I takt med den snabba tekniska utvecklingen har cybersäkerhet blivit oumbärligt i många branscher. I takt med att risken för cyberattacker infiltrerar sjukvårdsindustrin pressas den amerikanska kongressen att vidta åtgärder. I takt med att en rad olika medicintekniska produkter - IV-pumpar, MR-maskiner, pulsmätare - börjar kunna ansluta till digitala nätverk blir de alltmer sårbara för cyberrelaterade risker.
Cybersäkerhetsriskerna ökar
Flera faktorer bidrar till ökningen av cybersäkerhetshot mot medicintekniska produkter. Den mest uppenbara är den ökade uppkopplingsmöjligheten inom den medicinska industrin. Allt fler medicintekniska produkter utformas så att de kan anslutas till internet och andra digitala nätverk. Även om det finns många fördelar med dessa tekniska framsteg innebär det att programvaran - och därmed patienternas data - utsätts för en rad risker. Hackare kan utnyttja sårbarheter i programvaran eller nätverksanslutningarna för att få tillgång till känsliga uppgifter eller till och med ta över själva enheten. I dessa fall kan produktåterkallelser vara särskilt farliga för patienternas liv, eftersom kontinuerlig användning av enheten inte är ett alternativ.
Konceptet med sanering måste också beaktas. Ibland kan uppkopplade enheter åtgärdas med en programvaruuppdatering över luften. Med tanke på hur vissa enheter fungerar och hur viktiga de är för en patients hälsa är varken en mjukvaruuppdatering eller återkallelse enkla lösningar. Vi måste också ta hänsyn till den tunga utrustning och de apparater som finns på sjukhus och vårdcentraler och som inte enkelt kan tas bort från sin fysiska plats; MR-skannrar, röntgen- och ultraljudsapparater för att bara nämna några. När dessa enheter blir alltmer anslutna till sjukhusnätverk blir de också sårbara för cyberhot. När dessa inte kan åtgärdas på distans med en programvaruuppdatering krävs det vanligtvis att en fältingenjör anlitas för att inspektera, diagnostisera och åtgärda på plats.
Möjligheten till återkallelse är inte enbart beroende av en faktisk incident, utan också av känsligheten för cyberattacker. Förebyggande sårbarhetstestning spelar en avgörande roll när det gäller att identifiera svagheter i säkerhetsstrukturen för dessa enheter, vilket bidrar till att mildra incidenter innan de inträffar. Genom fortlöpande utvärdering - och åtgärdande av upptäckt exponering - kan vårdgivare och tillverkare förbättra den övergripande cybersäkerheten för kritisk medicinsk utrustning, vilket minskar risken för patientskador och dataintrång.
Myndigheter som reglerar medicintekniska produkter har bråttom att hålla jämna steg med den snabba teknikutvecklingen. Ändå finns det inga standardiserade säkerhetsföreskrifter för hela branschen. Tillverkarna kan därför inte utforma produkterna med ett formidabelt säkerhetssystem och lämnar över ansvaret till vårdgivarna att göra sitt bästa för att utvärdera säkerheten hos sina produkter. Många av de medicintekniska produkterna bygger på äldre system som inte har utformats i linje med moderna säkerhetsstandarder. Dessa system kan vara särskilt sårbara för cyberattacker och mer utmanande - och dyra - att uppdatera för att skydda mot moderna hot.
Kongressen fördelar medel för cybersäkerhet
Fram till antagandet av den senaste lagstiftningen hade den amerikanska livsmedels- och läkemedelsmyndigheten (FDA) ingen befogenhet att genomdriva riktlinjer för cybersäkerhet. Ett lagförslag som undertecknades i december 2022 kallat Consolidated Appropriations Act, 2023 (HR 26217) - som innehåller 1,7 biljoner USD i diskretionära resurser under hela räkenskapsåret, den högsta nivån av icke-försvarsfinansiering i amerikansk historia - har den verkligaste potentialen hittills för att begränsa cybersäkerhetshot. Omnibus-anslagslagen är fullpackad med finansiering för statliga program och ekonomisk utveckling av landsbygdsutveckling och infrastruktur, bevarande, djur- och växtskydd, jordbruks- och marknadsföringsforskning och mer.
Bland annat anslås 3,5 miljarder dollar till FDA för att ta itu med frågor som opioidkrisen, frågor som rör den medicinska leveranskedjan och - ja - för att förbättra cybersäkerheten för medicintekniska produkter. FDA fick också för första gången befogenhet att fastställa och genomdriva cybersäkerhetsstandarder för medicintekniska produkter.
