Gıda ve İlaç İdaresi (FDA) bu hafta, tıbbi cihazların siber güvenliğine ilişkin yeni yönergeleri yürürlüğe koydu – bu, hem sağlık kuruluşları hem de hastalar için uzun süredir endişe verici bir risk alanı. Politika, FDA’nın insülin pompaları ve kalp monitörleri gibi şeylerin bilgisayar korsanlığına karşı duyarlılığı etrafında bazı korkuluklar koymaya yönelik uzun girişimlerinden biridir ve uzmanlar bu sefer FDA’nın hareketinin gerçekten bir fark yaratabileceğini söylüyor.
Hemen geçerli olmak üzere, tıbbi cihaz üreticilerine “pazar sonrası siber güvenlik açıklarını ve açıkları uygun şekilde, makul bir süre içinde izlemek, belirlemek ve ele almak için bir plan” sunmaları tavsiye edilir.
Üreticilerden ayrıca “cihazın ve ilgili sistemlerin siber güvenli olduğuna dair makul bir güvence sağlamak için süreçleri ve prosedürleri tasarlamaları, geliştirmeleri ve sürdürmeleri” isteniyor. Buna, yamaların “makul bir şekilde gerekçelendirilmiş düzenli bir döngüde” ve yeni keşfedilen kritik güvenlik açıkları için “döngüden mümkün olan en kısa sürede” çıkarılması dahildir.
Ve son olarak, FDA soruyor yeni cihazların bir yazılım malzeme listesi (SBOM) ile hazırlanmış olarak gelmesi.
Bazıları için FDA rehberliği, bu kritik alanda siber güvenliği herhangi bir şekilde iyileştirmede başarısız olan önceki eylemlerin anılarını canlandırabilir. Ancak uzmanlar, bu uzun yolun nihayet gerçek, gerçek bir dönüm noktasına ulaştığını söylüyor. Şu andan itibaren, bu standartları karşılamayan yeni tıbbi cihazların piyasadan girişi engellenecektir.
Cybellum CMO’su David Leichner, “Aslında yaklaşık olarak son 10 yılda gerçekleşen bir süreç oldu” diyor. “Ve iki gün önce meyvesini verdi.”
Siber Krizde Tıbbi Cihazlar
Tıbbi cihaz güvenliği, çok uzun bir süredir siber güvenlik için endişe verici derecede geri kalmış bir alan olmuştur ve bunun nedenlerinin bir çamaşır listesi vardır. Sağlık tesisleri genellikle eski BT’yi kullanır ve bölümlere ayrılmamış düz ağlara sahiptir – örneğin hastalar için tıbbi cihazlar giderek daha fazla birbirine bağlanırken bile. Ve tasarım gereği güvenlik yaygın değildir.
MedCrypt baş güvenlik stratejisti Axel Wirth, “Bir tıbbi cihaz üreticisi, son derece güvenilir ve yenilikçi cihazlar tasarlama konusunda çok deneyimli olabilir, ancak güvenlik uzmanı olmaları gerekmeyebilir,” diye açıklıyor.
Aslında, en modern tıbbi ekipman bazen eski malzemelerin asla sahip olmadığı yeni güvenlik sorunları ortaya çıkarır. İnternet bağlantısı, sağlayıcılara çok sayıda avantaj sağlarken, bilgisayar korsanları için de fırsatlar sunar. İçinde Healthcare IoT Cihaz Güvenliği Durumu 2022 raporusağlık hizmetleri IoT firması Cynerio, örneğin her dört IV pompasından yaklaşık üçü dahil olmak üzere tüm bağlı tıbbi cihazların yarısından fazlasının savunmasız olduğunu tespit etti.
Böylece siber suçlular, bu hayat kurtaran cihazlar da dahil olmak üzere seçtikleri uç noktalara kolayca ulaşarak bir hastane ağına kolayca girip yaygınlaşabilir. Bir cihaz yetkisiz bir kullanıcı tarafından ele geçirilmeye açıksa, bunun hastalar için potansiyel fiziksel sonuçları olabilir. Risk teorik değil: A Proofpoint’in Ponemon Enstitüsü tarafından hazırlanan Eylül 2022 raporu ölüm oranlarındaki %20’lik artışı sağlık kuruluşlarını hedef alan siber saldırılara bağladı.
Tüm bunlar, hatalar keşfedildiğinde, cihaz üreticilerinin yamaları zamanında yayınlama konusunda korkunç bir geçmişe sahip olması (çoğu IoT ekipmanında olduğu gibi) ve sağlık hizmeti kurumlarının uygulama konusunda daha da kötü bir geçmişe sahip olması gerçeğiyle daha da kötüleşiyor. onlara.
