Le immagini a raggi X che mostra un interno pacemaker, in 1962Photo: AP
La Food and Drug Administration non sono abbastanza forte di procedure per rispondere ai problemi di sicurezza informatica con dispositivi medici che sono già in uso, secondo un rapporto pubblicato questa settimana dall’Ufficio dell’Ispettore Generale (OIG), l’agenzia del watchdog.
Dispositivi medici includono di tutto, dai pacemaker per pompe per insulina, e quelli che sono connessi a internet, potrebbe essere vulnerabili all’hacking—presentare un rischio per la salute pubblica. Secondo il OIG, la FDA, che sorveglia e controlla i dispositivi medici, non è preparato a rispondere per la sicurezza informatica per le emergenze. L’analisi egualmente ha trovato che due di FDA 19 uffici distrettuali di non disporre di procedure scritte per il richiamo di un vulnerabili dispositivi medici.
Il OIG raccomandato che la FDA “continuamente valutare la sicurezza informatica dei rischi per i dispositivi medici e di aggiornamento, come appropriato, i suoi progetti e strategie” e “assicurare l’istituzione e il mantenimento di procedure per la gestione di ricorda di dispositivi medici vulnerabili alle minacce di sicurezza informatica.” Ha anche raccomandato che la FDA partner con altre agenzie federali, intorno a questioni di sicurezza informatica, e stabilire un protocollo per condividere cybersecurity informazioni con le parti interessate.
“Io non necessariamente sentirsi sconvolto, o sentire che ci sono state significative carenze che mi avrebbe costretto a farmi perdere la fede in ciò che la FDA sta facendo,” Jeff Tully, un ricercatore di sicurezza informatica e medico presso l’Università di California, Davis Medical Center, ha detto a Gizmodo. “Penso che ci sono alcuni buoni consigli, e la supervisione e la responsabilità sono buone. Ma non riusciamo a vedere le inadeguatezze nelle aree in cui i pazienti sono a rischio”.
La FDA ha concordato con il OIGs raccomandazioni generali, ma contestato le conclusioni che le sue politiche esistenti sono insufficienti per gestire i problemi che possono sorgere, dicendo che la relazione ha dato “una incompleta e imprecisa immagine della FDA in materia di vigilanza dei dispositivi medici di sicurezza informatica in postmarket fase.”
Il OIG ha condotto la sua indagine nel 2016 e 2017, e la FDA corretto degli osservati carenze, prima della pubblicazione del report.
FDA vigilanza dei dispositivi medici in due fasi: premarket, quando si valuta la sicurezza e l’efficacia dei dispositivi prima di essere approvati, e postmarket, quando i monitor di sorveglianza effettuata da aziende di prodotti, mentre sono in uso. Le aziende devono segnalare eventuali malfunzionamenti o lesioni dell’agenzia, e alcune sono invitati a effettuare più rigorosa, ulteriori studi.
Tully ha detto che la FDA ha fatto un buon lavoro di lavoro in collaborazione con i vari soggetti interessati sui temi della sicurezza informatica, la costruzione di rapporti con i fornitori, i medici, e indipendenti, esperti di sicurezza informatica. “Il rapporto tra la FDA e di esperti indipendenti è entrata in proprio, ed è sano,” ha detto. Egli ha sottolineato che il richiamo di Medtronic dispositivi cardiaci, che è venuto dopo di ricercatori indipendenti identificati vulnerabilità che permetterebbe loro di incidere e modificare il pacemaker.
Cybersecurity in dispositivi medici è una relativamente nuova area di messa a fuoco, Tully, ha detto. “È da 10 a 15 anni dietro le controparti in finanza,” ha detto. “E ‘ solo qualcosa che abbiamo pensato negli ultimi 10 anni o giù di lì, e solo di recente ci siamo resi conto che abbiamo bisogno di pensare a come ogni altro elemento del dispositivo. Lo spazio è ancora molto nuovo.”
Il OIG anche analizzato la FDA premarket cybersecurity politiche nel mese di settembre, e ha raccomandato che l’agenzia di adottare un approccio più completo per la valutazione di potenziali minacce di sicurezza informatica durante il processo di revisione, che la FDA ha accettato di fare. La FDA ha anche pubblicato un nuovo premarket cybersecurity raccomandazioni per l’industria, che includono garantire che i dispositivi possono essere verificati regolarmente per virus e in grado di avvisare l’utente in caso di una violazione della sicurezza è rilevato, nel mese di ottobre. Cicerone disse che anticipa l’agenzia pubblicherà il nuovo postmarket linee guida in un prossimo futuro.
Condividi Questa Storia