مارس 29th إن التغييرات التي أدخلتها إدارة الغذاء والدواء على قواعد قبول الأجهزة الطبية الجديدة تشكل خطوة كبيرة طال انتظارها في الاتجاه الصحيح نحو تحسين أمن الأجهزة الطبية. وأخيرًا، بعد أكثر من عقد من الضغوط من جانب قادة الأمن السيبراني ومقدمي الرعاية الصحية، يتعين على مصنعي الأجهزة الطبية الالتزام بمعايير أعلى بكثير فيما يتعلق بتصميم وتصنيع ودعم الأجهزة التي ينتجونها ويبيعونها أو يؤجرونها لمقدمي الخدمات.
يتضمن هذا تبادلًا أوسع لمعلومات الأمان بما في ذلك قائمة المواد البرمجية (SBoM) للمكونات داخل كل جهاز واختبار أي نقاط ضعف معروفة والإفصاح عنها. لم يعد بإمكان الشركات المصنعة ببساطة إنتاج الأجهزة والانتقال إلى الابتكار التالي. لديهم الآن واجب قانوني لرعاية دعم تلك الأجهزة التي ينتجونها من الآن فصاعدًا. يدخل هذا التغيير حيز التنفيذ في الأول من أكتوبرst وتضع هذه المعايير الجديدة معيارًا جديدًا للقبول من قبل إدارة الغذاء والدواء. ومن المرجح أن يتم رفض قبول الأجهزة المقدمة التي لا تثبت التزامها بالمتطلبات الجديدة بشكل كافٍ ولن يتم السماح باستخدامها.
إن حقيقة أن القواعد نُشرت في آخر يوم جمعة من شهر مارس في اليوم الأخير الذي نص عليه الكونجرس في قانون المخصصات الموحدة لعام 2023 (الذي تم توقيعه كقانون في 29 ديسمبر)، تُظهر مدى صعوبة المهمة التي يجب أن تكون هذه القواعد قد فرضتها على إدارة الغذاء والدواء والفريق الصغير جدًا المكلف بأمن الأجهزة الطبية. يبدو أن حجم هذا الفريق سيتوسع على مدار الأشهر القادمة، لكن الحكومة ليست مشهورة بالتحرك السريع، لذا فمن المحتمل أن تكون هذه القواعد قد صاغها الفريق الصغير الحالي برئاسة الدكتورة سوزان شوارتز في مكتب الشراكات الاستراتيجية والابتكار التكنولوجي في CDRH. هذه مجموعة لها تاريخ طويل في الحوار مع الشركات المصنعة وقادة الأمن السيبراني في مجال الرعاية الصحية، مع معرفة عميقة بالمخاوف الطبية والأمن السيبراني.
وقال ريتشارد ستايننجز، كبير استراتيجيي الأمن في شركة سيليرا وأستاذ مساعد في الأمن السيبراني وعلم المعلومات الصحية في جامعة دنفر، والذي كان يتابع هذه التغييرات عن كثب: "أتوقع أن يكون هناك المزيد من التغييرات على القواعد التي نشرتها إدارة الغذاء والدواء خلال العام أو العامين المقبلين مع تحسين المتطلبات وتوضيحها بشكل أكثر دقة".
"لقد دأبت صناعة التصنيع على الادعاء بعدم فهم العديد من سنوات التوجيه الطوعي الذي أصدرته إدارة الغذاء والدواء قبل طرح المنتجات في الأسواق، وبالتالي تجنبت إجراء أي تغييرات. وأظن أن البعض سوف يحاول اتباع نفس النهج الآن بعد أن أصبحت القواعد إلزامية"، كما اقترح ستينينجز. "إن هذا النهج المتردد في التغيير، إلى جانب بعض الغموض الحقيقي على الرغم من الجهود المتسرعة التي تبذلها إدارة الغذاء والدواء، سوف يتجلى في تغييرات طفيفة تصبح ضرورية للقواعد".
والواقع أن التوجيه النهائي لإدارة الغذاء والدواء إن القواعد الجديدة التي تم نشرها مؤخرًا لا تؤثر إلا على الأجهزة الجديدة التي يتم تقديمها للموافقة عليها. وتفشل القواعد الجديدة في التعامل مع الأجهزة الطبية التي تمت الموافقة عليها بالفعل والتي يستخدمها مقدمو الخدمات الطبية. ومع عمر افتراضي يتراوح بين 8 و20 عامًا، ستكون الأجهزة الطبية القديمة سمة من سمات المستشفيات ومقدمي الخدمات الآخرين لسنوات عديدة قادمة. ويبلغ عددها الملايين، ويعتبر الكثير منها خطرًا أمنيًا في شبكات الرعاية الصحية الرقمية المتصلة المعرضة للخطر بالفعل اليوم.
