Tıbbi cihaz yönetmeliği, tıbbi bir durumun teşhisi, tedavisi veya önlenmesi için kullanılan herhangi bir cihazın belirli güvenlik ve kalite standartlarını karşılamasını sağlayarak hastaların korunmasına da yardımcı olduğundan sağlık sektörünün önemli bir parçasıdır.
hiç şüphe yok ki tıp teknolojisi ilerledi, ve gelecekte daha da gelişecek şekilde ayarlanmıştır. Yine de bu teknolojik evrimin bir bedeli var. Tıbbi cihazlar ve sistemler dijital ve bağlantılı hale geldikçe siber tehditler katlanarak artıyor.
Sağlık sektörüne yönelik siber saldırılar yıldan yıla istikrarlı bir şekilde artmıştır. Saldırılardaki en kötü artışlardan biri, 2021’e kıyasla haftalık saldırı sayısında yüzde 86’lık bir artış görülen 2022’de yaşandı.
Kötüleşen siber güvenlik durumuna yanıt olarak, hükümetler müdahale etmeye çalışıyor. Hükümet düzenlemelerinin izin verdiği ölçüde boşlukları kapatmaya çalışmak için ciddi çabalar sarf edildi.
Büyüyen tıbbi cihaz yönetmeliği
kabul edilmesinin en güncel örneklerinden biri. tıbbi cihaz düzenlemesi ihtiyacı Amerika Birleşik Devletleri Kongresi tarafından 2022’nin bitiminden hemen önce geçirilen ödenek tasarısıdır. İnternete bağlı tıbbi cihazlar üreten şirketleri ürünlerinin güvenliğini sağlamaya zorlayan hükümler içermektedir. Tasarı, sağlık ve insan hizmetleri otoritesine, bağlı tıbbi cihazların siber güvenliği ile ilgili gereklilikleri ve düzenlemeleri çıkarma yetkisi veriyor.
Diğer ülkelerde de bağlı tıbbi cihazların güvenliğini sağlamak için benzer düzenlemeler veya öneriler vardır. Avrupa Birliği’nin, tıbbi cihazlar da dahil olmak üzere IoT ürünleri için siber güvenlik gereksinimlerini zorunlu kılan Siber Direnç Yasası vardır.
Japonya Sağlık, Çalışma ve Refah Bakanlığı (MHLW), siber güvenliği vurgulamak için 2022’nin başlarında tıbbi cihazlara yönelik düzenlemelerini güncelledi. Bu arada, Çin Tıbbi Cihaz Değerlendirme Merkezi (CMDE), 18 ürün kategorisinde kullanılan tıbbi yazılımlar için yeni “kılavuz ilkelere” sahip.
Birleşik Krallık da adında yeni bir yasa tasarısı üzerinde çalışıyor. Ürün Güvenliği ve Telekomünikasyon Altyapı Yasasısağlık hizmetlerinde kullanılanlar da dahil olmak üzere çeşitli web özellikli cihazların siber güvenliğini tespit etmeyi amaçlayan .
Siber güvenlikteki yeni zorlukları yansıtmak için daha fazla hükümetin yeni yasalar ve yönetmelikler çıkarması ya da mevcut yasalara yönelik güncellemeler yapması bekleniyor. Özel kuruluşların girişimlerine güvenmek artık bir seçenek gibi görünmüyor.
Ortaya çıkan siber tehditleri ele almak için hükümet ve özel sektör işbirlikleri de dahil olmak üzere çeşitli girişimler olmuştur, ancak saldırı yüzeyleri, artan dijitalleşme ve birçok yönden bağlanabilirlik ile genişlediğinden, tehdit aktörlerinin güvenlik açıklarından yararlanma yollarına ayak uydurmak için yeterli görünmüyorlar. tıbbi ve sağlık Endüstrisi.
Artan düzenleme için gerekçeler
Amerika Birleşik Devletleri’nin 2022 ödenek yasa tasarısına tıbbi cihaz düzenlemesinin eklenmesinin nedenlerinden biri de tıbbi cihazlardaki güvenlik açıklarının artmasıdır. Geçen yıl Aralık ayında FBI alarma geçti. yüzlerce güvenlik açığı Siber saldırılar için fırsat yaratan yaygın olarak kullanılan tıbbi cihazlarda keşfedildi.
FBI uyarısında, “Tıbbi cihaz güvenlik açıklarından yararlanan siber tehdit aktörleri, sağlık tesislerinin operasyonel işlevlerini, hasta güvenliğini, veri gizliliğini ve veri bütünlüğünü olumsuz yönde etkiliyor.” Federal ajans, özellikle intrakardiyak defibrilatörler, kalp pilleri, insülin pompaları, mobil kardiyak telemetri ve ağrı kesici pompalardaki güvenlik zayıflıklarını gösterdi.
Tıbbi cihazlardaki siber güvenlik sorunlarının çoğu, kullanıcıların düzeltme kapasitesi ve uzmanlığı dahilinde olmadığı için devlet müdahalesi gereklidir. Çoğu cihaz, kullanıcıların yapılandırmalarını ve ürün yazılımlarını düzenli olarak incelemeleri beklenmeden birkaç on yıl boyunca dağıtılır ve kullanılır.
