Nidhi Gani, siber güvenlik, tıbbi cihazlar ve dijital sağlık konularında on yıldan fazla deneyime sahip tecrübeli bir düzenleyici işler uzmanıdır. Kalp ve akciğer makinelerinden rehabilitasyon cihazlarına kadar çeşitli cihazlarla çalıştı. Nidhi, Embecta’da Düzenleme İşleri Yazılımı ve Siber Güvenlik olarak çalışıyor ve Northeastern Üniversitesi’nde Arşimet Sağlık ve Tıbbi Cihaz Siber Güvenliği Merkezi’nde Siber Güvenlik Üyesidir. Deneyimlerini ve içgörülerini paylaşmak için Soldan Kendi Cihazlarımıza podcast’ine katıldı.
Düzenleyicilerin tıbbi cihaz üreticilerinden, özellikle de siber güvenlik konusunda daha fazla güvenilirlik ve şeffaflık talep etmesi nedeniyle, tıbbi cihaz üreticileri için mevzuatla ilgili işler dünyası son yıllarda sarsıcı bir değişim yaşadı.
Podcast’te Nidhi Gani, biyoloji ve immünoloji alanındaki çalışmalarına devam etmek için ABD’ye nasıl geldiğini ve bu arada düzenleyici işleri nasıl keşfettiğini anlattı. Daha büyük tıbbi ekosistem hakkında daha fazla şey öğrendikçe, şirketlerin daha az düzenleyici anlaşmazlıkla pazara ulaşmalarına yardımcı olacak bu büyüyen nişteki mesleğini keşfetti.
Stratejik ortak olarak Ruhsatlandırma İşleri
Kariyerinin ilk yıllarında, yani FDA’nın siber güvenliğe yönelik Pazar Öncesi yönergelerinden önce, ekipler ve düzenleyici işler profesyonelleri arasındaki işbirliği zorlayıcıydı.
Mühendisler ve diğer ekip üyeleri Nidhi’nin rolünü müdahaleci olarak algıladılar. Nidhi, “Bir düzenleyici işler uzmanı olarak karşılaştığınız en büyük zorluklardan biri, yetkisiz liderlik yapmak olacaktır” dedi. Siber güvenlik önlemleri gerekli olmadan önce, düzenleme işleri, zorunlu olarak uygulanması mümkün olmayan katı iç tavsiyelerdi. “Çoğu zaman mühendisler vardır ve ekip bilgileri tamamen açıklamak istemez.”
Bu gerçeği kabul ederek ve içinde bulunduğunuz organizasyonun tüm yapısını anlamaya zaman ayırarak çok ilerleme kaydedilebilir. Nidhi, “Düzenleme işleri bir engelleme olarak görülüyor. Ancak düzenleyici işleri stratejik olarak kullanırsanız, bunlar hem ürün geliştirmeniz hem de düzenleyici onaylar için çok iyi bir katalizör olabilir.”
Bu ilk direnç, özellikle değeri kendi tescilli teknolojisi içinde tutulan yeni kurulan şirketler için geçerliydi. Bu bilgilerin sızması, şirketin daha faaliyete geçmeden sonu anlamına gelebilir. Bu, onun bu kuruluşlarla çalışma biçimini değiştirmesini ve birçok kez yeni düzenlemeler hakkında bilgi sahibi olmasını gerektirdi.
Bunun bir örneği alana ilk girdiği ve değişkenler üzerinde çalıştığı zamandı. Yazılım ve siber güvenlik düzenlemeleri henüz tam olarak oluşmamıştı. Yeni düzenlemelerin tümü yeniydi; bu nedenle, düzenleyiciler ile ekip arasındaki boşluğu doldurmak, diğer kuruluşlar tarafından test edilmeden önce neyin gerekli olduğuna dair bir anlayış geliştirmesini gerektirdi.
Bugün bile insanları gruba dahil etmek, düzenlemeleri ve bunlara uymanın faydalarını açıklamak gerekiyor.
iCAD’in FDA onayını almak için çalışıyoruz
Mart 2021’de iCAD, Inc. meme kanseri tespit teknolojisi için FDA onayı aldı. Bu haber, bu onayı alan ilk AI/ML algoritması olduğundan tıp camiasının çok ötesine geçti.
