Logotipo de Zephyrnet

Inteligencia de datos generativa

Ciberseguridad

La revisión de seguridad cibernética de dispositivos médicos de la FDA tiene dientes reales, dicen los expertos

Reeditado por Platón
Reeditado por Platón

Fecha:

Vistas: 129

La Administración de Alimentos y Medicamentos (FDA, por sus siglas en inglés) puso en vigencia esta semana una nueva guía sobre la seguridad cibernética de los dispositivos médicos, un área de riesgo preocupante para las organizaciones de atención médica y los pacientes por igual. La política es uno de una larga lista de intentos de la FDA para poner algunas medidas de seguridad en torno a la susceptibilidad de cosas como las bombas de insulina y los monitores cardíacos a la piratería, y los expertos dicen que esta vez, la medida de la FDA podría marcar la diferencia.

Con vigencia inmediata, se recomienda a los fabricantes de dispositivos médicos que presenten "un plan para monitorear, identificar y abordar, según corresponda, en un tiempo razonable, las vulnerabilidades y los exploits de seguridad cibernética posteriores al mercado".

También se les pide a los fabricantes que “diseñen, desarrollen y mantengan procesos y procedimientos para brindar una garantía razonable de que el dispositivo y los sistemas relacionados son ciberseguros”. Esto incluye hacer que los parches estén disponibles "en un ciclo regular razonablemente justificado" y para las vulnerabilidades críticas recién descubiertas, "tan pronto como sea posible fuera del ciclo".

Y, por último, la FDA está preguntando que los nuevos dispositivos vienen preparados con un lista de materiales de software (SBOM).

Para algunos, la orientación de la FDA puede evocar recuerdos de acciones previas esa no logró mejorar la ciberseguridad en esta área crítica de una manera real. Pero los expertos dicen que este largo camino finalmente ha llegado a un punto de inflexión real y genuino. A partir de ahora, los nuevos dispositivos médicos que no cumplan con estos estándares serán bloqueados del mercado.

“En realidad, ha sido un proceso que ha tenido lugar durante aproximadamente los últimos 10 años”, dice el CMO de Cybellum, David Leichner. “Y fructificó hace dos días”.

Dispositivos médicos en cibercrisis

Seguridad de dispositivos médicos ha sido un área alarmantemente rezagada para la seguridad cibernética durante mucho tiempo, y hay una larga lista de razones por las cuales. Las instalaciones de atención médica a menudo usan TI heredada y tienen redes planas que no están segmentadas, por ejemplo, incluso cuando los dispositivos médicos para pacientes están cada vez más conectados. Y seguridad por diseño no es común

“Un fabricante de dispositivos médicos puede tener mucha experiencia en el diseño de dispositivos altamente confiables e innovadores, pero es posible que no sean necesariamente expertos en seguridad”, explica Axel Wirth, estratega jefe de seguridad de MedCrypt.

De hecho, los equipos médicos más avanzados a veces presentan nuevos problemas de seguridad que los antiguos nunca tuvieron. La conectividad a Internet trae una gran cantidad de beneficios a los proveedores, pero también oportunidades para los piratas informáticos. En la Informe sobre el estado de la seguridad de los dispositivos IoT en el cuidado de la salud 2022, la firma de IoT de atención médica Cynerio descubrió que más de la mitad de todos los dispositivos médicos conectados son vulnerables, incluidos, por ejemplo, casi tres de cada cuatro bombas intravenosas.

Por lo tanto, los ciberdelincuentes pueden ingresar fácilmente y correr desenfrenadamente a través de la red de un hospital, llegando a cualquier punto final que elijan, incluidos estos dispositivos que salvan vidas. Esto podría tener consecuencias físicas potenciales para los pacientes si un dispositivo es vulnerable a que un usuario no autorizado se haga cargo. El riesgo no es teórico: A Informe de septiembre de 2022 del Ponemon Institute de Proofpoint vinculó un aumento del 20% en las tasas de mortalidad a los ataques cibernéticos dirigidos a organizaciones de atención médica.

Todo esto se ve agravado por el hecho de que cuando se descubren errores, los fabricantes de dispositivos tienen un historial terrible de emisión de parches de manera oportuna (como es el caso de la mayoría de los equipos de IoT), y los entornos de atención médica tienen un historial aún más terrible de implementación. a ellos.

