4 de septiembre de 2019
La ciberseguridad para dispositivos médicos está en la agenda de la Administración de Alimentos y Medicamentos de Estados Unidos (FDA) el 10 de septiembre de 2019: Comité Asesor de Participación del Paciente. PEAC discutirá y hará recomendaciones sobre el tema “Ciberseguridad en dispositivos médicos: comunicación que empodera a los pacientes”.
El PEAC abordará la ciberseguridad de los dispositivos médicos
El Comité Asesor de Participación del Paciente (PEAC) Fue creado por la FDA para dar voz a los pacientes. El PEAC es el primer y único comité asesor cuyos miembros son pacientes, cuidadores y representantes de organizaciones de pacientes. El PEAC facilita debates más amplios sobre temas importantes relacionados con los pacientes. Dichos debates pueden contribuir a la innovación, el desarrollo, la evaluación y el acceso a dispositivos. Además, el PEAC es una fuente de asesoramiento que la FDA utiliza para cumplir con su compromiso de proteger y promover la salud pública.
La reunión de septiembre de 2019 recopilará recomendaciones del comité que abordarán directamente la ciberseguridad de los dispositivos médicos. El público podrá opinar sobre los factores que la FDA debe considerar para comunicar los riesgos y las brechas de ciberseguridad a los pacientes y al público, y cómo se comparte esta información.
Además, “las recomendaciones también abordarán las inquietudes de los pacientes sobre los cambios en sus dispositivos para reducir los riesgos de ciberseguridad, así como el papel de otras partes interesadas, como los proveedores de atención médica, en la comunicación de los riesgos de ciberseguridad a los pacientes”.
La ciberseguridad de los dispositivos médicos es un peligro presente
Los dispositivos médicos están conectados a internet, a las redes de proveedores y a otros dispositivos. Los dispositivos conectados, parte de... Internet de las cosas (IoT), Mejorar la calidad de la atención sanitaria y la disponibilidad de información en tiempo real para los proveedores.
Las desventajas del IoT, por supuesto, incluyen amenazas a la ciberseguridad. software de dispositivos médicos y firmware que podrían interrumpir la funcionalidad del dispositivo. Puede parecer inimaginable que un usuario no autorizado pueda acceder a una bomba de insulina que se utiliza para medir y controlar la insulina de una persona o a una bomba de infusión que administra medicamentos mediante dosis programadas. No solo está en peligro la función del dispositivo médico, sino que también pueden quedar expuestos los datos personales.
Cuando se detecta una brecha o vulnerabilidad, los pacientes afectados, al igual que los reguladores, requieren notificación y asesoramiento inmediatos. Es necesario iniciar una cadena de investigación y remediación. A lo largo de esta cadena existe una red de personas, desde fabricantes y desarrolladores de software, hasta el paciente. El asesoramiento del PEAC proporcionará información muy necesaria en las áreas de pacientes y proveedores.
Controles de diseño para la ciberseguridad de dispositivos médicos
Muchos conocemos a alguien, quizás incluso a nosotros mismos, que se beneficia de la asistencia de un dispositivo médico. Muchos dispositivos requieren el uso de wifi, internet y firmware o software integrado para funcionar correctamente. Estos dispositivos requieren actualizaciones de software y parches a lo largo de su vida útil. En la mayoría de los casos, el parche o la actualización está disponible como archivo ejecutable descargable, lo que puede hacer que el dispositivo médico sea vulnerable a los hackers. Entonces, ¿qué se está haciendo y quién lo está haciendo?
Tanto los fabricantes de dispositivos médicos (MDM) como las organizaciones de prestación de servicios de salud (HDO) son responsables de implementar las medidas de mitigación adecuadas para abordar los riesgos de seguridad del paciente y garantizar el rendimiento adecuado del dispositivo.
- Los fabricantes de dispositivos médicos (MDM) son responsables de permanecer atentos para identificar los riesgos y peligros asociados con sus dispositivos médicos, incluidos los riesgos relacionados con la ciberseguridad.
- Las organizaciones de prestación de servicios de salud (HDO) deben evaluar la seguridad de su red y proteger sus sistemas hospitalarios.
Se espera que los MDM implementen y demuestren controles de diseño apropiados en todo el proceso. ciclo de vida del dispositivo médicoEsto incluye mantener e incluir una lista de materiales de ciberseguridad en la presentación previa a la comercialización de un dispositivo médico, así como implementar un control adecuado de cambios en el diseño del dispositivo médico para cualquier cambio posterior a la comercialización. Al igual que con cualquier aportación de diseño, también debe existir una evaluación de riesgos adecuada y un plan de mitigación para los componentes de software o hardware de un dispositivo médico.
Más preguntas persisten
Tanto los MDM como los HDO son responsables de garantizar que se implementen medidas de ciberseguridad viables que formen parte del diseño del dispositivo. Sin embargo, la cuestión de la responsabilidad final sigue en pie. ¿Podría ser la parte propietaria del Archivo de Historial de Diseño y, por lo tanto, de todos los entregables previos a la comercialización, como las Entradas de Diseño, los Resultados de Diseño y el Plan de Gestión de Riesgos? ¿Podría ser el centro de servicio que gestiona el mantenimiento rutinario de los dispositivos médicos? ¿O recaerá alguna responsabilidad en el usuario del dispositivo médico?
Toda parte que participe en el ciclo de vida y el canal de distribución de un dispositivo médico debe participar en la planificación general de mitigación de riesgos. En definitiva, solo puede haber un único responsable del Archivo de Historial de Diseño. En la mayoría de los casos, el responsable de presentar el registro o la aprobación de comercialización del dispositivo, que suele ser el MDM, es la parte responsable.
Conclusión
En cuanto a las opciones de solución para gestionar y controlar la lista completa de entradas de diseño, software de gestión electrónica de la calidad (eQMS) Puede ayudar. Al establecer acciones basadas en reglas, las vulnerabilidades detectadas mediante evaluaciones de riesgos, vigilancia poscomercialización, así como otras fuentes, se enrutan a través de una cadena de investigación y resolución. La vigilancia de parches de TI puede integrarse con algunos sistemas eQMS, lo que permite Seguimiento y remediación de la gestión de parches Para incluirse en el archivo del historial de diseño. Si la FDA o un tercero solicitan información sobre las medidas adoptadas para mitigar una vulnerabilidad conocida de software o firmware, el sistema contiene registros con fecha y hora aprobados para demostrar un programa de remediación proactivo. La supervisión demostrable de los dispositivos IoT se convertirá en un requisito de cumplimiento crítico para los fabricantes de dispositivos médicos, y ahora es el momento de considerar las mejores prácticas.
Recursos:
Materiales de referencia del PEAC: Seleccione el enlace para obtener los materiales de la reunión de 2019.
https://www.fda.gov/advisory-committees/committees-and-meeting-materials/patient-engagement-advisory-committee
Información adicional sobre la ciberseguridad de la FDA para dispositivos médicos:
https://www.fda.gov/medical-devices/digital-health/cybersecurity.
HOJA INFORMATIVA DE LA FDA: El papel de la FDA en la ciberseguridad de los dispositivos médicos
https://www.fda.gov/media/123052/download
