Melhores práticas de gerenciamento de risco para conformidade com a segurança cibernética

Um novo Orientação FDA sobre a gestão de riscos ajuda fabricantes de dispositivos médicos atender às expectativas em relação a um programa eficaz de segurança cibernética pós-comercialização.

Cibersegurança: Segurança do Paciente, Eficácia do Produto e Conformidade

Fabricantes experientes de dispositivos médicos não precisam ser lembrados duas vezes de que um programa de segurança cibernética robusto é fundamental para a segurança do paciente, a eficácia do produto e a conformidade com as rigorosas normas de conformidade da FDA. Supostas violações graves de segurança cibernética têm sido notícia ultimamente e devem servir para enfatizar a importância da segurança cibernética em diversas frentes.

• Dispositivos Médicos - Vulnerabilidades de segurança cibernética foram identificadas em dispositivos cardíacos implantáveis ​​e no transmissor Merlin@home da St. Jude Medical
• Hospitais – O St. Joseph Health pagará uma Multa de US$ 2.14 milhões em acordo em relação a potenciais violações das Regras de Privacidade e Segurança da Lei de Portabilidade e Responsabilidade de Seguros de Saúde de 1996 (HIPAA), após relatos de que arquivos contendo informações de saúde protegidas eletronicamente (ePHI) foram acessível publicamente por meio de mecanismos de busca na Internet.
• Serviços de utilidade pública - O 2015 de dezembro ataques cibernéticos às usinas de energia da Ucrânia serviu como um alerta para a rede elétrica dos EUA.

Orientação de Gestão de Riscos: Segurança Cibernética

A FDA acaba de emitir profissional que fornece esclarecimentos adicionais sobre a segurança cibernética gestão de risco. Ao mesmo tempo, ele fornece alguns conselhos valiosos quando se trata de criar e manter um sistema de gestão da qualidade (SGQ) que ajuda a identificar, priorizar e mitigar riscos.

Lembretes e recomendações para fabricantes de dispositivos médicos

Com base em um extenso documento do Instituto Nacional de Padrões e Tecnologia ("Estrutura para Aprimorar a Cibersegurança de Infraestruturas Críticas"), a FDA utiliza suas próprias diretrizes para oferecer lembretes e recomendações aos fabricantes de dispositivos médicos. Aqui estão algumas das dicas mais importantes:

• Definições – Um plano abrangente de gerenciamento de riscos de segurança cibernética deve incluir diretrizes claras para monitorar a segurança e o desempenho essencial de um dispositivo médico, o potencial dano ao paciente em caso de problemas e os critérios de aceitação de risco. Essas etapas devem ser utilizadas pelos fabricantes de dispositivos médicos para priorizar vulnerabilidades a serem corrigidas.
• Gerenciamento de reclamacoes – A FDA observa que os fabricantes de dispositivos médicos são obrigados a analisar reclamações, produtos devolvidos, registros de serviço e outras fontes de dados de qualidade para identificar causas existentes e potenciais de produtos não conformes ou outros problemas de qualidade.
• Avaliação de risco - A FDA recomenda que os fabricantes de dispositivos médicos caracterizem e avaliem as vulnerabilidades identificadas. Fazer isso de forma eficaz fornecerá informações que também podem ser usadas para auxiliar na triagem à medida que os problemas são detectados.
• Modelagem de Ameaças Os fabricantes de dispositivos médicos devem realizar análises de risco de segurança cibernética que incluam modelagem de ameaças para cada um de seus dispositivos médicos e, principalmente, atualizá-las regularmente. Feita corretamente, a modelagem de ameaças fornecerá paradigmas tradicionais de gerenciamento de riscos e análise de modos de falha. Além disso, fornecerá aos fabricantes uma estrutura para avaliar a ameaça do que a FDA chama de "adversários ativos/uso malicioso".
• Fontes de ameaças, detecção e impacto – As fontes de ameaças devem ser caracterizadas por sua gravidade. Dispositivos médicos podem não ser capazes de detectar atividades de ameaças e, em muitos casos, dependerão do monitoramento da rede. A FDA recomenda fortemente que os fabricantes de dispositivos médicos avaliem o impacto de um sinal de segurança cibernética tanto horizontal quanto verticalmente. Nesse contexto, a análise horizontal poderia detectar um problema em todo o portfólio de produtos do fabricante do dispositivo médico. Um foco vertical, por outro lado, detectaria se há impacto em componentes específicos do dispositivo médico.

