PÁGINA INICIAL DO BLOG

  • Blog AssurX - Segurança Cibernética para Dispositivos Médicos

4 de Setembro de 2019

A segurança cibernética para dispositivos médicos está na agenda da Food and Drug Administration (FDA) dos EUA em 10 de setembro de 2019:  Comitê Consultivo de Engajamento do Paciente.  O PEAC discutirá e fará recomendações sobre o tema “Segurança cibernética em dispositivos médicos: comunicação que capacita os pacientes”.

PEAC abordará a segurança cibernética de dispositivos médicos

As Comitê Consultivo de Engajamento do Paciente (PEAC) foi criado pela FDA para dar voz aos pacientes. O PEAC é o primeiro e único comitê consultivo cujos membros são todos pacientes, cuidadores e representantes de organizações de pacientes. O PEAC facilita discussões mais amplas sobre questões importantes relacionadas aos pacientes. Essas discussões podem ajudar a informar a inovação, o desenvolvimento, a avaliação e o acesso a dispositivos. Além disso, o PEAC é uma fonte consultiva que a FDA utiliza para cumprir seu compromisso de proteger e promover a saúde pública.

A reunião de setembro de 2019 reunirá recomendações do comitê que abordarão diretamente a segurança cibernética para dispositivos médicos. O público terá voz ativa sobre quais fatores devem ser considerados pela FDA para comunicar riscos e violações de segurança cibernética aos pacientes e ao público, e como essas informações são compartilhadas.

Além disso, “as recomendações também abordarão as preocupações dos pacientes sobre as mudanças em seus dispositivos para reduzir os riscos de segurança cibernética, bem como o papel de outras partes interessadas, como os provedores de saúde, na comunicação dos riscos de segurança cibernética aos pacientes”.

A segurança cibernética para dispositivos médicos é um perigo atual

Os dispositivos médicos estão conectados à internet, às redes de provedores e a outros dispositivos. Os dispositivos conectados, parte do Internet das coisas (IoT), melhorar a qualidade dos cuidados de saúde e a disponibilidade de informações em tempo real para os prestadores.

As desvantagens da IoT, é claro, incluem ameaças à segurança cibernética. software de dispositivo médico e firmware que podem interromper a funcionalidade do dispositivo. Pode parecer inconcebível que um usuário não autorizado possa ter acesso a uma bomba de insulina usada para medir e monitorar a insulina de uma pessoa ou a uma bomba de infusão que administra medicamentos por meio de dosagens programadas. Não apenas a função do dispositivo médico está em risco, mas também dados pessoais podem ser expostos.

Quando uma violação ou vulnerabilidade é detectada, o(s) paciente(s) afetado(s) precisa(m) de notificação e aconselhamento imediatos — assim como os órgãos reguladores. Uma cadeia de investigação e remediação deve entrar em ação. Ao longo dessa cadeia, há uma rede de pessoas, desde fabricantes e desenvolvedores de software, até o paciente. O aconselhamento do PEAC fornecerá o feedback necessário nas áreas paciente/prestador.

Controles de design para segurança cibernética de dispositivos médicos

Muitos de nós conhecemos alguém, talvez até nós mesmos, que se beneficia da assistência de um dispositivo médico. Muitos dispositivos requerem o uso de Wi-Fi, internet e possuem firmware ou software embarcado instalado para funcionar corretamente. Esses dispositivos exigem atualizações e patches de software durante toda a sua vida útil. Na maioria dos casos, o patch ou a atualização estão disponíveis como um executável para download, o que pode tornar o dispositivo médico vulnerável a hackers. Então, o que está sendo feito e quem está fazendo isso?

Tanto os fabricantes de dispositivos médicos (MDMs) quanto as organizações de prestação de serviços de saúde (HDOs) são responsáveis ​​por implementar medidas de mitigação adequadas para abordar os riscos à segurança do paciente e garantir o desempenho adequado do dispositivo.

  • Os fabricantes de dispositivos médicos (MDMs) são responsáveis ​​por permanecer vigilantes quanto à identificação de riscos e perigos associados aos seus dispositivos médicos, incluindo riscos relacionados à segurança cibernética.
  • As organizações de prestação de serviços de saúde (HDOs) devem avaliar a segurança de suas redes e proteger seus sistemas hospitalares.

Espera-se que os MDMs implementem e demonstrem controles de projeto apropriados em todo o ciclo de vida do dispositivo médicoIsso inclui manter e incluir uma "lista de materiais de segurança cibernética" na submissão pré-comercialização de um dispositivo médico, bem como instituir um controle adequado de alterações no projeto do dispositivo médico para qualquer alteração pós-comercialização. Assim como em qualquer entrada de projeto, também deve haver uma avaliação de risco adequada e um plano de mitigação para componentes de software ou hardware de um dispositivo médico.

Mais perguntas persistem

Tanto o MDM quanto o HDO são responsáveis ​​por garantir a implementação de medidas de mitigação de segurança cibernética acionáveis ​​que se tornem parte do design do dispositivo. No entanto, a questão da responsabilidade final ainda está em pauta. Poderia ser a parte proprietária do Arquivo de Histórico de Design e, portanto, de todos os produtos pré-comercialização, como Entradas de Design, Saídas de Design e Plano de Gerenciamento de Riscos? Poderia ser o centro de serviço que gerencia a manutenção de rotina dos dispositivos médicos? Ou alguma responsabilidade recairá sobre o usuário do dispositivo médico?

Qualquer parte envolvida no ciclo de vida e no canal de distribuição de um dispositivo médico deve participar do planejamento geral de mitigação de riscos. No final das contas, só pode haver um único proprietário do Arquivo de Histórico de Design. Na maioria dos casos, a única parte responsável é a responsável por submeter o registro do dispositivo ou a aprovação de comercialização, que geralmente é o MDM.

Conclusão

No que diz respeito às opções de solução para gerenciar e controlar a lista completa de entradas de projeto,  software de gestão eletrônica da qualidade (eQMS) pode ajudar. Ao estabelecer ações baseadas em regras, vulnerabilidades encontradas por meio de avaliações de risco, vigilância pós-comercialização, bem como outras fontes, são encaminhadas por meio de uma cadeia de investigação e resolução. A vigilância de patches de TI pode ser integrada a alguns sistemas eQMS, o que permite rastreamento e correção de gerenciamento de patches para ser incluído no arquivo de histórico de design. Caso a FDA ou um terceiro solicite a verificação do que foi feito para mitigar uma vulnerabilidade conhecida de software ou firmware, o sistema contém registros aprovados e com registro de data e hora para demonstrar um programa de correção proativo. A supervisão demonstrável de dispositivos de IoT se tornará um requisito de conformidade crítico para fabricantes de dispositivos médicos, e chegou a hora de considerar as melhores práticas.

 

Recursos:

Materiais de apoio do PEAC: Selecione o link para os Materiais da Reunião de 2019.
https://www.fda.gov/advisory-committees/committees-and-meeting-materials/patient-engagement-advisory-committee 

Informações adicionais sobre a segurança cibernética da FDA para dispositivos médicos:
https://www.fda.gov/medical-devices/digital-health/cybersecurity.

FICHA TÉCNICA DA FDA: O papel da FDA na segurança cibernética de dispositivos médicos
https://www.fda.gov/media/123052/download