Uç Nokta Güvenliği , Yönetişim ve Risk Yönetimi , Sağlık Hizmetleri
Kılavuz, Cihaz Üreticilerinin Artık Yeni Ürün Gönderimleri İçin Siber Ayrıntılar Vermesi Gerektiğini Söyledi
Marianne Kolbasuk McGee (SağlıkBilgisi) •
29 Mart 2023
Ajans Çarşamba günü yaptığı açıklamada, tıbbi cihaz üreticilerinin, Gıda ve İlaç İdaresi ön pazar onayı için yeni ürün başvurularına bir siber güvenlik planı dahil etmesi gerektiğini söyledi.
Ayrıca bakınız: Web Semineri | SASE Mimarisi Uzaktan Çalışmayı Nasıl Sağlar?
Ajans, 1 Ekim’den itibaren, satış sonrası güvenlik açıklarını gidermeye yönelik bir plan ve açıklardan yararlanmaların koordineli ifşasına yönelik bir yöntem dahil olmak üzere güvenlik önlemlerini detaylandırmayan başvuruları reddedeceğini söylüyor.
Her uygulama, cihazın ve ilgili sistemlerin güvenli olduğuna ve üreticinin hataları düzeltmek için yamalar geliştireceğine dair “makul bir güvence” ile gelmelidir.
Ajans, Çarşamba ile 1 Ekim arasındaki dönemde, siber güvenlik belgelerindeki kusurları gidermek için başvuru sahipleriyle birlikte çalışacağını söylüyor.
Yeni gereksinimler, yazılımı olan veya internet ile ağ kurabilen ve bir siber güvenlik tehdidine karşı savunmasız olabilecek “bu tür teknolojik özellikler” içeren herhangi bir cihaz için geçerlidir.
Kural için yetkilendirme, ajansın 29 Mart’a kadar tıbbi cihaz onayı için siber güvenlik gereksinimlerini uygulamasını gerektiren 2022 tarihli bir finansman yasa tasarısından gelir (bkz:: Özel: Yeni Tıbbi Cihaz Yasasının Etkisinde FDA Lideri).
Kongre, cihaz üreticilerinin güvenlik açıklarının tıbbi cihazlara sızmasına izin verdiğine dair artan endişelerin ortasında dili ekledi. 2018’deki güvenlik araştırmacıları, kalp pillerinde potansiyel olarak ölümcül güvenlik açıklarını açıkladı. Eylül ayında FBI, “yama uygulanmamış tıbbi cihazların neden olduğu artan sayıda güvenlik açığı” konusunda uyarıda bulundu.
Diğer birçok FDA kılavuz belgesinin aksine, bu yeni nihai kılavuz, önceden kamuoyu görüşü alınmadan uygulanmaktadır. Teşkilat, milletvekillerinin 90 günlük son teslim tarihi göz önüne alındığında, önceden halkın katılımının “mümkün veya uygun olmadığını” belirlediğini söyledi. Ajans, gelecekteki olası revizyonlar için yorumları dikkate alacağını söyledi.
Northeastern Üniversitesi Arşimet Sağlık Bakımı ve Tıbbi Cihaz Siber Güvenliği Merkezi direktörü ve eski bir FDA danışmanı olan profesör Kevin Fu, FDA’nın tıbbi cihaz güvenlik mühendisliği programlarının hayati önem taşıdığını açıkça ortaya koyduğunu söyledi. Üreticiler, siber güvenlik tehditlerini ciddiye almadıkları sürece “pazar öncesi izin veya onay konusunda ‘geçmeyin’ beklemeliler” dedi.
MedCrypt güvenlik firmasında siber güvenlik kalitesi ve güvenliğinden sorumlu kıdemli direktör Naomi Schwartz, bugün ile 1 Ekim arasındaki altı ayın tıbbi cihaz üreticilerine yeni gereksinimlere uymaları için yeterli zaman verdiğini söyledi.
“Politikanın kendisinin, umarız gönderimlerin kalitesini artıracak ve eksik başvuruları azaltacak, böylece gözden geçirenleri, beklenen içeriğin önemli bir bölümünü kaçırmayan gönderilere odaklanma konusunda özgür bırakacaktır” dedi.