FDA’dan Nastassia Tamari’ye göre, ürünlerini Gıda ve İlaç İdaresi’ne pazar öncesi onay için gönderen tıbbi cihaz üreticileri genellikle üç ana alanda siber güvenlikle en çok mücadele ediyor: tasarım kontrolleri, malzeme yazılım listesi sağlama ve testler.
Information Security Media Group ile yaptığı röportajda “Gönderim sürecinde ortaya çıkan bazı endişeleri gidermek için bu inceleme süreci sırasında üreticilerle yakın işbirliği içinde çalışıyoruz” dedi. Bu endişeler genellikle FDA’ya tasarım sorunları ve SBOM’lar hakkında daha ayrıntılı bilgi veya daha net belgeler sağlamanın yanı sıra siber güvenlik testleriyle ilgili potansiyel sorunları ele alma ihtiyacını da içerir.
Geçtiğimiz yılın sonlarında FDA’ya katılan ve ajansın tıbbi cihaz siber güvenliğinden sorumlu ilk bölüm yöneticisi olan Tamari, “Bunların hepsi başvuru sürecinde zorluklar olmaya devam ediyor” dedi. Bu yeni FDA bölümü, cihazları içeren siber olaylara müdahale ve koordinasyon da dahil olmak üzere tıbbi cihaz siber güvenliği konularına adanmıştır.
Yeni tıbbi cihaz bölümü, FDA’nın OST olarak da bilinen Stratejik Ortaklıklar ve Teknoloji İnovasyon Ofisi’nin, ajansın Cihazlar ve Radyolojik Sağlık Merkezi bünyesinde Ocak ayında yeniden yapılanmasının bir parçası olarak başlatıldı. OST, Aralık 2022’de FDA’nın tıbbi cihaz siber güvenliği konusundaki düzenleyici otoritesini genişleten çok amaçlı bir finansman tasarısının yasalaşmasının ardından bir “süper ofis” düzeyine yükseltildi (bkz.: FDA Tıbbi Cihaz Siber Güvenliği Kaynaklarını Artırıyor).
Artan yetki, FDA’nın, yazılım malzeme listesi veya sızma testi ve güvenlik açığı azaltma bilgileri gibi siber güvenlik ayrıntılarının eksikliği nedeniyle yeni tıbbi cihazlar için pazarlama öncesi başvuruları derhal reddetmesine olanak sağlamayı da içeriyor (bkz: İçeriden Bakış: FDA’nın Tıbbi Cihazlar için Siber İnceleme Süreci
Ancak Tamari, bazı cihaz üreticileri için penetrasyon testinin, ürünlerini FDA’nın pazar öncesi incelemesine sunma konusunda bir darboğaz haline geldiğini söyledi.
“Görüşmeler yaptık ve üreticilerin üçüncü taraf penetrasyon kuruluşlarının kendilerine uyum sağlayabilmesi için üç ila altı aylık bekleme süreleriyle karşı karşıya olduklarını duyduk” dedi.
Tamari, FDA’nın üreticilere, testin eksiksiz bir şekilde yapıldığından ve herhangi bir bulgunun kuruma sunulmadan önce ele alındığından emin olmak için kritik öneme sahip kalem testleri için önceden planlama yapmalarını şiddetle tavsiye ettiğini söyledi.
“Bu test planlarının tamamlandığını görmek istiyoruz, ancak aynı zamanda bu test belgelerindeki bulgular ne olursa olsun, uygulanan kontrollerin de olduğunu biliyoruz.”
Bilgi Güvenliği Medya Grubu ile yapılan bu sesli röportajda (fotoğrafın altındaki ses bağlantısı), Tamari şunları da tartıştı:
- Cihaz üreticilerinin üçüncü taraf kalem testi alma konusunda karşılaştığı uzun gecikmelerin olası nedenleri;
- Yapay zeka ve makine öğrenimi özellikli tıbbi cihazlarla ilgili hususlar;
- Tamari’nin tıbbi cihaz üreticisi Becton, Dickinson and Co.’da on yıl süren siber güvenlik çalışması onu FDA’daki yeni görevine nasıl hazırladı?
Tamari, FDA bünyesinde tıbbi cihaz siber güvenliği politikasına liderlik ve stratejik yön sağlayan yeni bir bölüm için tıbbi cihaz siber güvenliğine liderlik ediyor. Ekibi, tıbbi cihazları içeren siber güvenlik olaylarına karşı ulusal hazırlığı ve müdahaleyi geliştirmek için tıbbi cihaz siber güvenliğiyle ilgili politika geliştiriyor. Tamari, FDA’ya katılmadan önce tıbbi cihaz üreticisi BD’de bir ürün güvenliği programının oluşturulmasını desteklemek için on yıldan fazla zaman harcadı; kurumsal, ürün ve üretim için güvenlik operasyonları ekibine liderlik etmek; ve stratejik düzenleme uyumlaştırmasında küresel bir ekibe liderlik etmek.