لقد أثبتت المستشفيات مرارا وتكرارا أن جداول الاستهلاك على المعدات الطبية وتكنولوجيا المعلومات لا يمكن أن تستبدل بثغرات أمنية هائلة ما لم يتم إثبات مخاطر خطيرة على سلامة المرضى. وهذا يعني أن مقدمي الخدمات سوف يحتاجون إلى الاستمرار في استخدام ضوابط أمان إنترنت الأشياء الطبية التعويضية والاستخدام الواسع النطاق للتجزئة الدقيقة للأجهزة الطبية المعرضة للخطر باستخدام التحكم في الوصول إلى الشبكة (NAC) والشبكات المحددة بالبرمجيات (SDN)، وهي القدرات التي يمتلكونها بالفعل على الرغم من أنهم قد لا يدركون ذلك.
"أعتقد أنه في عام 2024، سنرى قواعد إضافية من إدارة الغذاء والدواء توفر إرشادات أمنية متزايدة على الأجهزة القديمة وتقدم متطلبات جديدة للمصنعين". ادعى ستاينغز. "على أقل تقدير، سيتعين أن يتضمن هذا نشر SBoMs للأجهزة القديمة والإفصاحات عن الثغرات الأمنية. ومن الناحية المثالية، يجب أن يلزم الشركات المصنعة أيضًا باختبار وإتاحة تصحيحات الأمان للأجهزة القديمة، على الرغم من أن فرض ذلك بأثر رجعي على الأجهزة المعتمدة بالفعل قد يكون صعبًا. علاوة على ذلك، قد يحتاج التفويض القانوني وراء تغييرات القواعد إلى بعض مستوى التعديل على قانون حماية وتحويل الرعاية الصحية السيبرانية (PATCH) لعام 2022."
أهمية SBoM
وعلى الرغم من أن نشر قوائم المواد الأمنية يشكل خطوة حيوية في مجال أمن الأجهزة الطبية، إلا أنه ليس حلاً سحريًا، كما أن هذه القوائم ليست مضمونة، بل إنها توفر لفرق الأمن فهمًا أفضل للثغرات الأمنية عندما يتم اكتشاف وجود ثغرات في أحد المكونات في جهاز ما في مكان آخر. ونظرًا لإعادة استخدام مكونات الأجهزة والبرامج ومكتبات البرامج على نطاق واسع من قبل المطورين ومصنعي الأنظمة اليوم، فإن هذا سيكون مفيدًا لبعض المزودين. ومن غير المرجح أن يستفيد المزودون الأصغر حجمًا، والذين لديهم فرق أمنية أقل نضجًا، من نشر قوائم المواد الأمنية نظرًا لافتقارهم إلى العمق والاتساع اللازمين للقيام بالكثير بشأن الثغرات الأمنية المعروفة بالفعل. ومع ذلك، فإن فرق أمن المستشفيات الصغيرة وغير المجهزة بشكل جيد تتلاشى ببطء مع اندماج أنظمة الرعاية الصحية أو الاستفادة من المتخصصين الأمنيين المستعان بهم من الخارج. وزعم ستينينجز أن "معرفة وجود عدد من الثغرات الأمنية، والقدرة على القيام بشيء حيال هذه الثغرات أمران منفصلان".
نموذج التصنيع الجديد
وعلى مدار الأشهر الستة المقبلة، سوف يحتاج مصنعو الأجهزة الطبية المتصلة بالإنترنت إلى تقييم أمن الأجهزة التي يعملون على تطويرها للنظر في الحماية الأمنية الشاملة لكل جهاز، واختبار كل جهاز بحثًا عن نقاط ضعف أمنية وبناء وصيانة وثائق أمنية محسنة بما في ذلك SBOM وتطوير قدرات محسنة لدعم المتطلبات الجديدة حول الكشف عن نقاط الضعف الأمنية. "لا ينبغي أن يكون هذا "خبرًا" لأي منهم نظرًا لإقرار قانون PATCH في 15 مارسth "في عام 2022، أي منذ أكثر من عام، أو سنوات من إرشادات إدارة الغذاء والدواء التي سبقت القانون. في الواقع، رأى جميع المصنعين الكتابة على الحائط لبعض الوقت"، كما زعم ستينينجز. "يجب على المصنعين فحص قواعد إدارة الغذاء والدواء الجديدة عن كثب والسعي للحصول على توضيح فوري إذا لم يفهموا تمامًا، حتى لا يتم رفض قبول أجهزتهم بحلول أكتوبر".
إعادة تعيين الترحيب
"إن إقرار القواعد الجديدة يعد بمثابة إعادة ضبط مرحب بها لـ أمن الأجهزة الطبية"، زعم ستيننجز خلال مقابلة مع SCMedia. كان هذا أحد الأبواب الخلفية المفتوحة لتأمين الرعاية الصحية لبعض الوقت، ومع نمو الأجهزة الطبية بنسبة 18٪ سنويًا في عام 2022، فإن هذا يمثل مصدر قلق متزايد ومخاطر هائلة، والتي يتم معالجتها أخيرًا بعد الكثير من الجهد من خلال قواعد إدارة الغذاء والدواء الجديدة.