“Una de las razones [de la inseguridad] es que estos dispositivos duran más”, señala Wirth. Debido a que están diseñados para durar un tiempo, lo que por lo demás es algo positivo, "pueden estar desactualizados o ejecutar un software obsoleto, y cualquier tecnología operativa (TO) que no está necesariamente actualizado es más difícil de mantener. Es más difícil implementar parches; es más difícil encontrar tiempo durante las operaciones del hospital para actualizar el dispositivo”.

Teniendo en cuenta la ubicuidad de fallas de seguridad en la industria, junto con las enormes consecuencias que están en juego en caso de una filtración, muchos han instado al gobierno a hacer más que ofrecer "sugerencias" para abordar los problemas.

Los nuevos dientes de la FDA

El 29 de diciembre, el presidente Biden convirtió en ley la Ley de asignaciones consolidadas, también conocido como el proyecto de ley Omnibus, que incluía la Sección 3305 — "Garantía de la seguridad cibernética de los dispositivos médicos" — una enmienda a la Ley Federal de Alimentos, Medicamentos y Cosméticos. Entró en vigencia el jueves, 90 días después del fallecimiento del Ómnibus.

¿Qué pasa ahora? Lleva tiempo que los fabricantes cambien sus procesos y que los nuevos productos integren nuevas normas y reglamentos (por no hablar de cómo el cuidado de la salud, en general, se mueve más lentamente que otras industrias, por necesidad). La FDA ha dispuesto una ventana de seis meses, hasta el 1 de octubre, para que los fabricantes se acostumbren a las nuevas reglas de tránsito.

Desde ahora hasta entonces, la FDA "trabajará en colaboración" con los fabricantes para garantizar el cumplimiento, aclaró la agencia en un comunicado. aviso adjunto. Una vez que llegue el 1 de octubre, "la FDA espera que los patrocinadores de tales dispositivos cibernéticos hayan tenido suficiente tiempo para prepararse". En ese momento, comenzarán a emitir decisiones de "rechazo a aceptar" (RTA) para evitar que cualquier dispositivo que no cumpla con los estándares establecidos llegue al mercado.

“Los fabricantes preguntan: '¿Cuándo nos afecta esto?'”, explica Naomi Schwartz, directora sénior de seguridad y calidad de ciberseguridad de MedCrypt. “Y la FDA aclara: 'No vamos a empezar a negarnos a aceptar hasta octubre, para que tenga tiempo de actualizar toda su documentación y aliviar un poco la presión y el miedo. Pero no es broma, será mejor que preparen sus cosas en los próximos seis meses, porque está llegando'”.

Lo que queda por ver es cómo la FDA hará cumplir sus reglas después de que un dispositivo se lance al público. Evitar que una máquina llegue a los hospitales es una cosa, pero garantizar que los proveedores cumplan con muchos de los otros requisitos descritos en estas pautas, como monitoreo regular, parches consistentes y divulgación responsable de vulnerabilidades, requiere una supervisión constante.

“Esto definitivamente aumentará los gastos generales de la FDA”, calcula Leichner de Cybellum. "Será interesante ver cómo hacen esto".

La línea de tiempo para el cambio real y visible

Incluso una vez que los fabricantes comiencen a producir equipos que cumplan con la política, una revisión de la ciberseguridad de los dispositivos de atención médica llevará un tiempo.

“Los dispositivos médicos pueden ser muy costosos”, señala Wirth, “y reemplazar los dispositivos médicos en los hospitales requiere presupuesto, requiere capacitación. A veces requiere incluso cambios en la construcción y la infraestructura. Así que tomará varios años”. La Sección 3305 no asigna una fecha límite para que los proveedores de atención médica reemplacen su equipo heredado existente.

Aún así, dice, "Creo que ya estamos viendo llegar al mercado mejores dispositivos seguros", especialmente porque EE. UU. no es el único lugar para comenzar a exigir el fortalecimiento de la seguridad de los dispositivos.

Aunque la política de la FDA puede tardar un tiempo en dar frutos reales (y es demasiado pronto para saberlo con certeza), podemos mirar hacia atrás en 2023 como un punto de inflexión para la industria.

"Esto va a ayudar al personal de la FDA, va a ayudar a la industria, va a motivar a la gente a dejar de patear el bote y empezar a trabajar ahora", concluye Schwartz de MedCrypt. "Es genial."

punto_img

Información más reciente

punto_img

Derechos de autor @ 2024 Plato Technologies Inc.