Altı ay boyunca tıbbi cihaz üreticileri, tıbbi cihazları siber saldırılara karşı güçlendirmeyi amaçlayan yeni siber güvenlik düzenlemelerine uymak zorunda kaldı ancak ABD Gıda ve İlaç İdaresi şu ana kadar “kabul etmeyi reddetme” yetkisini kullanmaktan büyük ölçüde kaçındı.
1 Ekim’de FDA’nın, uygun siber güvenlik kontrolleri ve piyasaya sürülme sonrası yama yeteneği olmayan tıbbi cihazları reddetme yeteneğini kullanmamaya çalışacağını belirttiği yetkisiz kullanım süresi sona erecek. Tıbbi siber cihaz üreticilerinin artık pazar sonrası siber güvenlik açıklarını izlemek ve düzeltmek için planlar sunması, cihazların güvenli tasarımı ve geliştirilmesi için bir sürece sahip olması ve FDA’ya bir yazılım malzeme listesi (SBOM) sunması gerekiyor. Gereksinimleri karşılamayanların cihazları, çok büyük siber risk teşkil ettiği gerekçesiyle reddedilebilir.
Ajansın tıbbi cihaz siber güvenliğine odaklanması, Aralık 2022’de, tıbbi cihaz üreticilerinin herhangi bir siber cihazla ilgili siber güvenlik bilgilerini FDA’ya göndermesini gerektiren “Tıbbi Cihazların Siber Güvenliğinin Sağlanması” bölümünü içeren çok amaçlı ödenek yasasının Kongre tarafından kabul edilmesinden kaynaklanmaktadır. FDA’ya verilen yetkiler, IoT güvenlik firması Claroty’nin sağlık hizmetlerinden sorumlu sektör müdürü Ty Greenhalgh, Mart ayında yürürlüğe giren bu uygulamanın, tıbbi cihaz üreticilerini güvenlik açıklarını ve siber saldırıları dikkate almaya ve planlamaya zorlama konusunda uzun bir yol kat edebileceğini söylüyor.
“Bu yasa, özellikle yeni cihazlara yama yapma ve güncelleme yapma konusunda bir şeyler yapmanız gerektiğini ve yamaları ve güncellemeleri yaşam döngüsü boyunca makul bir sürede nasıl çıkaracağınızı ele alıyor” diyor. “Bunun kurulma şekli, FDA’ya tıbbi cihazların siber güvenliğini sağlamak için ne yapılması gerektiği ve yorumlarına uymamanız durumunda cezaların neler olduğu konusunda geniş bir yorumlama yetkisi veriliyor.”
Tıbbi cihazlar on yılı aşkın bir süredir siber güvenlik uzmanlarını endişelendiriyor. 2011’de bir insülin pompasını hackleme yeteneğinin birçok güvenlik yanılsamasını ortadan kaldırdığının bir göstergesi. Hastanelere yönelik büyük fidye yazılımı saldırıları, zayıf yönleri ve sonuçları ortaya çıkardı; ABD Sağlık ve İnsani Hizmetler Bakanlığı, tepki sürelerinin yavaşladığını ve hastaların önceliklendirilmesinin buna yol açtığını tahmin ediyor. ile 10.000 kalp krizinde 36 ölüm daha var.
Ancak tıbbi cihaz üreticileri değişim konusunda yavaş davrandı. 2022’de üreticilerin yalnızca dörtte biri (%27) SBOM’u sürdürürken, yarısından azı (%47) en yaygın karşı önlemi bile aldı: İkili kod analizi.
Bütçesinin 5 milyon dolarını tıbbi cihazların siber güvenliğine ayıran FDA bunu değiştirebilir.
FDA, “Siber güvenlik istismarları bu ülkenin karşılaştığı en önemli tehditlerden biridir ve bu etki özellikle sağlık sistemimiz için zararlıdır; burada güvenlik açıkları tüm hastane sistemlerini tehlikeye atabilir veya etkilenirse sayısız cihazın üretimini kesintiye uğratabilir.” yıllık ödenek tahmininde belirtilmiştir. “Sonuçta bu tehditler ulusal güvenlik açısından endişe vericidir çünkü kontrol edilmezse sağlık hizmeti sunumunu sekteye uğratabilirler.”
Tıbbi Cihazların Siber Güvenliğinin Sağlanması
ABD Gıda ve İlaç İdaresi, on yılı aşkın bir süredir tıbbi cihazlarda daha fazla siber güvenlik sağlanması için baskı yapıyor. 2005’te ağ tıbbi cihazları için siber güvenlik en iyi uygulamaları ve yayınlanması 2016’da üreticilere yönelik kılavuz taslağı. Siber cihazlar; yazılımı olan, internete bağlanabilen veya siber güvenlik tehditlerine karşı savunmasız olabilecek teknik bir bileşene sahip olanlar olarak tanımlanıyor.
Carnegie Mellon’da siber güvenlik profesörü ve yazılım güvenlik şirketi ForAllSecure’un CEO’su David Brumley, bu yeni gereklilikleri kanunlaştırmanın ilk adım olduğunu ancak kendi başına bir cevap olmaktan uzak olduğunu söylüyor.
“Bu noktada bir kas geliştiriyoruz ve bu kas, bu açık kaynak kodunu kaldırmamıza izin vermeyecek.” [security] henüz ağırlık. Ancak bu gücü geliştirmeye başlamazsak 20 yıl içinde yapamayız” diyor ve şöyle devam ediyor: “Keşke bir adım daha ileri giderek insanları nasıl sorumlu tutacaklarını söyleseler ve insanları sorumlu tutacak ne gibi yetkileri var.”
Yardımcı Olacak Kadar Ayrıntılı Değil
Brumley, hükümetin hızla değişen teknoloji nedeniyle kanunda teknolojik önlemler önermekten doğru bir şekilde kaçınmasına rağmen, mevzuatın tıbbi cihazların güvenliğine yönelik en iyi uygulamaları belirlemek için bir uzmanlar kurulu oluşturabileceğini söylüyor.
“Hükümetin işleri tam olarak nasıl yapmanız gerektiğini dikte etmesini istemiyorsanız, çünkü bu yavaş ve bürokratik olabilir, o zaman ne yapacağınızı söyleyen bir endüstri kuruluna sahip olmalısınız. [the best practices] Brumley, köprü inşa eden mühendislerin endüstri ve hükümet tarafından belirlenmiş standartlara ve kurallara uymaları gerektiğini ve bunlara uymamaları halinde ihmalkar olarak görülebileceklerini belirtiyor. “Bu gereksinimler o kadar belirsiz ki” SCA (yazılım bileşeni analizi) taraması yapmaktan başka temelde hiçbir şey yapamazsınız ve mevzuatı yerine getirirsiniz.”
Ayrıca yasanın, en savunmasız olanlar arasında yer alan eski cihazları ele alan bir bileşeni de yok. bazıları 15 yaşında, Claroty’nin Greenhalgh’ını ekliyor.
“Bu yasa, sorunu çözmeye başlamak için tasarlandı, ancak teknedeki deliği kapatıyor olsanız bile… eski cihazlarla ilgili ne yapacağınız mevzuatta pek açık değil.” diyor.
FDA’nın var Tıbbi cihazlarda siber güvenlik konusunda önemli kaynaklarbir olay müdahale taktik kitabı, bir tehdit modelleme kılavuzu ve siber güvenlik açıklarını hastalara iletmek için bir en iyi uygulamalar belgesini içerir.