X-ray bilder som viser en intern pacemaker i 1962Photo: AP
Food and Drug Administration ikke har sterke nok rutiner på plass for å svare på cybersecurity problemer med medisinsk utstyr som allerede er i bruk, i henhold til en rapport utgitt denne uken av Office of Inspector General (OIG), byråets vaktbikkje.
Medisinsk utstyr omfatter alt fra pacemakere til insulin pumper, og de som er koblet til internett, kan være sårbare for hacking—presentere en offentlig helse-risiko. I henhold til OIG, FDA, som fører tilsyn med og skjermer medisinsk utstyr, er ikke forberedt på å svare på cybersecurity for nødhjelp. Analysen viste også at to av FDA er 19 avdelingskontor ikke har skriftlige prosedyrer for tilbakekalling av sårbare medisinsk utstyr.
Den OIG anbefales at FDA “kontinuerlig vurdere cybersecurity risiko for medisinsk utstyr og oppdatering, som hensiktsmessig, sine planer og strategier” og “sikre etablering og vedlikehold av rutiner for håndtering minnes av medisinsk utstyr som er sårbare for cybersecurity trusler.” Det anbefales også at FDA partner med andre føderale organer rundt spørsmål om cybersecurity, og etablere protokoller for å dele cybersecurity informasjon med interessenter.
“Jeg ikke nødvendigvis føler sjokkert, eller føler at det var noen vesentlige mangler som ville føre til meg for å få meg til å miste noen av tro på hva FDA gjør for tiden,” Jeff Tully, en cybersecurity forsker og lege ved University of California, Davis Medical Center, fortalte Gizmodo. “Jeg tror det er noen gode anbefalinger, og tilsyn og ansvarlighet er god. Men vi ser ikke mangler på områder hvor pasienter står i fare.”
FDA avtalt med OIGs generelle anbefalinger, men bestrider konklusjonene at det eksisterende politikk var ikke nok til å håndtere problemer som kan oppstå, sier at rapporten ga “en ufullstendig og unøyaktig bilde av FDA’ s tilsyn av medisinsk enhet cybersecurity i postmarket fase.”
Den OIG gjennomførte sin undersøkelse i 2016 og 2017, og FDA rettet opp noen av de observerte mangler før offentliggjøringen av rapporten.
FDA tilsyn av medisinsk utstyr som kommer i to stadier: premarket, når det vurderer sikkerhet og effekt av enheter før de er godkjent, og postmarket, når det overvåker overvåking utført av selskaper fra produkter mens de er i bruk. Selskapene har til å rapportere eventuelle feil eller skader til byrået, og noen er bedt om å gjennomføre mer omfattende, flere studier.
Tully sa at FDA har gjort en god jobb som arbeider sammen med ulike interessenter rundt spørsmål om cybersecurity, bygge relasjoner med leverandører, klinikere, og uavhengig cybersecurity eksperter. “Forholdet mellom FDA og uavhengige eksperter kommer til sin rett, og det er sunt,” sa han. Han viste til tilbakekalling av Medtronic hjerte-enheter, som kom etter at uavhengige forskere identifiserte sikkerhetsproblemer som ville tillate dem å hack og endre pacemakere.
Cybersecurity i medisinsk utstyr er et relativt nytt område for fokus, Tully sa. “Det er 10 til 15 år bak kolleger i finans,” sa han. “Det er bare noe vi har tenkt på i de siste 10 årene eller så, og bare nylig noe vi innså at vi trenger å tenke på som alle andre element i enheten. Plassen er fortsatt veldig nytt.”
Den OIG også analysert FDA er premarket cybersecurity politikk i September, og anbefalte at byrået ta en mer helhetlig tilnærming til evaluering av potensielle cybersecurity trusler i vurderingsprosessen, der FDA enige om å gjøre. FDA har også publisert nye premarket cybersecurity anbefalinger for industrien, som inkluderer å sikre at enhetene kan bli skannet regelmessig for virus og kan advare brukeren om et sikkerhetsbrudd er oppdaget, i oktober. Tully sa han regner byrået vil publisere nye postmarket retningslinjer i nær fremtid.
Deler Denne Historien