ABD Gıda ve İlaç Dairesi’nden Dr. Suzanne Schwartz, Başkan Joe Biden tarafından geçen hafta yasalaşan 1,7 trilyon dolarlık çok amaçlı harcama tasarısının, tıbbi cihazlar için yeni siber güvenlik gereksinimleri içerdiğini ve bunun sağlık hizmetleri ekosisteminde güvenliği güçlendirmek için ezber bozan bir şey olduğunu söylüyor.
Schwartz, “Ekosisteme siber güvenliğin hasta güvenliği ve sağlık hizmetleri ile halk sağlığı açısından kritik altyapının güvenliği için ne kadar kritik olduğunu bildirdikten sonra, şimdi bunun önemini yasalaştırarak doğruladık ve kabul ettik” diyor. FDA’nın Cihazlar ve Radyolojik Sağlık Merkezi’ndeki Stratejik Ortaklıklar ve Teknoloji İnovasyonu Ofisi’nden Dr.
Yeni mevzuatta (2023 Konsolide Edinme Yasası) yer alan hükümlerin çoğu, FDA’nın halihazırda tıbbi cihaz üreticilerini ürünlerinin siber güvenliğini sağlamaya teşvik ettiği eylemleri büyük ölçüde yansıtıyor.
Benzer teklifler, tıbbi cihaz siber güvenliğini iyileştirmeyi amaçlayan – geçen yılki PATCH Yasası gibi – tek başına yasa tasarıları olarak ilgi görmeyen bir avuç önceki yasa tasarısında da yer aldı (bkz:: Tıbbi Cihaz Güvenliği Temini Artık Harcama Faturasının Bir Parçası).
Ancak şimdi, yeni yasaya göre, üreticiler, FDA’ya ürün sunumlarında, cihazın güncellenebilme ve yama yapılabilme kabiliyetine ve güvenlik kontrolleri ve testlerine ilişkin yeterli kanıt sunmanın yanı sıra ticari amaçlı bir yazılım malzeme listesi sağlamalıdır. açık kaynaklı ve kullanıma hazır yazılım bileşenleri.
Schwartz, Information Security Media Group ile yaptığı bir röportajda “Bu önceden gerekli” diyor.
Yaşam Döngüsü Güvenliği
Yasa yeni ürünlerle ilgili olsa da, “ilk aşamalarda alınan bu önlemler, şu anda kullandığımız cihazların aksine, bu cihazlar piyasada kaldığı ve klinik kullanımda olduğu için, yaşam döngüsü boyunca çok daha güvenli cihazlara sahip olmamızı sağlayacaktır. face – güvenli bir şekilde güncellenmesi veya yamalanması açıkçası çok zordu” diyor.
“Tıbbi cihazların siber güvenliğinin isteğe bağlı ve isteğe bağlı olmadığını defalarca söylememize rağmen, şimdiye kadar üreticilerin tıbbi cihazların siber güvenliğini ele almasını gerektiren yasanın, fiili mevzuatın gücüne hiç sahip olmadık” diyor.
“Tıbbi cihazların makul güvenlik güvenceleri ile tıbbi cihaz siber güvenliği arasındaki bu bağlantıyı kurmak bizim için çok önemli” diyor.
Schwartz’a göre geçmişte FDA, siber güvenlik için ekosistemin durumunu ilerletmeye yardımcı olmak için kalite sistemi düzenlemesi aracılığıyla “zımni otoritesini” kullandı.
“Artık bunu yapmak için açık yetkilerimiz ve gözetimimiz var. Bu çok büyük bir değişim ve geleceğin bizi neler beklediği konusunda oldukça heyecanlıyız.”
Mevzuat ayrıca, genişletilmiş tıbbi cihaz siber güvenlik düzenleme çabalarını desteklemeye yardımcı olmak için FDA’ya 5 milyon dolarlık bir fon sağlıyor.
Information Security Media Group ile yapılan bu sesli röportajda (fotoğrafın altındaki ses bağlantısına bakın), Schwartz ayrıca şunları tartışıyor:
- Yeni yürürlüğe giren yasanın potansiyel etkisi ve FDA’nın yeni tıbbi cihaz siber güvenlik gerekliliklerini uygulamasıyla ilgili olarak tıbbi cihaz üreticileri ve sağlık hizmeti sunan kuruluşlar için önemli çıkarımlar;
- Geçtiğimiz Nisan ayında piyasaya sürülen tıbbi cihazların siber güvenliği için FDA’nın güncellenmiş taslak kılavuzunun geleceği;
- Yeni yasanın, Başkan Biden’ın federal hükümette siber güvenliği güçlendirmeye yönelik 2021 tarihli yürütme emriyle ve mevzuatta yer alan diğer önemli güvenlik hükümlerinin sonuçlarıyla nasıl örtüştüğü.
Schwartz, FDA’nın sağlık ve halk sağlığı sektöründe farkındalığı artırmayı, eğitmeyi ve sosyal yardım yürütmeyi, ortaklık kurmayı ve koalisyon kurmayı ve ayrıca diğer devlet kurumları ve özel sektör arasında işbirliklerini geliştirmeyi içeren tıbbi cihaz siber güvenlik programını desteklemektedir. Ayrıca, FDA’nın tıbbi cihaz siber güvenlik politikasını formüle etmekle görevli CDRH’nin siber güvenlik çalışma grubuna başkanlık ediyor ve sağlık ve halk sağlığı açısından kritik altyapı sektörü için Hükümet Koordinasyon Konseyi’nin eş başkanı olarak görev yaptı.