Endüstri uzmanları, tıbbi cihazları inceleyerek Kongre Komitesi’nden önce tanıklık ediyor
Marianne Kolbasuk McGee (Healthinfosec) •
1 Nisan 2025
ABD Sağlık ve İnsan Hizmetleri Departmanında ve özellikle Gıda ve İlaç İdaresi’nde büyük işgücü kesintilerinin, tıbbi cihaz siber güvenliğini içeren kritik çalışmaları engelleyebileceğini, potansiyel olarak hasta güvenliğini riske attığını ve sertleştirme inovasyonunu engelleyebileceğini söyledi.
Ayrıca bakınız: Sağlık hizmetlerinin güvenliği: Sürekli değişen bir tehdit manzarasında riski en aza indirmek
House Energy ve Ticaret Komitesi Alt Komitesi tarafından yapılan duruşma, tıbbi cihazların – özellikle eski eski ürünleri – aynı zamanda düzenleyici inceleme boru hattına giren daha yeni ürünler için siber güvenlik zorluklarını inceledi.
Aralık 2022’de yasaya imzalanan mevzuat uyarınca Kongre, FDA’nın tıbbi cihaz siber güvenlik konusunda yetkisini genişletti. O zamandan beri, ajans, pazar öncesi onay sunumlarının bir parçası olarak yeni veya değiştirilmiş tıbbi cihazların siber güvenliğini değerlendiren bir inceleme süreci uyguladı (bkz:: Medical Cihaz Siber Güvenliğinde Düzenleme Çubuğunu Yükseltme).
Güvenlik danışmanlığı ve hizmetler firması Medsec CEO’su Michelle Jump, “FDA, düzenleyici gözetiminin bir parçası olarak siber güvenlik beklentileri üzerine çıtayı sürekli olarak yükseltiyor.”
Ancak bu ilerlemenin potansiyel olarak FDA’da yapılan kesintileri çevreleyen kesintilerle risk altında olduğunu söyledi.
Geçen hafta HHS, FDA’nın 20.000 HHS çalışanının genel bir azalmasının bir parçası olarak yaklaşık 3.500 tam zamanlı çalışan tarafından işgücünü keseceğini söyledi (bkz: bkz: RKF Jr. HHS’deki kesimler HIPAA’yı Etkiliyor, Siber Tepki Birimleri).
Geçen hafta HHS, azalmanın uyuşturucu, tıbbi cihaz veya gıda gözden geçirenlerini veya etki müfettişlerini etkilemeyeceğini, ancak Trump yönetim yetkilileri henüz kesme bloğunda tam olarak hangi pozisyonların olduğuna dair ayrıntıları vermediğini söyledi.
FDA’nın inceleme personelinin ve tıbbi cihaz çalışmasıyla ilgili diğer uzmanların herhangi bir azalması “siber güvenlik üzerinde muazzam bir etkiye sahip olacak… Siber Güvenliğin Piyasası öncesi ve pazar sonrası yönetimini daha zor hale getirecek” dedi. Fu ayrıca Covid-19 Pandemi sırasında özel bir danışman olarak FDA’da görev yaptı.
Fu, “Birkaç yıl önce FDA’da tıbbi cihaz güvenliği direktörü görev yaparken, az sayıda bireyin iskelet ekibiydi.” Dedi. Yetkili, “Bu konu uzmanlarından herhangi birini kaybetmek, bir sonraki Contec türden güvenlik açığı veya ülke çapında hastaneleri etkileyen bir sonraki fidye yazılımı kesintisini ele almak zor olacaktır.” Dedi.
FDA personelinin azaltılması, sadece ajansın cihaz siber güvenlik değerlendirmelerini, yeni siber rehberliğin geliştirilmesini ve yeni keşfedilen güvenlik açıklarına verdiği yanıtı – aynı zamanda FDA’nın yenilikçi tıbbi teknolojiler için genel inceleme sürecini yavaşlatamadığını söyledi.
Ayrıca, federal hükümetteki iş güvenliğinin belirsizliğinin, tıbbi cihaz siber güvenlik uzmanlarının işe alımını ve elde tutulmasını gelecekte daha zor hale getirebileceğini söyledi.
Eski Sorunlar
Tanıklar ayrıca, satıcıları tarafından artık desteklenmeyenler de dahil olmak üzere daha eski veya eski tıbbi cihazların genellikle hasta güvenliğini riske atan potansiyel güvenlik sorunlarına sahip olduğuna – ayrıca cihazların bağlı olduğu diğer BT sistemlerinin ve ağlarının güvenliğine sahip olduklarına dikkat çekti.
UC San Diego Healthcare Siber Güvenliği Merkezi’nin pratik doktoru ve ortak yönetmeni Dr. Christian Dameff, “Eski cihazlar sağlık altyapımızda her yerde bulunuyor, ancak bunların bir veri boşluğunda mevcut olan, bunların ne tür, ne tür güvenli – ne kadar güvenli – bunların açık soruları.”
Dameff, tıbbi cihaz siber güvenlik sorunlarını araştıran etik bilgisayar korsanları için yasal korumaların güçlendirilmesi çağrısında bulundu. Etik hackleme, Çinli üretici Contec tarafından üretilen bir hasta monitöründe (CMS8000) gizli bir arka kapı da dahil olmak üzere birçok kritik güvenlik açıkının keşfedilmesine yol açtı (bakınız: bkz: 2 Çinli hasta monitöründe endişe verici arka kapı saklanıyor).
Dameff, “Kimse ABD hastanelerinde veya nerede olduklarını kim olduğunu bilmiyor.” Dedi.
Yetkili, ABD hastanelerinde ve diğer tıbbi tesislerde toplam milyonlarca eski cihazın kullanıldığı konusundaki belirsizliğin de sağlık sektörünün bağlantılar arası ve ortak bağımlılıklarını haritalama ihtiyacının altını çizdiğini söyledi.
Aslında, bu ulusal haritalama projesi, HHS, CISA ve diğer federal kurumlara danışmanlık grubu olarak hizmet veren özel-kamu işbirliği olan Sağlık Sektörü Koordinasyon Konseyi’nin Siber Güvenlik Çalışma Grubu tarafından devam etmektedir.
HSCC’nin Cyersecity Grubu (bkz. Bir sonraki büyük saldırıdan önce sağlık sektörü chokepointleri haritalama).
Ancak HHS içinde yapılan kesintiler, tıbbi cihaz siber güvenlik sorunlarının yanı sıra daha büyük sağlık sektörü siber konuların karşılaştığı tek potansiyel engeller değil.
Yakın tarihli bir yürütme emri uyarınca, 7 Mart’ta Başkan Trump, kritik altyapılardan ve federal hükümetin liderlerin kritik siber güvenlik sorunlarını tartıştıkları ve paylaştığı 16 kritik altyapı politikası danışma komitesini dağıttı, Erik Decker, Intermountain Healthcare CIO’su ve HSCC CWG’nin eski eş başkanlığını ifade etti.
“Bu yeniden kurulmuş olanlara acilen ihtiyacımız var, böylece en hassas güvenlik açıklarımızın halka açık olmasından korkmadan kritik altyapımızı güvence altına almak için geri dönebiliriz.” Dedi.