FDA neem 'n groot stap vorentoe vir mediese toestelsekuriteit
INHOUDSOPGAWE:
Laaste-minuut omnibus besteding rekeninge is Capitol Hill se lekkergoed flesse. Hierdie wetsontwerpe, wat 12 maande van agterstallige wetgewing aan die einde van die jaar oprol, is dikwels propvol 'varkvleis' – politieke versoeters het op die laaste oomblik ingewerk om politici se plaaslike kiesers guns te kry. Hulle kan egter soms lank reeds maatreëls inlui wat andersins op die Heuwel kan kwyn.
Verlede Desember het die $1.7tn Wet op Gekonsolideerde Begrotings (CAA) het 'n kritieke komponent ingesluit: wetgewing wat vervaardigers van mediese toestelle uiteindelik sal dwing om op hoogte te bly van kuberveiligheid nadat hul toestelle die rakke verlaat het.
Artikel 3305 van die BLO het die Federale Wet op Voedsel, Dwelms en Skoonheidsmiddels gewysig deur artikel 542B, 'Versekering van kuberveiligheid van mediese toestelle', by te voeg. Hierdie nuwe regulasie is van toepassing op enige FDA-bedekte toestel wat aan die internet koppel en wat kwesbaar kan wees vir kuberveiligheidskwessies.
'n Deurlopende benadering tot kuberveiligheid
Sommige van die taal in die nuwe wet kom van 'n verpligte stel reëls wat deur die Kongres gewerk het. Die Wet op die Beskerming en Transformasie van Kubergesondheidsorg (PATCH), wat in Maart 2022 uitgereik is, het gepoog om kuberveiligheidskontroles vir mediese toestelle te wetgewing.
In ooreenstemming met die PATCH-wet, dwing die nuwe wet vervaardigers van mediese toestelle om die Agentskap 'n plan te gee vir die monitering, identifisering en aanspreek van kuberveiligheidskwesbaarhede nadat die toestelle bekendgestel is.
Toestelvervaardigers moet ook 'n gekoördineerde program vir die openbaarmaking van kwesbaarheid aanvaar. Dit beteken hulle kan nie meer goggas onder die mat invee deur hulle te ignoreer of die navorsers wat hulle grootmaak nie.
Verkopers moet ook 'n sagteware-brief van materiaal (SBOM) aanbied wat 'n lys maak van watter sagteware-komponente die toestel gebruik, in 'n groot knik van die FDA vir voorsieningskettingsekuriteit.
Die FDA-sekretaris moet die agentskap se riglyne oor kuberveiligheidsvoorleggings voor die mark vir mediese toestelle bywerk deur terugvoer van belanghebbendes, insluitend vervaardigers en gesondheidsorgverskaffers, te gebruik. Die FDA moet ook elke jaar inligting en hulpbronne publiseer oor die verbetering van die kuberveiligheid van mediese toestelle.
Die Amerikaanse regering se aanspreeklikheidskantoor (GAO) sal ook 'n jaarverslag publiseer wat enige struikelblokke wat belanghebbendes ervaar het in die verkryging van federale regeringsondersteuning uiteensit om toestelkuberveiligheid te verbeter.
Die CAA se taal is nie die eerste wat 'n mate van kuberveiligheidspoging van toestelverkopers vereis nie. Die FDA het reeds 'n kwaliteitstelselregulasie (QSR) wat 'n risiko-gebaseerde benadering tot kuberveiligheid van toestelvervaardigers vereis, wat beteken dat hulle die waarskynlikheid en impak van kuberrisiko's moet identifiseer.
Die QSR gaan egter net so ver. Deur spesifiek die deurlopende kuberveiligheid-remediëringsprogram na-vrystelling uiteen te sit, dwing die nuwe wet 'n meer deurlopende benadering tot kuberveiligheid eerder as 'n 'vuur en vergeet'-benadering wat slegs op 'n enkele tydstip van toestelsekuriteit getuig.