Nidhi bunun nasıl eşsiz bir fırsat sunduğunu açıkladı çünkü güncellemeler veya rutin bakım için çevrimdışına alınabilen geleneksel tıbbi cihazlardan farklı olarak bu, hastanenin dahili ağında yaşayan bir SaaS ürünüydü. “Bu inanılmaz bir teknoloji çünkü FDA ve o program tarafından onaylanan ilk algoritmaydı. “Bu cihazın zorlukları çok yönlüdür çünkü cihazın kendisinin ortaya çıkması veya siber güvenlik açıklarına sahip olmasından ziyade, sorun giderme ve müşteri hizmetleri sırasında da maruz kalacağı ağdı.”
iCAD’in kabul edilebilir bulduğu bir güvenlik düzeyine ulaşmak, FDA pazar iznini aldıktan sonra bile hala zaman alıyordu.
Bu, FDA’nın siber güvenlik yönergelerini uygulama yetkisini farklı bir düzeye taşıyan Omnibus yasa tasarısından önceydi. Yazılımı mevzuata hazır olacak ve gelecekte uyumlu kalacak şekilde hazırlamak ona kalmıştı. Bu başarıyı, kendisinden haber almaktan heyecan duymayacağını bildiği insanlara ulaşarak ve şirketin tüm farklı yönlerini tanımlamayı öğrenerek başardı.
Tüm varlıkların çerçevesini aldıktan sonra, NIST çerçevesini temel alan risk yönetimi planları oluşturdu, şirketin duruşunu anlamak ve programları uygulamaya başlamak için yeterli veri topladı. “Bence tıbbi cihaz sektörünün güzelliği de bu çünkü kalite yönetim sistemlerinizi rasyonelleştirebileceğiniz şekilde de oluşturabilirsiniz.”
Nidhi, güvenlik açıklarının, risklerin ve güvenlikle ilgili diğer zorlukların keşfedilip yönetilebildiği Ürün Güvenliği Yönetim Sistemlerinin gücünden yararlanıyor.
Omnibus ve düzenlemeler
Geçmişte FDA’nın tıbbi cihazlarda siber güvenlik konusunda ne görmek istediklerine dair yönergeleri vardı. Bugün, 22 Aralık’taki Omnibus yasa tasarısının kabul edilmesinin ardından FDA, pazar onayı isteyen tüm cihazlarda minimum siber güvenlik standartlarını zorunlu kılma konusunda yasal yetkiye sahip. Bir cıvata bağlantısı olarak değil, teknolojinin temel bir yönü olarak.
FDA’nın Kabul Etmeyi Reddetme (RTA) politikası, yani kurumun siber uyumlu olmayan herhangi bir cihazın onayını reddetme hakkı söz konusu olduğunda röportajda SBOM’ların nasıl ön planda ve merkezde olduğu konusu ele alındı. Bu faturaların, her cihazda ne olduğunu ve hangi bileşenlerin saldırılara karşı savunmasız olduğunu anlamada nasıl kritik bir rol oynadığını ele aldılar; bu, Log4j sırasında birçok cihazı koruyabilecek bir şeydi.
Daha sonra konuşma, güvenlik sistemlerinin nasıl sürekli olarak test edildiği ve hiçbir zaman tek seferde yapılan bir iş olmadığı gibi, güvenlik sistemlerinin de aynı olması gerektiği konusuna derinlemesine daldı. Nidhi, “Güvenlik açığının açıklanmasına bakarken aynı zamanda yama uygulama ve güncellemeye de bakıyorsunuz” dedi. Bu, neyin güncellenmesi gerektiği, neyin geri çağrılması gerektiği, riskin ne olduğu vb. parametrelerle güvenliği güvenlikle aynı alana getiriyor.”
ABD’nin ötesinde diğer ülkelerin kendi önlemleri üzerinde nasıl çalıştıklarını inceleyen Nidhi şunları söyledi: “Sanırım çoğu ülke ve kıta bu yolu takip ediyor ve kendi siber güvenlik düzenlemelerini ve AI SMD düzenlemelerini üretiyor çünkü teknoloji pandemiden sonra ilerliyor veya daha ziyade büyümeyi en az on yıl hızlandırdı ve düzenleyiciler yetişiyor ve iyi bir iş çıkarıyorlar.”
Sonuçta düzenleme, endüstrilerin büyümeye ve yenilik yapmaya devam etmesine izin verirken vatandaşın çıkarına en iyi şekilde çalışmakla ilgilidir. Tıbbi cihaz siber güvenlik standartlarını uyumlu hale getirmek, üreticiler için maliyet tasarrufu sağlıyor ancak Nidhi, verilerin depolanması ve sınırların ötesine taşınması konusunda ele alınması gereken daha büyük soruların olduğunu vurguluyor.