Uç Nokta Güvenliği, Sağlık Hizmetleri, Sektöre Özel
1 Ekim’den İtibaren Ajans Güvenli Geliştirme Çerçevesi, Tehdit Modellemesi ve SBOM’lar İsteyecek
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
27 Eylül 2023
Gıda ve İlaç İdaresi, tıbbi cihaz üreticilerinin, pazar öncesi ürün sunumlarına siber ayrıntıların dahil edilmesine yönelik yeni gereksinimleri karşılamak için ürünlerinde siber güvenliğe nasıl yaklaşmaları gerektiğine ilişkin nihai kılavuzu yayınladı.
Ayrıca bakınız: İsteğe Bağlı | İnsan Davranışını Anlamak: Perakendenin ATO ve Dolandırıcılığı Önleme Zorluklarıyla Mücadele
“Tıbbi Cihazlarda Siber Güvenlik: Kalite Sistemiyle İlgili Hususlar ve Pazarlama Öncesi Gönderimlerin İçeriği” başlıklı belge, tıbbi cihaz üreticilerine çok çeşitli ürün güvenliği sorunları hakkında FDA tavsiyeleri sunuyor.
Bunlar, bir cihazın yaşam döngüsü boyunca güvenlik açıklarının sayısını ve ciddiyetini azaltmak için güvenli bir ürün geliştirme çerçevesinin uygulanmasını, tehdit modellemeyi, üçüncü taraf bileşenleri ve yazılım malzeme listesine ilişkin bilgileri içerir.
FDA, kılavuzda “Sağlık sektörüne yönelik siber güvenlik tehditleri daha sık ve daha şiddetli hale geldi ve klinik etki potansiyeli arttı” diye yazdı. “Siber güvenlik olayları, tıbbi cihazları ve hastane ağlarını çalışmaz hale getirerek ABD’deki ve dünya genelindeki sağlık tesisleri genelinde hasta bakımı sunumunu kesintiye uğrattı. Bu tür siber saldırılar ve istismarlar, teşhislerde gecikme ve/veya veya tedavi.”
Nihai kılavuz Çarşamba günü Federal Kayıt’ta yayınlandı ve FDA’nın “kabul etmeyi reddetme” politikası 1 Ekim’de tam olarak yürürlüğe girecek. Yeni politika, ajansın gerekli siber güvenlik ayrıntılarını içermeyen pazarlama öncesi tıbbi cihaz gönderimlerini derhal reddetmesine olanak tanıyacak.
Gerekli ayrıntılar arasında satıcının pazar sonrası güvenlik açıklarını gidermeye yönelik planı, açıklardan yararlanmaların koordineli olarak ifşa edilmesine yönelik bir yöntem ve ticari, açık kaynak ve kullanıma hazır yazılım bileşenleri de dahil olmak üzere bir yazılım malzeme listesi yer alır.
Her pazarlama öncesi ürün gönderimi, cihazın ve ilgili sistemlerin güvenli olduğuna ve üreticinin hataları düzeltmek için yamalar geliştireceğine dair “makul bir güvence” ile birlikte gelmelidir.
Kabul Etmeyi Reddet
FDA’nın “kabul etmeyi reddetme” politikası çeşitli ürünler için yıllardır mevcuttu ancak daha önce tıbbi cihazların siber güvenliği için geçerli değildi (bkz.: OT Güvenliği Neden Bazı Sağlık Liderlerini Geceleri Uyanık Tutuyor?).
FDA’nın pazarlama öncesi tıbbi cihaz gönderimlerinin güvenliğine yönelik “kabul etmeyi reddetme” politikası resmi olarak 29 Mart’ta yürürlüğe girerken, ajans 1 Ekim’e kadar bir ek süre tanıdı ve bu süre zarfında FDA, cihaz başvuru sahipleriyle işbirliği içinde çalışmaya istekliydi. İnceleme sürecindeki siber güvenlik eksiklikleri (bkz.: FDA Yakında Tıbbi Cihazları Siber Üzerinden Reddetmeye Başlayacak).
1 Ekim’den itibaren FDA, kurumun gerektirdiği siber güvenlik bilgilerini içermeyen pazarlama öncesi başvuruları reddetmeyi derhal reddedebilecek.
Bununla birlikte, nihai kılavuz, kılavuzların ilk yayınlandığı tarihte başvuruları FDA’da bekleyen tıbbi cihaz üreticilerinin yanı sıra, belgenin ilk yayımlanmasından hemen sonra gönderilen tıbbi cihaz üreticileri için hala bir miktar hareket alanı sunmaktadır. Kılavuz, FDA’nın, FDA inceleme sürecinin bir parçası olarak bu tür pazar öncesi sunumların üreticileriyle işbirliği içinde çalışmayı planladığını söylüyor.
Genişletilmiş Yetki
FDA’nın tıbbi cihazların siber güvenliğine ilişkin artırılmış yetkisi, Kongre tarafından 29 Aralık 2022’de Başkan Joe Biden tarafından imzalanan çok amaçlı finansman tasarısıyla tanındı.
