Son nokta güvenliği, yönetişim ve risk yönetimi, sağlık hizmetleri
Ajans: Yükselen Tehditler Üretim Tedarik Zincirleri, Hasta Güvenliği Risk Altı
Marianne Kolbasuk McGee (Healthinfosec) •
25 Haziran 2025
Tıbbi cihaz üreticilerini ürünlerinin siber güvenliğini ele almaları için yıllarca ittikten sonra, Gıda ve İlaç İdaresi şimdi tüm tıbbi ürün üreticilerini, üretim ve tedarik zincirlerinde kullanılan ileri ve “akıllı” cihazları da dahil olmak üzere bağlı operasyonel teknolojilerin güvenliğini dikkatlice düşünmeye çağırıyor.
Ayrıca bakınız: Gartner Raporu | SD-WAN için Sihirli Çeyrek
FDA, yeni yayınlanan bir beyaz makalede, “Tıbbi ürün üretimi için kullanılan teknoloji ve ekipman – operasyonel teknolojinin güvence altına alınması” dedi.
Ancak bu bağlantılı operasyonel teknolojiler “tarihsel olarak siber güvenlik üzerinde tutarlı işlevselliğe öncelik vermek için tasarlanmıştır” dedi.
FDA, “Sonuç olarak, siber güvenlik olayı riskini artırma potansiyeline sahip olan ne, ne zaman ve nerede iletişim olduğunu söylemek bazen zordur.” Dedi. Siber teller yükseldikçe, “imalat ve tedarik zinciri saldırıları hastalara, tıbbi ilerleme ve halk sağlığı güvenliğine daha fazla zarar verme potansiyeline sahiptir” dedi.
Resmi bir FDA rehberlik belgesi veya yeni bir düzenleyici görev olmasa da, ajansın Beyaz Makalesi, tıbbi ürün üreticilerinin OT güvenliğinde üç ana konuyu düşünmelerini önerir – teknik bilgi alışverişi, güvenlik standartları ve uyumluluk ve tasarıma göre güvenlik.
FDA, “Bir endüstriyel ağı güvence altına almak için görünürlük elde etmek önemlidir. Bazı bağlı donanım modülleri diğer ekipmanlara gömülüdür ve son kullanıcıdan gizlenebilir.” Dedi.
FDA, “Tüm cihazlar tam olarak anlaşıldıktan sonra, altyapı güvenliğini en üst düzeye çıkarmak için ağda mantıksal olarak düzenlenebilirler. Bölge ve kanal mimarisinin üç katmanla – sunum, uygulama ve veriler – uygulama, tüm cihazların aynı bant genişliğini paylaştığı düz bir ağa kıyasla ağ güvenliğini ve genel ağ performansını büyük ölçüde iyileştirir.” Dedi.
FDA, tıbbi ürün üreticilerini, Ulusal Standartlar ve Teknoloji Enstitüsü Federal Bilgi Ürün Standartları ve Siber Güvenlik Altyapı Güvenlik Ajansı ve “Sıkı” ağ yönlendirme gereksinimleri tarafından önerilen standartları ve yönergeleri takip eden BT politikalarını, uygulamalarını ve prosedürlerini uygulamaya çağırıyor.
“Ne yazık ki, birçok ticari hazır ürün bu güvenlik gereksinimlerine doğal olarak uymayabilir ve yeniden yapılandırmaya ihtiyaç duyabilir. Bu yönergeler endüstri standardı uygulama olana kadar, birçok OT yapılandırmasında önemli güvenlik açıkları olabilir.”
Bazı uzmanlar, FDA’nın tıbbi ürün üreticilerinin operasyonlarında kullanılan OT konusundaki çabalarını artırmaya çağırdığı, artan siber tehdit manzarasını göz önünde bulundurarak şaşırtıcı olmadığını söyledi.
Otomatik IoT siber çözümleri sağlayıcısı Viakoo Başkan Yardımcısı John Gallagher, “Kötü niyetli bilgisayar korsanlarının IoT/OT cihazlarını hedeflemeye yönelik kayması, bu tür cihazların yönetilmesinden ve güvence altına almaktan sorumlu olan üretim, sağlık, fiziksel güvenlik ve diğer tesisler gibi iş kollarına yeni gereksinimler getirdi.” Dedi.
FDA Beyaz Kitabı “NIST ve Zero Trust çerçevelerinden bazı değerli kavramlar tıbbi ürünler tedarik zincirine getirmeye başladı, bu da siber tellere karşı dirençlerini güçlendirmeye yardımcı olacak” dedi.
Ancak, “Güvenliğin bir varış noktası olmayan bir yolculuk olduğunu kabul etmek önemlidir ve güvenlik söz konusu olduğunda herhangi bir öneriyi hedef veya onay kutusu egzersizi olarak gören ürünlere karşı dikkatli olmalıyız.”
FDA’nın tıbbi ürün üreticileri tarafından kullanılan OT üzerindeki artan dikkati, ajansın son on yılda tıbbi cihaz siber güvenlik üzerindeki artan incelemesini takip ediyor. Bu, son 10 yılda, ürün öncesi ve piyasa sonrası ürünlerinde tıbbi cihaz üreticileri için siber güvenlik önerileri içeren birkaç bağlayıcı olmayan rehber belge yayınlanmasını içerir.
Ancak belki de en önemlisi, Aralık 2022’de yasaya imza atan bir omnibus finansmanı, FDA’ya tıbbi cihaz siber güvenlik konusunda daha fazla düzenleyici otorite verdi. Genişletilmiş otorite, FDA’nın bir yazılım faturası da dahil olmak üzere siber güvenlik detaylarının eksikliği nedeniyle yeni cihazlar için yeni pazar gönderimlerini derhal reddetme “kabul etmeyi reddetme” politikasını uygulamasını içerir (bakınız: Inside Look: FDA’nın tıbbi cihazlar için siber inceleme süreci).
Giyilebilir sağlık cihazlarını zorlamak için federal
Bu arada, sağlık cihazı spektrumunun diğer ucunda, ABD Sağlık ve İnsan Hizmetleri Bakanlığı Sekreteri Robert F. Kennedy, Salı günü yapılan bir bütçe duruşması sırasında bir kongre komitesine, HHS’nin tüketicileri giyilebilir sağlık ve fitness cihazlarını kullanmaya teşvik etmek için yakında “HHS tarihindeki en büyük reklam kampanyalarından birini” başlatmayı planladığını söyledi.
Komite, “Giyilebilir cihazların Amerikalıları tekrar sağlıklı hale getirme gündeminin anahtarı olduğunu düşünüyoruz. Vizyonum, her Amerikalı’nın dört yıl içinde giyilebilir giymesidir.” Dedi.
Komite, “İnsanların kendi sağlıklarının kontrolünü ele geçirmesinin bir yolu. Sorumluluk alabilirler. Glikoz seviyelerine, kalp atış hızlarına ve diğer metriklere ne yaptığını görebilirler ve diyetleri, fiziksel aktiviteleri ve hayatlarını yaşama şekli hakkında iyi yargılarda bulunabilirler.” Dedi.