riscos de cibersegurança em alta
Vários factores contribuem para o aumento das ameaças à cibersegurança dos dispositivos médicos. O mais direto é o influxo da conetividade na indústria médica. Cada vez mais, os dispositivos médicos estão a ser concebidos para se ligarem à Internet e a outras redes digitais. Embora estes avanços tecnológicos apresentem inúmeras vantagens, o software - e, com ele, os dados dos doentes - está exposto a um mundo de riscos. Os piratas informáticos podem explorar vulnerabilidades no software ou nas ligações de rede para obter acesso a dados sensíveis ou mesmo para controlar o próprio dispositivo. Nestes casos, as recolhas de produtos podem ser particularmente perigosas para a vida dos doentes, uma vez que a utilização contínua do dispositivo não é uma opção.
O conceito de correção também deve ser considerado. Por vezes, os dispositivos ligados podem ser corrigidos com um patch de software sem fios. Dada a natureza de alguns dispositivos e a sua importância crítica para a saúde de um doente, nem uma correção de software nem uma recolha são soluções simples. Há ainda a considerar o equipamento e os aparelhos pesados instalados em hospitais e centros médicos que não podem ser facilmente removidos da sua localização física; scanners de ressonância magnética, máquinas de raios X e de ultra-sons, para citar apenas alguns. Como estes dispositivos estão cada vez mais ligados às redes hospitalares, também eles se tornam vulneráveis a ameaças cibernéticas. Quando estes não podem ser reparados remotamente com uma correção de software, é normalmente necessário recorrer a um engenheiro no terreno para inspecionar, diagnosticar e reparar no local.
A possibilidade de recolha não depende apenas de um incidente real, mas também da suscetibilidade a ciberataques. Os testes de vulnerabilidade preventivos desempenham um papel fundamental na identificação de pontos fracos na estrutura de segurança destes dispositivos, ajudando a atenuar o aparecimento de incidentes antes de estes ocorrerem. Através da avaliação contínua - e da correção da exposição descoberta - os prestadores de cuidados de saúde e os fabricantes podem melhorar a cibersegurança global do equipamento médico crítico, reduzindo o risco de danos para os doentes e de violações de dados.
Os reguladores de dispositivos médicos estão a correr para acompanhar a rápida evolução da tecnologia. Mesmo assim, não existem normas de segurança padronizadas em todo o sector. Como resultado, os fabricantes não podem conceber os produtos com um sistema de segurança formidável, passando a responsabilidade para os prestadores de cuidados de saúde, que devem fazer o seu melhor para avaliar a segurança dos seus dispositivos. Muitos dos dispositivos médicos são construídos com base em sistemas antigos que não foram concebidos de acordo com as normas de segurança modernas. Estes sistemas podem ser especialmente vulneráveis a ciberataques e mais difíceis - e dispendiosos - de atualizar para proteger contra ameaças modernas.
O Congresso atribui fundos para a cibersegurança
Até a aprovação de legislação recente, a Food and Drug Administration (FDA) dos EUA não tinha poder para fazer cumprir as diretrizes de segurança cibernética. Um projeto de lei assinado em dezembro de 2022 chamado de Lei de Apropriações Consolidadas, 2023 (HR 26217) - contendo US $ 1.7 trilhão em recursos discricionários ao longo do ano fiscal, o nível mais alto de financiamento não relacionado à defesa na história americana - tem o potencial mais real ainda para conter as ameaças à segurança cibernética. O projeto de lei de dotações globais está repleto de financiamento para programas governamentais e desenvolvimento económico de desenvolvimento rural e infra-estruturas, conservação, saúde animal e vegetal, investigação agrícola e comercial e muito mais.
Entre eles, 3,5 mil milhões de dólares são atribuídos à FDA para abordar questões como a crise dos opiáceos, questões relacionadas com a cadeia de abastecimento médico e, sim, melhorar a cibersegurança dos dispositivos médicos. Também, nomeadamente, deu à FDA a autoridade para estabelecer e aplicar normas de cibersegurança para dispositivos médicos pela primeira vez.
Como a Lei das Dotações Consolidadas pode ajudar
A Lei das Dotações Consolidadas contém várias disposições que visam a cibersegurança dos dispositivos médicos, aumentando simultaneamente a autoridade regulamentar da FDA.