Pek çok cihaz, kullanıma hazır dağıtım için standart yapılandırmalarla tıbbi tesislere gönderilir. Daha sonra hastaneler tarafından yirmi ila otuz yıl boyunca kullanılırlar. Bu, tehdit aktörlerinin güvenlik açıklarını titizlikle araması veya izinsiz giriş için pencereler oluşturabilecek yazılım güncelleme hatalarını beklemesi için cömert fırsatlar yaratır.
Bu riski çözmek en iyi şekilde cihaz üreticilerinin kendileri tarafından ele alınır. Bu nedenle, üreticilerin bu uzun süreli kullanım cihazlarını korumak için güvenlik önlemleri almalarını zorunlu kılmak daha mantıklıdır.
Öte yandan, eski cihazların ciddi bir siber güvenlik tehdidi haline gelmesi sorunu var. Bir çalışma, neredeyse tıbbi cihazların dörtte üçü dünya çapında hala eski işletim sistemlerini kullanıyor. Bu, özellikle insanların sağlığını ve yaşamını doğrudan etkileyebilecek cihazlar için büyük bir risktir. Yine, bu, üreticiler tarafından en iyi ele alınan bir konudur ve düzenleme, cihaz üreticilerini sorumlu olmaya zorlamanın tek yoludur.
Ek olarak, kamu-özel siber güvenlik ortaklıkları yetersiz olma eğiliminde olduğundan, artan düzenleme garanti edilir. Stanford Siber Politika Merkezi danışmanı Jim Dempsey, 2021’deki kötü şöhretli Colonial Pipeline olayını hükümetlerin siber güvenliği desteklemek için daha fazlasını yapabilir özel-kamu siber güvenlik işbirliğinin yetersizliği arasında.
Ayrıca yönetmelik, piyasada bulunan tıbbi cihazların güvenli olmasını sağlar. Hükümetler, üreticileri daha iyi ve daha güvenli ürünler sunarak daha rekabetçi olmaya zorlamak için ekonomik faktörlere güvenmek yerine müdahale edebilir ve yalnızca güvenli ve güvenli ürünlerin piyasaya sunulmasını sağlayabilir. Üreticiler, sundukları cihazların özellikleri ve uzun ömürlülük gibi diğer alanlarda rekabet edebilirler.
Artan düzenlemenin sakıncaları
Siber güvenlik adına artan düzenlemeye yönelik makul eleştiriler var. Bunlardan biri, kuruluşları daha az esnek hale getirerek belirli saldırılara yanıt verme ve siber tehditleri ele almada daha iyi hale gelmek için yenilik yapma yeteneklerini sınırlandırma olasılığıdır.
Ayrıca uyumluluk maliyetleri külfetli olabilir ve bu da bazı kuruluşların güvenlik duruşlarını fiilen güçlendirmek yerine yalnızca düzenlemelere uymaya odaklanmasına yol açabilir.
Bazıları, düzenlemeleri zorlayan yasa koyucuların veya politika yapıcıların uzmanlık eksikliğine ve yetersizliğine de saldırıyor. Getirilen gereklilikler, özellikle ilgili tüm kurumsal lobi faaliyetleri söz konusu olduğunda, fiili sorunları çözmeyebilir. Örneğin, 2022 ABD ödenek tasarısındaki tıbbi cihaz yönetmeliği maddesinin, lobicilik nedeniyle karıştırıldığı veya daha az etkili bir biçime indirildiği bildirildi.
Meclis tarafından geçirilen yasa tasarısı, şu üç özellikten herhangi birine sahip olabilecek daha geniş bir tanıma sahiptir: yazılım veya sabit yazılımın varlığı, internete bağlanma yeteneği ve siber güvenlik tehditlerine karşı savunmasızlık. Ancak Senato’da kabul edilen versiyon, tanımı yalnızca bir tanesinin değil, üç özelliğin tamamının dahil edilmesiyle sınırlandırıyor. Bu da esas olarak mevzuat kapsamındaki cihaz sayısını azaltmaktadır.
Ayrıca, hükümetlerin düzenlemelere uyum sürecinde toplanabilecek özel ve hassas verileri gerektiği gibi güvence altına alma becerisine ilişkin şüpheler ortaya çıkıyor. Dünyanın dört bir yanındaki hükümetler, özel verileri işleme konusundaki yetersizliklerini ve sistem kesintilerine yol açan agresif siber saldırılara maruz kalma tarihlerini belgelediler.
düzenlemenin gerekliliği
Tıp teknolojisi ilerliyorsa, yeni tehditlere ayak uydurmak için siber güvenlik teknolojisinin de ilerlemesi yeterli değil mi? Güvenlik firmaları, ortaya çıkan tehditleri ele almak için düzenli olarak yeni çözümler üretir.
Bu durumda düzenlemeye neden gerek duyulmuştur? Cevap basitçe şudur güvenlik açıkları var özellikle sağlık hizmetleri alanında yer alanlar için, yalnızca cihaz kullanıcıları tarafından yeterince çözülemeyen sorunlar. Sınırlı kaynakları var ve bu kaynakları BT ve siber güvenlik ekiplerini güçlendirmek yerine temel hizmetlerine harcama olasılıkları daha yüksek.