Hur lagen om konsoliderade anslag kan hjälpa till
Consolidated Appropriations Act innehåller flera bestämmelser som är inriktade på cybersäkerhet för medicintekniska produkter, samtidigt som FDA:s tillsynsmyndighet utökas.
För det första kommer säkerhetskrav att införas på en federal nivå som aldrig tidigare skådats. Tillverkarna måste införa säkerhetskontroller som förhindrar obehörig åtkomst till produkterna, säkerställer att medicintekniska produkter är tillgängliga vid en cyberattack och skyddar patienternas sekretess och data. Varje tillverkare måste lämna in en omfattande cybersäkerhetsplan till FDA för godkännande innan produkten släpps ut på marknaden. Planen ska innehålla detaljerade rutiner för att säkerställa att konsumenterna har tillgång till uppdateringar av mjukvara och fast programvara efter att produkten släppts ut på marknaden.
Åtgärderna kommer också att kräva förbättrad transparens och ansvarsskyldighet från tillverkarna. Nu måste tillverkarna rapportera cybersäkerhetsincidenter till FDA (samt till berörda patienter) inom en viss tidsram och tillhandahålla uppdateringar om hur arbetet med att åtgärda incidenter fortskrider och planer för att förhindra att liknande incidenter inträffar.
Produktåterkallelser och problem med sanering på grund av cyberhot är vanligt förekommande, och eftersom myndigheter (som FDA) i allt högre grad kritiserar tillverkarnas beslut offentligt måste tillverkarna följa efter och göra allt enligt regelboken för att undvika att allmänheten reagerar. Följaktligen finns det ett större incitament att följa experternas råd att upprätta återkallelse- och saneringsplaner som inkluderar hur man ska reagera på en produktrelaterad kris. Det föreslås också att tillverkarna genomför simulerade återkallelseövningar som en del av sina riskhanteringsprotokoll.
Vissa bestämmelser riktar sig inte bara till tillverkare av medicintekniska produkter - till exempel en viktig bestämmelse som inrättar ett nytt center inom FDA med uppgift att förbättra och samordna cybersäkerhetsarbetet för medicintekniska produkter. Cybersecurity Center of Excellence kommer att utveckla och implementera standarder och bästa praxis, ge vägledning till tillverkare och vårdgivare samt utvärdera säkerheten för medicintekniska produkter. Det är viktigt att detta skapar en bro mellan tillverkare och den federala regeringen för att skapa en väg framåt när det gäller att ta itu med cybersäkerhetsproblem i den medicintekniska industrin.
Andra bestämmelser främjar informationsutbyte och samarbete mellan intressenter; FDA kommer att åläggas att inrätta ett offentlig-privat partnerskap för att främja cybersäkerhet inom branschen. FDA kommer också att åläggas att inrätta ett nytt pilotprogram som syftar till att bedöma rapportering av sårbarheter inom cybersäkerhet och förse myndigheten med kritisk data om risker.
Den beräknade effekten
Nu när FDA, tillverkarna och vårdgivarna måste arbeta tillsammans kan frågor som rör bristande tydlighet och transparens äntligen lösas. När det gäller tillverkarna, som måste lämna detaljerad information om cybersäkerhet i återkallelserapporter, säkerställa säkerhetsstandarder på hög nivå och rapportera information till myndigheten, kommer FDA och vårdgivarna att få en mängd information för att bättre förstå cybersäkerhetsriskerna med medicintekniska produkter.
Genom att kräva att FDA ger vägledning om granskningar efter marknadsintroduktion, skapar ett särskilt center för att utveckla standarder och inrättar ett pilotprogram som riktar in sig på sårbarheter, kommer tillverkare (och vårdgivare) att få användbar kunskap som bidrar till att förbättra problemområden och minska risken för produktåterkallelser.
När medicintekniska produkter utsätter patienter för risker är det viktigt att agera snabbt. Förutom patienternas hälsa kan återkallelser av medicintekniska produkter ha en förödande inverkan på ett företags varumärke och resultat, och göra att företaget kan utsättas för myndighetsåtgärder och rättstvister. Sedgwicks experter på varumärkesskydd har flera decenniers erfarenhet av medicintekniska produkter och hjälper dig att utveckla, förbättra, testa och genomföra dina planer för produktåterkallelser eller saneringsförfaranden.
Läs mer om oss > besök vår webbplats för att utforska vår erfarenhet inom medicintekniksektorn
Tags: cyber, cyberrisk, cybersäkerhet, Data, hälsa, hälsa och säkerhet, hälsoproblem, Medicinsk vård, medicinska anspråk, medicin, Säkerhet, Säkerhet