Violação de segurança cibernética: protegendo, respondendo e recuperando

A orientação da FDA concentra-se na proteção, resposta e recuperação de violações de segurança cibernética ou outros problemas. Nesse contexto, a agência recomenda que os fabricantes de dispositivos médicos implementem recursos baseados em dispositivos, como controles de design de dispositivos, como principal meio de mitigar qualquer risco aos usuários finais de dispositivos médicos.

Explore o automatizado #gerenciamento de riscos solução fornecida pelo sistema de gestão da qualidade AssurX #SGQ hoje! http://ow.ly/dPMT3083CvP 

— AssurX (@AssurX) 17 de janeiro de 2017

Adoção de uma Política de Divulgação Coordenada de Vulnerabilidades

A FDA também recomenda que os fabricantes de dispositivos médicos adotem uma política e práticas coordenadas de divulgação de vulnerabilidades que apresentem meios claros de reconhecimento do recebimento de qualquer vulnerabilidade ao remetente da vulnerabilidade dentro de um prazo claramente definido.

Aproveitando o Plano de Vulnerabilidade de Segurança Cibernética

Depois que um plano é aprovado internamente e implementado, os fabricantes de dispositivos médicos devem aproveitá-lo de várias maneiras, incluindo:

• Gerenciamento de riscos - Determinar se a ameaça de dano ao paciente gerada pela vulnerabilidade é adequadamente abordada e controlada por recursos existentes e/ou controles compensatórios definidos, ou seja, se os níveis de risco residual foram considerados aceitáveis ​​com base em um critério defensável.
• Plano de Ação – Um plano de ação deve estar em vigor para refletir a magnitude do problema identificado e alinhá-lo com os riscos demonstrados e potenciais.
• Avaliação Transparente – Os fabricantes de dispositivos médicos também devem incluir uma avaliação detalhada e transparente do risco residual e de qualquer risco introduzido pela própria remediação.

Melhoria ou recall de dispositivos médicos?

Por fim, a orientação esclarece que as alterações feitas para a vulnerabilidade de risco controlado são "geralmente" consideradas melhorias em dispositivos médicos e não recalls completos. Além disso, atualizações de rotina em programas de segurança cibernética e o uso de patches geralmente não são considerados um tipo de melhoria em dispositivos médicos.

Se os serviços públicos podem ser violados…

As ameaças à segurança cibernética são tão recentes quanto as manchetes de hoje. À medida que a nação utilitários reportou recentemente uma violação, é óbvio que os fabricantes de dispositivos médicos também estão em risco. Embora a maioria dos hackers não tenha as habilidades daqueles que estampam as notícias hoje, vale ressaltar que um fabricante de dispositivos médicos é um alvo muito mais fácil do que instituições com proteções muito mais rigorosas que já foram violadas.

Conformidade com o Sistema Manual de Gestão de Riscos?

Cibersegurança para fabricantes de dispositivos médicos continuará sendo um tema consistente em 2017. Como você pode manter a conformidade com o FDA se o seu sistema de gerenciamento de qualidade atual solução de gestão de risco Inclui um componente manual? Um sistema automatizado de gestão da qualidade como o AssurX oferece uma camada adicional de proteção contra ameaças à segurança cibernética, oferecendo atualizações contínuas e análises mais fáceis. Aja agora. Vale a pena esperar para descobrir como sua empresa responderá a uma violação de segurança cibernética com um processo manual?