Jare se stryd vir kuberveiligheid
Die wet, wat op 29 Maart 2023 in werking getree het, is die hoogtepunt van 'n lang inisiatief oor toestelkuberveiligheid van die FDA. Dit dateer terug na 2005 toe die Agentskap vrygestel het leiding oor die hantering van netwerktoestelle wat kommersiële van die rak sagteware bevat. In 2014 het dit sy eerste spesifieke riglyne uitgereik oor die beplanning en dokumentasie van kuberveiligheidsmaatreëls vir toestelle na verkope. Dit het dit in 2018 opgedateer.
Toe, in April 2022, het dit gepubliseer nog 'n stel konsep-kuberveiligheidsriglyne oor voormarkgoedkeuringsvoorleggings wat die 2018-dokument vervang het. Hierdie dokument het ook gevra vir 'n sagtewarelys om derdeparty-komponente op te spoor. Dit het 'n veilige produkontwikkelingsraamwerk aanbeveel om sekuriteitskwesbaarhede en ingeboude opdateringsvermoëns vir toestelle te verminder.
Alhoewel die agentskap se pogings prysenswaardig was, was sy FDA-riglyne oor toestelsekuriteit tot dusver vrywillig, wat oor die algemeen beteken dat die nakoming van die industrie onduidelik sal wees.
Kenners wat vir die FDA gewerk het, het voorgestel dat kuberveiligheid 'n opdraande stryd vir die Agentskap was. Dit het nie eens 'n enkele persoon gehad wat toegewy was aan die hoof van die kuberveiligheidsfunksie tot vroeg in 2021 toe dit 'n nuwe rol by sy Sentrum vir Toestelle en Radiologiese Gesondheid geskep het nie. Kuberveiligheidsprofessor Kevin Fu het die rol van waarnemende direkteur van kuberveiligheid vir mediese toestelle vir 'n jaar lank aan die Universiteit van Michigan geleen.
In Junie 2022, nadat hy die rol verlaat het, het Fu gewaarsku dat die FDA nie die personeel of toegewyde begroting het om die groeiende kuberveiligheidsprobleem aan te pak nie.
Wat is volgende
Die FDA het gesê dat dit aanvanklik nie toestelle sal weier net oor kwessies met artikel 542B nie, en verkies om met verskaffers te werk vir hersiening. Na 1 Oktober 2023 sal dit egter aanvaar dat verskaffers genoeg tyd gehad het om hul voormark-kubersekuriteitsdokumentasie voor te berei en sal die reg voorbehou om te weier om 'n toestel te aanvaar as die dokumentasie nie slaag nie.
Die vereistes sal nie op bestaande toestelle van toepassing wees nie, en fokus slegs op nuwe voorleggings. Dit beteken toestelle wat voor die einde van Maart vanjaar ingestel is, kan jare lank aanhou loop sonder om kuberveiligheid-opdateringsplanne te vereis, veral as hospitale dit goeddink om dit op te knap om hul bates te sweet.
Regulasies wat kuberveiligheidstoerusting reguleer, is selde terugwerkend, so die vrypas vir kits in die veld is te wagte. Nietemin is dit 'n groot stap om toestelverkopers verantwoordelik te hou om hul toestelle te beveilig.
Jy sou gehoop het dat verkopers hulself aanspreeklik gehou het, maar helaas, nee. Verlede jaar het die FBI gewaarsku oor 'n plaag van ongelapte, onseker mediese toestelle. Die Buro het gewaarsku dat hierdie toestelle, insluitend alles van insulienpompe tot pasaangeërs, gekap kan word om pasiënt se gesondheid in gevaar te stel. Daar word gesê dat meer as vier toestelle uit tien wat hul lewenseinde bereik het, steeds geen sekuriteitsreëlings of -opgraderings gehad het nie.
Om verkopers te kry om dit ernstig op te neem is net die helfte van die uitdaging. Die ander is om gesondheidsorgverskaffers te kry om pleisters aan te bring wanneer dit beskikbaar word. Skaars 'n derde van gesondheidsorgverskaffers weet waar al hul toestelle is of wanneer hul lewenseinde val. Selfs as hulle dit doen, is dit 'n uitdagende proses om sensitiewe toerusting te behou. Tog, een klein stap is beter as glad nie, ons veronderstel.