Em primeiro lugar, os requisitos de segurança serão implementados a um nível federal sem precedentes. Os fabricantes terão de implementar controlos de segurança que impeçam o acesso não autorizado aos dispositivos, garantam que os dispositivos médicos estão acessíveis em caso de ciberataque e protejam a confidencialidade e os dados dos doentes. Cada fabricante terá de apresentar à FDA um plano abrangente de cibersegurança, a ser analisado para aprovação antes da comercialização, que descreva em pormenor os seus procedimentos para garantir que as actualizações de software e firmware pós-comercialização estão disponíveis para os consumidores.
As medidas também exigirão maior transparência e responsabilidade por parte dos fabricantes. Agora, os fabricantes devem comunicar os incidentes de cibersegurança à FDA (bem como aos doentes afectados) dentro de um prazo específico e fornecer actualizações sobre o progresso dos esforços de correção e dos planos para evitar a ocorrência de incidentes semelhantes.
As recolhas de produtos e as preocupações com a correção devido a ciberameaças acontecem frequentemente e, à medida que as agências (como a FDA) expressam cada vez mais publicamente as suas críticas às decisões dos fabricantes, estes têm de seguir o exemplo e fazer as coisas como mandam as regras para evitar reacções públicas. Consequentemente, existe um maior incentivo para seguir os conselhos dos especialistas e estabelecer planos de recolha e reparação que incluam a forma de responder a uma crise relacionada com um produto. Sugere-se também que os fabricantes se envolvam em exercícios simulados de recolha como parte dos seus protocolos de gestão de riscos.
Algumas disposições vão para além de visarem apenas os fabricantes de dispositivos médicos - como é o caso de uma disposição fundamental que cria um novo centro na FDA dedicado a melhorar e coordenar os esforços de cibersegurança para os dispositivos médicos. O Centro de Excelência em Cibersegurança desenvolverá e implementará normas e melhores práticas, fornecerá orientações aos fabricantes e prestadores de cuidados de saúde e avaliará a segurança dos dispositivos. É importante salientar que isto criará uma ponte entre os fabricantes e o governo federal para criar um caminho para abordar as preocupações de cibersegurança na indústria dos dispositivos médicos.
Outras disposições promovem a partilha de informações e a cooperação entre as partes interessadas; a FDA será obrigada a estabelecer uma parceria público-privada para promover a cibersegurança na indústria. A FDA será também obrigada a estabelecer um novo programa-piloto destinado a avaliar a comunicação de vulnerabilidades em matéria de cibersegurança e a fornecer à agência dados críticos sobre os riscos.
O impacto previsto
Agora que a FDA, os fabricantes e os prestadores de cuidados de saúde terão de trabalhar em conjunto, as questões relacionadas com a falta de clareza ou de transparência poderão finalmente ser resolvidas. Do lado dos fabricantes, com os requisitos para detalhar as informações sobre cibersegurança nos relatórios de recolha, garantir normas de segurança de alto nível e comunicar informações à agência, a FDA e os prestadores de cuidados de saúde terão uma grande quantidade de informações para compreender melhor os riscos de cibersegurança associados aos dispositivos médicos.
Por outro lado, ao exigir que a FDA forneça orientações sobre as análises pós-comercialização, crie um centro dedicado ao desenvolvimento de normas e estabeleça o programa-piloto que visa as vulnerabilidades, os fabricantes (e os prestadores de cuidados de saúde) receberão conhecimentos úteis que ajudarão a melhorar as áreas problemáticas e a reduzir o risco de retiradas de produtos.
Quando os dispositivos médicos colocam os doentes em risco, torna-se fundamental uma ação rápida. Para além da saúde dos pacientes, as recolhas de dispositivos médicos podem ter um impacto devastador na marca e nos resultados de uma empresa, e deixar as empresas expostas a acções regulamentares e litígios. Os especialistas em proteção da marca da Sedgwick possuem décadas de experiência em dispositivos médicos - ajudando-o a desenvolver, melhorar, testar e executar os seus planos de recolha de produtos ou procedimentos de correção.
Saiba mais > visite o nosso sítio Web para explorar a nossa experiência no sector dos dispositivos médicos
Tags: cibernética, cibersegurança, risco cibernético, dados, saúde, saúde e segurança, preocupações com a saúde, cuidados médicos, reclamações médicas, medicina, segurança, Segurança