FDA tager et stort skridt fremad for medicinsk udstyrssikkerhed
Indholdsfortegnelse:
Sidste øjebliks omnibus-udgiftsregninger er Capitol Hills slikkrukker. Disse lovforslag, som opruller 12 måneders forsinket lovgivning ved årets udgang, er ofte proppet med 'svinekød' – politiske sødemidler arbejdede i sidste øjeblik for at få gunst hos politikernes lokale vælgere. Men de kan nogle gange indlede foranstaltninger, der har været længe ventet, og som ellers kunne forsvinde på bakken.
I december sidste år blev $1.7tn Bevillingsloven (CAA) inkluderede en kritisk komponent: lovgivning, der endelig ville tvinge producenter af medicinsk udstyr til at holde sig på toppen af cybersikkerhed, efter at deres enheder forlader hylderne.
Sektion 3305 i CAA ændrede Federal Food, Drug, & Cosmetic Act ved at tilføje sektion 542B, "Sikring af cybersikkerhed for medicinsk udstyr". Denne nye forordning gælder for enhver FDA-dækket enhed, der opretter forbindelse til internettet og kan være sårbar over for cybersikkerhedsproblemer.
En kontinuerlig tilgang til cybersikkerhed
Noget af sproget i den nye lov kommer fra et obligatorisk sæt regler, der havde arbejdet sig gennem Kongressen. The Protecting and Transforming Cyber Health Care (PATCH) Act, udstedt i marts 2022, forsøgte at lovgive cybersikkerhedskontrol for medicinsk udstyr.
I overensstemmelse med PATCH Act tvinger den nye lov producenter af medicinsk udstyr til at give agenturet en plan for overvågning, identificering og adressering af cybersikkerhedssårbarheder efter lancering af enhederne.
Enhedsproducenter skal også vedtage et koordineret program for afsløring af sårbarheder. Det betyder, at de ikke længere kan feje insekter under tæppet ved at ignorere dem eller forskerne, der opdrager dem.
Leverandører skal også tilbyde en softwarestykliste (SBOM), der viser, hvilke softwarekomponenter enheden bruger, i et stort nik fra FDA til forsyningskædesikkerhed.
FDA-sekretæren skal opdatere agenturets vejledning om cybersikkerhedsindsendelser før markedet for medicinsk udstyr ved hjælp af feedback fra interessenter, herunder producenter og sundhedsudbydere. FDA skal også offentliggøre information og ressourcer om forbedring af cybersikkerheden af medicinsk udstyr hvert år.
US Government Accountability Office (GAO) vil også offentliggøre en årlig rapport, der beskriver eventuelle barrierer, som interessenter har oplevet i at sikre føderal regeringsstøtte til at forbedre enheds cybersikkerhed.
CAA's sprog er ikke det første, der kræver en vis cybersikkerhedsindsats fra enhedsleverandører. FDA har allerede en Quality System Regulation (QSR), der påbyder en risikobaseret tilgang til cybersikkerhed fra enhedsproducenter, hvilket betyder, at de skal identificere sandsynligheden for og virkningen af cyberrisici.
QSR går dog kun så langt. Ved specifikt at skitsere det igangværende program for udbedring af cybersikkerhed efter udgivelsen fremtvinger den nye lov en mere løbende tilgang til cybersikkerhed snarere end en 'fire and forget'-tilgang, der kun vidner om enhedssikkerhed på et enkelt tidspunkt.
Års kamp for cybersikkerhed
Loven, der trådte i kraft den 29. marts 2023, er kulminationen på et langt initiativ om enhedscybersikkerhed fra FDA. Dette går tilbage til 2005, hvor agenturet udgav vejledning om håndtering af netværksenheder, der indeholder kommerciel hyldesoftware. I 2014 udgav den sin første specifikke vejledning om planlægning og dokumentation af cybersikkerhedsforanstaltninger for enheder efter salg. Det opdaterede dette i 2018.
Så, i april 2022, udkom den endnu et sæt udkast til retningslinjer for cybersikkerhed om præmarket-godkendelsesindsendelser, der erstattede 2018-dokumentet. Dette dokument opfordrede også til en softwareliste til at spore tredjepartskomponenter. Det anbefalede en sikker produktudviklingsramme for at reducere sikkerhedssårbarheder og indbyggede opdateringsmuligheder for enheder.
Selvom agenturets indsats har været prisværdig, har dets FDA-retningslinjer for enhedssikkerhed hidtil været frivillige, hvilket generelt betyder, at industriens overholdelse vil være plettet.
Eksperter, der har arbejdet for FDA, har foreslået, at cybersikkerhed har været en kamp op ad bakke for agenturet. Det havde ikke engang en eneste person, der var dedikeret til at lede cybersikkerhedsfunktionen, indtil begyndelsen af 2021, hvor den oprettede en ny rolle i sit Center for Enheder og Radiologisk Sundhed. Cybersikkerhedsprofessor Kevin Fu udfyldte rollen som fungerende direktør for medicinsk udstyrs cybersikkerhed udlånt fra University of Michigan i et år.
I juni 2022, efter at han havde forladt rollen, Fu advarede at FDA manglede personale eller dedikeret budget til at tackle det voksende cybersikkerhedsproblem.
Hvad er næste
FDA har sagt, at det i første omgang ikke vil afvise enheder udelukkende på grund af problemer med sektion 542B, og foretrækker at arbejde med leverandører om gennemgang. Efter den 1. oktober 2023 vil den dog antage, at leverandørerne har haft tid nok til at forberede deres cybersikkerhedsdokumentation før markedet og forbeholder sig retten til at nægte at acceptere en enhed, hvis dokumentationen ikke består.
Kravene gælder ikke for eksisterende enheder og fokuserer kun på nye indsendelser. Det betyder, at enheder introduceret inden udgangen af marts i år kan fortsætte med at køre i årevis uden at kræve cybersikkerhedsopdateringsplaner, især hvis hospitaler finder det passende at renovere dem for at svede deres aktiver.
Bestemmelser, der regulerer cybersikkerhedsudstyr, har sjældent tilbagevirkende kraft, så fribilletten til sæt i marken kan forventes. Ikke desto mindre er dette et stort skridt i at holde enhedsleverandører ansvarlige for at sikre deres enheder.
Du ville have håbet, at leverandører ville have holdt sig selv ansvarlige, men ak nej. Sidste år, FBI advarede om en plage af ulappet, usikkert medicinsk udstyr. Bureauet advarede om, at disse enheder, inklusive alt fra insulinpumper til pacemakere, kunne blive hacket for at bringe patientens sundhed i fare. Den sagde, at over fire ud af ti enheder, der havde nået deres slutning af deres levetid, stadig ikke havde nogen sikkerhedsrettelser eller opgraderinger.
At få leverandører til at tage dette seriøst er kun halvdelen af udfordringen. Den anden er at få sundhedsudbydere til at anvende plastre, når de bliver tilgængelige. Knap en tredjedel af sundhedsudbydere ved, hvor alle deres enheder er, eller hvornår deres end-of-life falder. Selvom de gør det, er det en udfordrende proces at lappe følsomt livsbevarende udstyr. Alligevel er et lille skridt bedre end slet ingen, formoder vi.