“Tek bir neden [for the insecurity] Bu cihazların daha uzun ömürlü olmaları,” diye belirtiyor Wirth. Bir süre dayanacak şekilde tasarlandıkları için – ki bu başka türlü olumlu bir şeydir – “eskimiş olabilir veya eski yazılımları çalıştırıyor olabilirler ve gerekli olmayan herhangi bir operasyonel teknoloji (OT) olabilir. güncel tutmak daha zordur. Yamaları dağıtmak daha zordur; hastane operasyonları sırasında cihazı güncellemek için zaman bulmak daha zor.”
Sektördeki güvenlik başarısızlıklarının yaygınlığı ve bir ihlal durumunda ortaya çıkan büyük sonuçlar göz önüne alındığında, çoğu kişi hükümeti sorunları ele almak için “öneriler” sunmaktan daha fazlasını yapmaya çağırdı.
FDA’nın Yeni Dişleri
29 Aralık’ta Başkan Biden yasayı imzaladı. Konsolide Ödenek YasasıTorba yasa olarak da bilinen ve “Tıbbi cihazların siber güvenliğinin sağlanması” başlıklı 3305. Federal Gıda, İlaç ve Kozmetik Yasası. Omnibus’un geçişinden 90 gün sonra Perşembe günü yürürlüğe girdi.
Peki şimdi ne olacak? Üreticilerin süreçlerini değiştirmesi ve yeni ürünlerin yeni kural ve düzenlemeleri entegre etmesi zaman alır (genel olarak sağlık hizmetlerinin zorunlu olarak diğer sektörlerden daha yavaş hareket etmesi bir yana). FDA, üreticilerin yolun yeni kurallarına alışması için 1 Ekim’e kadar altı aylık bir süre ayarladı.
Ajans, şu andan itibaren o zamana kadar, FDA’nın uyumluluğu sağlamak için üreticilerle “işbirliği içinde çalışacağını” açıkladı. eşlik eden bildirim. 1 Ekim vurduğunda, “FDA, bu tür siber cihazların sponsorlarının hazırlanmak için yeterli zamana sahip olmasını bekliyor.” Bu noktada, belirtilen standartları karşılamayan cihazların pazara ulaşmasını önlemek için “kabul etmeme” (RTA) kararları vermeye başlayacaklar.
MedCrypt’in siber güvenlik kalitesi ve güvenliğinden sorumlu kıdemli direktörü Naomi Schwartz, “Üreticiler ‘Bu bizi ne zaman etkiliyor?’ diye soruyor” diye açıklıyor. “Ve FDA açıklığa kavuşturuyor: ‘Kabul etmeyi Ekim ayına kadar reddetmeye başlamayacağız, böylece tüm belgelerinizi güncellemek ve biraz baskı ve korkudan kurtulmak için zamanınız olur. Önümüzdeki altı ay içinde eşyaların hazır, çünkü geliyor.'”
Görülecek olan, bir cihaz halka sunulduktan sonra FDA’nın kurallarını nasıl uygulayacağıdır. Bir makinenin hastanelere ulaşmasını engellemek bir şeydir, ancak satıcıların bu yönergelerde belirtilen diğer pek çok gereksinimi (düzenli izleme, tutarlı yama uygulama ve sorumlu güvenlik açığı ifşası gibi) karşılamasını sağlamak, hiç bitmeyen bir gözetim gerektirir.
Cybellum’dan Leichner, “Bu kesinlikle FDA’nın ek yükünü artıracak” diyor. “Bu konuda nasıl ilerlediklerini görmek ilginç olacak.”
Gerçek, Görünür Değişim için Zaman Çizelgesi
Üreticiler politikaya uygun donanım üretmeye başladıklarında bile, sağlık hizmeti cihazlarının siber güvenliğinin elden geçirilmesi biraz zaman alacaktır.
Wirth, “Tıbbi cihazlar çok pahalı olabilir,” diye belirtiyor, “ve hastanelerde tıbbi cihazların değiştirilmesi bütçe ve eğitim gerektiriyor. Hatta bazen bina ve altyapıda değişiklikler gerektiriyor. Bu nedenle, birkaç yıl sürecek.” Bölüm 3305, sağlık hizmeti sunucularının mevcut eski ekipmanlarını değiştirmeleri için herhangi bir son tarih belirlememektedir.
Yine de, “Pazara daha iyi güvenli cihazların geldiğini gördüğümüzü düşünüyorum” diyor, özellikle de cihazların güvenlik sertleştirmesini talep etmeye başlayacak tek yer ABD olmadığı için.
FDA’nın politikasının gerçek meyve vermesi biraz zaman alsa da (ve kesin olarak bilmek için çok erken), 2023’e endüstri için bir dönüm noktası olarak bakabiliriz.
MedCrypt’ten Schwartz, “Bu, FDA personeline yardımcı olacak, sektöre yardımcı olacak, insanları yolda tekmelemeyi bırakıp şimdi boyun eğmeye başlamaya motive edecek.” “Oldukça havalı.”