Tasarı, üreticilerin artık “siber cihazlarda” karşılaması gereken bir dizi siber güvenlik gerekliliğini içeren 524B – Cihazların Siber Güvenliğinin Sağlanması başlıklı bölümü ekleyerek uzun süredir devam eden Federal Gıda, İlaç ve Kozmetik Yasası’nı değiştirdi. İnternete bağlanabilen ürünleri içerirler.
Bazı uzmanlar, kılavuzun kendisi “bağlayıcı değildir” olarak damgalanmış olmasına rağmen, cihaz üreticilerine FDA’nın yeni siber güvenlik gerekliliklerini kapsamlı bir şekilde okumalarını ve ajansın bu zorunluluklara yönelik yaklaşımlara yönelik önerilerini dikkatle değerlendirmelerini şiddetle tavsiye ediyor.
“FDA’ya başvuru yapmayı planlayan şirketlerin, tehdit modeli, risk değerlendirmesi, güvenli ürün geliştirme çerçevesi, pazar sonrası izleme, değerlendirme ve yanıt planı, yamalar ve güncellemeler, ürün testleri ve Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nde tıbbi cihaz güvenliğinden sorumlu başkan yardımcısı Phil Englert, “SBOM, diğerlerinin yanı sıra” dedi.
“Akışkan siber gereksinimlerin maliyet bileşenlerini diğer tasarım talepleri ve maliyet, piyasa fiyatı, form faktörü, klinik etkinlik, ergonomi, güvenlik, güvenilirlik, doğruluk, dayanıklılık, servis kolaylığı ve diğer kısıtlamalarla tanımlamak ve dengelemek kolay bir iş değildir – ve Gereksinimlerden ziyade yönergeler, çoğu kişinin karşı koymayı zor bulduğu bir cazibedir.”
Daha Yüksek Beklentiler
Englert, FDA’nın “kabul etmeyi reddetme” politikası kök saldıkça, cihaz üreticilerinin de ajansla “erken ve sık sık” iletişim kurması gerektiğini önerdi.
“Ürünlerinizi teslim etmeden önce FDA ile tartışmak, FDA’yı yöntemleriniz, gerekçeleriniz ve ürünleriniz konusunda eğitme fırsatı sağlamanın yanı sıra FDA’nın hangi alanlara odaklandığı konusunda değerli bilgiler edinmenize yardımcı olacaktır” dedi.
Cihaz üreticileri belirsizlik sorunları da dahil olmak üzere FDA ile iletişim kurarsa, başvurular artık soğuk bir şekilde gelmeyecek, aynı zamanda aşinalık havasına sahip olacak” dedi. “Ayrıca, başvurular yalnızca kapsamlı, iyi organize edilmiş ve indekslenmiş olmamalıdır. – Her bölüm kendi içinde bir bütün olmalıdır” dedi.
“Bilgileri uygun olan her yerde tekrarlayın. Risk değerlendirmeniz bilinen bir güvenlik açığını hafifletmeye gerek olmadığını gösteriyorsa, hem risk değerlendirmesinde hem de SBOM/güvenlik açığından yararlanılabilirlik değişiminde gerekçe ve karar verme sürecini tekrarlayın, ilgili bilgileri ne zaman ve nerede olursa olsun koyun kullanışlı.”
FDA, Nisan 2022’de pazarlama öncesi tıbbi cihaz siber güvenlik kılavuzunun taslak versiyonunu yayınladı.
Bu hafta tamamlanan belge aynı zamanda Ekim 2014’te yayınlanan daha önceki FDA kılavuzunun (Tıbbi Cihazlarda Siber Güvenliğin Yönetimi için Pazar Öncesi Gönderimlerin İçeriği) yerini de alıyor (bkz: FDA Tıbbi Cihaz Güvenlik Kılavuzunu Yayınladı).
Northeastern Üniversitesi Arşimed Sağlık ve Tıbbi Cihaz Siber Güvenliği Merkezi direktörü ve eski FDA danışmanı Kevin Fu, “FDA’nın on yıl önce ilk siber güvenlik mühendisliği kılavuz belgesini yayınlamasından bu yana dünya çok değişti” dedi.
“Bu yeni kılavuz, artan siber güvenlik riskleri ve sağlık hizmetleri sunumuna yönelik tehditler nedeniyle tıbbi cihaz siber güvenlik mühendisliğinin beklentilerini önemli ölçüde modernleştiriyor” dedi.
Fu, “FDA rehberliğinden ve Sağlık Sektörü Koordinasyon Konseyinin Ortak Güvenlik Planından yararlanan siber güvenlik mühendisliği programlarına yatırım yapan üreticiler, bu geniş çapta beklenen değişime daha iyi hazırlanacaklar” dedi.
Öte yandan, “yönetim kurulunun güçlü siber güvenlik beklentileri olmayan üreticilerin pazarda zorluk yaşaması muhtemeldir çünkü siber güvenlik güçlü liderlikle başlar.”