Por Matt Walker, conselheiro de recolha
A cibersegurança tornou-se uma questão crítica para a indústria dos dispositivos médicos, onde uma ameaça cibernética pode provocar lesões ou mesmo a morte.
Para resolver este problema crescente, a U.S. Food and Drug Administration, a MITRE Corporation e o Medical Device Innovation Consortium (MDIC) publicaram um manual que oferece informações às organizações que estão a desenvolver ou a desenvolver uma abordagem para criar modelos de ameaças para a cibersegurança dos dispositivos médicos.
O que é a modelação de ameaças e qual a sua utilidade?
De acordo com o manual, a modelação de ameaças consiste em "analisar representações de um sistema para destacar preocupações sobre características de segurança e privacidade". Isto envolve fazer quatro perguntas-chave para começar a reconhecer o que pode correr mal num sistema. Essas perguntas incluem:
- Em que é que estamos a trabalhar?
- O que é que pode correr mal?
- O que é que vamos fazer em relação a isso?
- Fizemos um trabalho suficientemente bom?
Após a realização de um exercício de modelação de ameaças, as empresas identificam "ameaças" - problemas de conceção ou implementação num dispositivo médico que requerem ajustes ou atenuação. Dada a complexidade e a ligação dos dispositivos médicos, é importante que todas as empresas efectuem regularmente exercícios de modelação de ameaças. A deteção precoce de uma ameaça pode muitas vezes evitar a morte ou lesões de futuros doentes.
As ameaças que surgem das vulnerabilidades de cibersegurança são também os riscos que podem levar a uma recolha para um fabricante de dispositivos médicos. A execução de um exercício de modelação de ameaças pode ajudar os fabricantes a identificar estes riscos ao longo do ciclo de vida de um dispositivo médico e criar a oportunidade de mitigar os riscos antes de se transformarem numa recolha.
Embora a FDA tenha partilhado que o manual de modelação de ameaças não é uma orientação, Suzanne Schwartz, directora do Gabinete de Parcerias Estratégicas e Inovação Tecnológica do Centro de Dispositivos e Saúde Radiológica da FDA, advertiu que a FDA "procurará uma modelação de ameaças muito mais detalhada e abrangente como parte do processo de autorização ou aprovação de dispositivos médicos". Com isto em mente, todos os fabricantes de dispositivos médicos que planeiam submeter um dispositivo para aprovação devem prestar muita atenção ao manual de modelação de ameaças e tomar agora as medidas necessárias para garantir que estão preparados para apresentar provas de um modelo de ameaças adequado.
A modelação de ameaças também ajudará os fabricantes a identificar os riscos na fase inicial de I&D, bem como a pensar no impacto que os riscos poderão ter quando o dispositivo estiver no mercado. No final, uma modelação cuidadosa das ameaças irá criar paz de espírito, poupar dinheiro e, mais importante ainda, salvar vidas.