X-ray beelden die een interne pacemaker in 1962Photo: AP
De Food and Drug Administration niet sterk genoeg zijn er procedures om te reageren op cybersecurity problemen met medische hulpmiddelen die reeds in gebruik zijn, volgens een rapport vrijgegeven deze week door het Kantoor van de Inspecteur-Generaal (OIG), het agentschap van de watchdog.
Medische hulpmiddelen alles in en pacemakers om insuline pompen, en die zijn aangesloten op het internet kwetsbaar kunnen zijn voor het hacken van presenteren van een risico voor de volksgezondheid. Volgens de OIG, de FDA, die toezicht houdt op en bewaakt de medische apparaten, is niet bereid om te reageren op cybersecurity noodgevallen. De analyse is ook gebleken dat twee van de FDA) en de 19 district kantoren niet hebben geschreven operationele procedures voor het terugroepen van kwetsbare medische apparaten.
De OIG aanbevolen dat de FDA “voortdurend het beoordelen van de risico’ s voor cybersecurity medische apparaten en update, zo nodig, haar plannen en strategieën” en “zorg voor de opstelling en het onderhoud van de procedures voor de afhandeling van terugroepacties van medische apparaten kwetsbaar zijn voor cybersecurity bedreigingen.” Het is ook aanbevolen dat de FDA partner met andere federale agentschappen rond problemen van cybersecurity, en vast te stellen protocollen voor het delen van cybersecurity informatie met belanghebbenden.
“Ik hoef niet per se geschokt voelen, of het gevoel dat er een significante tekortkomingen die zou leiden tot mij om mij te verliezen van het geloof in wat de FDA is op dit moment doen,” Jeff Tully, een cybersecurity-onderzoeker en arts aan de Universiteit van Californië, Davis Medical Center, vertelde Gizmodo. “Ik denk dat er een aantal goede aanbevelingen, en het toezicht en verantwoording zijn goed. Maar we zien niet onvolkomenheden in de gebieden waar de patiënt in gevaar.”
De FDA overeengekomen met de OIGs algemene aanbevelingen, maar betwist de conclusies dat het bestaande beleid is onvoldoende om het te behandelen thema ‘ s die zich kunnen voordoen, te zeggen dat het rapport gaf “een onvolledig en onjuist beeld van de FDA het toezicht van de medische apparaat cybersecurity in de postmarket fase.”
De OIG voerde haar onderzoek in 2016 en 2017, en de FDA gecorrigeerd aantal van de waargenomen gebreken voorafgaand aan de publicatie van het rapport.
FDA toezicht van medische apparatuur is in twee fasen: premarket, wanneer het evalueert de doeltreffendheid en de veiligheid van de apparaten uit voordat ze zijn goedgekeurd, en postmarket, wanneer het houdt toezicht gedaan door bedrijven van de producten, terwijl ze in gebruik zijn. Bedrijven hebben voor het melden van storingen of verwondingen aan het agentschap, en sommige zijn gevraagd om het gedrag van strengere aanvullende studies.
Tully zei dat de FDA heeft gedaan een goede baan werk je samen met de verschillende actoren rond de problematiek van cybersecurity, het opbouwen van relaties met leveranciers, artsen en onafhankelijke cybersecurity-experts. “De relatie tussen de FDA en onafhankelijke deskundigen is die in zijn eigen, en het is gezond,” zei hij. Hij wees naar de recall van Medtronic icd, die kwam na een onafhankelijke onderzoekers geïdentificeerde kwetsbaarheden die hen in staat zou stellen om te hacken en wijzigen van de pacemaker.
Cybersecurity in medische hulpmiddelen is een relatief nieuw aandachtsgebied, Tully zei. “It’ s 10 tot 15 jaar achter tegenhangers in de financiële wereld,” zei hij. “Het is alleen iets wat denken we over de afgelopen 10 jaar of zo, en pas onlangs iets realiseerden we ons dat we moeten nadenken over het net als elk ander element in het apparaat. De ruimte is nog heel nieuw.”
De OIG ook geanalyseerd van de FDA premarket cybersecurity-beleid in September en aanbevolen dat het agentschap een meer integrale aanpak voor de evaluatie van de mogelijke cybersecurity bedreigingen tijdens het review proces, waarin de FDA is overeengekomen. Ook de amerikaanse FDA gepubliceerde nieuwe premarket cybersecurity aanbevelingen voor de industrie, die onder meer voor zorgen dat apparaten kunnen worden regelmatig gescand op virussen en kan de gebruiker waarschuwen als er een lek is gedetecteerd, in oktober. Tully zei hij verwacht het agentschap publiceert nieuwe postmarket richtlijnen in de nabije toekomst.
Deel Dit Verhaal