X-ray Bilder zeigen einen internen Schrittmacher im 1962Photo: AP
Die Food and Drug Administration nicht stark genug Verfahren zu reagieren, um cybersecurity-Probleme mit medizinischen Geräten, die bereits im Einsatz sind, nach einem Bericht veröffentlicht in dieser Woche durch das Büro des Inspector General (OIG), der Agentur watchdog.
Medizinische Geräte enthalten alles, was von Herzschrittmachern, Insulinpumpen, und diejenigen, die mit dem internet verbunden sind, könnte anfällig für hacking und stellt ein Risiko für die öffentliche Gesundheit. Nach der OIG, die FDA -, die beaufsichtigt und überwacht die medizinischen Geräte, ist nicht bereit, zu reagieren, um cybersecurity-Notfall. Die Analyse fand auch, dass zwei von der FDA 19 Bezirksämter haben keine SCHRIFTLICHEN Arbeitsanweisungen für den Rückruf der gefährdeten medizinische Geräte.
Die OIG empfohlen, dass die FDA die “ständig Bewertung der cybersecurity-Risiken, medizinische Geräte und aktualisieren Sie gegebenenfalls Ihre Pläne und Strategien” und “sorgen für die Einrichtung und Aufrechterhaltung von Verfahren für die Handhabung, erinnert sich der medizinische Geräte anfällig für Cyber-Bedrohungen.” Es wird auch empfohlen, dass die FDA partner mit anderen Bundesbehörden rund um Fragen von cybersecurity und Festlegung von Protokollen zu teilen cybersecurity information mit den beteiligten.
“Ich habe nicht unbedingt das Gefühl, schockiert, oder das Gefühl, dass gab es keine signifikante Unzulänglichkeiten dazu führen würde, dass mich dazu, mich zu verlieren die glauben an das, was die FDA ist derzeit dabei,” Jeff Tully, ein cybersecurity-Forscher und Arzt an der Universität von Kalifornien, Davis Medical Center, sagte Gizmodo. “Ich denke, es gibt einige gute Empfehlungen, und die Kontrolle und Rechenschaftspflicht sind gut. Aber wir sind nicht zu sehen, Unzulänglichkeiten in Bereichen, in denen Patienten gefährdet sind.”
Die FDA stimmte mit der OIGs Allgemeine Empfehlungen, aber bestritten, dass die Schlussfolgerungen, die vorhandenen Maßnahmen unzureichend waren, zu behandeln Probleme, die entstehen können, zu sagen, dass der Bericht habe “ein unvollständiges und Falsches Bild von der FDA Aufsicht von medizinischem Gerät cybersecurity in der postmarket-phase.”
Die OIG führte Ihre Untersuchung im Jahr 2016 und 2017, und die FDA korrigiert einige der beobachteten Mängel vor der Veröffentlichung des Berichts.
FDA-Aufsicht von medizinischen Geräten kommt in zwei Stufen: vorbörslich, wenn es wertet die Sicherheit und die Wirksamkeit der Geräte, bevor Sie genehmigt, und postmarket, wenn es überwacht die Beaufsichtigung von Unternehmen von den Produkten, während Sie in Verwendung sind. Unternehmen melden Störungen oder Verletzungen der Agentur, und einige werden gebeten, die Durchführung strenger, zusätzliche Studien.
Tully sagte, dass die FDA einen guten job gemacht, die sich gemeinsam mit verschiedenen Akteuren rund um Themen der Sicherheit im Internet, den Aufbau von Beziehungen mit Lieferanten, ärzte und unabhängige cybersecurity-Experten. “Die Beziehung zwischen der FDA und unabhängige Experten kommt in seine eigene, und es ist gesund”, sagte er. Er wies auf den Rückruf von Medtronic cardiac devices, die kam, nachdem unabhängige Wissenschaftler identifizierten Schwachstellen, die Ihnen ermöglichen würden, zu hacken und ändern Sie den Herzschrittmacher.
Cybersecurity in medical devices ist eine relativ neue Bereich des Fokus, Tully sagte. “Es ist 10 bis 15 Jahre hinter Kollegen in finance”, sagte er. “Es ist nur etwas, das wir schon darüber nachgedacht, in den letzten 10 Jahren oder so, und erst seit kurzem etwas, das wir erkannt, dass wir daran denken müssen, wie jedes andere element in das Gerät. Der Raum ist noch sehr neu.”
Die OIG auch analysiert, die FDA vorbörslich cybersecurity-Politik im September, und empfohlen, dass die Agentur nehmen Sie einen umfassenderen Ansatz zur Bewertung der potenziellen Cyber-Bedrohungen während der review-Prozess, die die FDA vereinbart, um zu tun. Die FDA veröffentlicht neue vorbörslich cybersecurity-Empfehlungen für die Industrie, die beinhalten, sicherzustellen, dass Geräte können gescannt werden regelmäßig auf Viren und kann den Benutzer warnen, wenn eine Sicherheitsverletzung erkannt wird, im Oktober. Tully sagte, er rechnet mit der Agentur veröffentlicht neue postmarket-Richtlinien in der nahen Zukunft.
Teilen Sie Diese Geschichte