Jessica Wilkerson, tıbbi cihaz üreticilerinin, Gıda ve İlaç İdaresi’ne (kurumun siber güvenliğe yönelik yeni “kabul etmeyi reddetme” politikası kapsamında) pazarlama öncesi sunumlarında, bir ürünün yazılım malzeme listesi ve güvenlik açığı yönetim planı gibi ayrıntılara özellikle dikkat etmesi gerektiğini söyledi. FDA kıdemli siber güvenlik danışmanı.
SBOM’lar ve güvenlik açığı yönetimi sorunları, tıbbi cihaz üreticilerinin pazarlama öncesi başvurularda en çok zorlandıkları alanlar arasında yer alıyor; kurum, 1 Ekim’den itibaren siber güvenlikle ilgili ayrıntılar içermeyen tıbbi cihaz gönderimlerini reddetme hakkını yürürlüğe koymaya hazırlanıyor.
Information Security Media Group’a şöyle konuştu: “Yazılım malzeme listesi birçok açıdan hâlâ olgunlaşan ve gelişen bir kavram. Bu nedenle biz, düzenleme sürecimizin bir parçası olarak yazılım faturası malzemelerini açıkça talep eden ilk federal kurumlardan biriyiz.”
FDA, Ekim ayı itibarıyla, Kongre’nin Federal Gıda İlaç ve Kozmetik Kanunu’nda yaptığı ve geçen Aralık ayında Başkan Joe Biden tarafından imzalanan değişiklik uyarınca, kurum tarafından gerekli görülen belirli siber güvenlik ayrıntılarını içermeyen tıbbi cihaz pazarlama öncesi başvurularını otomatik olarak reddedebilecek. Görmek: Yeni Cihaz Siber Kayıtlarının Etkinleşmesiyle birlikte FDA Yönergeyi Sonlandırdı).
Wilkerson, pazarlama öncesi ürün gönderimlerini incelerken FDA’nın tıbbi bir cihazın siber tehditlere karşı dayanıklı olup olmadığını inceleyeceğini söyledi.
“Bu tıbbi cihaz, cihazın ve ilgili sistemlerin siber güvenlikli olduğuna dair makul bir güvence sağlıyor mu? Bu, kontrol listesi şeklinde yapılabilecek bir şey değil. Bu, cihazın farklı özelliklerinden toplam olarak alınması gereken bir şey. tehdit modeli, güncelleme yeteneği, yazılım tedarik zinciri ve diğer bazı şeyler.”
Wilkerson, FDA’nın, siber güvenlik sorunlarına yönelik politikayı kabul etmeyi reddetme politikasının teknik olarak yürürlüğe girdiği 29 Mart’tan bu yana tıbbi cihaz üreticileriyle birlikte çalıştığını ve üreticilerin reddedilmeyi nasıl önleyeceklerini daha iyi anlamalarına yardımcı olduğunu söyledi.
“FDA, tıbbi cihaz üreticisi topluluğuyla her zaman son derece işbirlikçi bir yaklaşıma sahip olmuştur. Bu kadar işbirlikçi olmamızın nedeni, hastaların yaşam kalitesini ve hasta bakımını iyileştirecek gelişmiş cihaz yeteneklerinin pazara çıktığını görmek istememizdir.” dedi.
Sesli röportajda (yukarıdaki fotoğrafın altındaki bağlantıya bakın), Wilkerson ayrıca şunları tartışıyor:
- FDA’nın siber güvenlik inceleme süreci nasıl işliyor;
- Bir ürün sunumunun siber güvenlik endişeleri nedeniyle FDA tarafından reddedilmesi durumunda cihaz üreticileri bundan sonra ne bekleyebilir?
- Tıbbi cihaz üreticileri, FDA’nın yeni yayımlanan, 57 sayfalık son pazarlama öncesi tıbbi cihaz siber güvenlik kılavuzunu, kurumun ihtiyaç duyduğu siber ayrıntıları daha iyi anlamak için en iyi şekilde nasıl kullanabilir?
- FDA’nın tıbbi cihaz siber güvenliğine ilişkin artan yetkisi, ürünleri kullanan sağlık hizmeti kuruluşlarını ve hastalarını nasıl etkileyecek;
- FDA’nın eski ürünler de dahil olmak üzere tıbbi cihaz siber güvenliğine ilişkin önceki ve gelecekteki diğer faaliyetleri.
Wilkerson, kıdemli siber politika danışmanı ve FDA bünyesindeki Cihazlar ve Radyolojik Sağlık Merkezi’ndeki Tüm Tehlikelere Hazırlık, Müdahale ve Siber Güvenlik veya ARC ekibinin tıbbi cihaz siber güvenlik ekibine liderlik ediyor. ARC’nin bir parçası olarak, bağlantılı tıbbi cihazların güvenliği ve etkinliği ile ilgili konuları inceliyor ve politika geliştiriyor.