أعلنت إدارة الغذاء والدواء الأمريكية (FDA) أمس أنه اعتبارًا من 1 أكتوبرst, بحلول عام 2023، سترفض قبول الأجهزة الطبية والأنظمة ذات الصلة ما لم تستوف متطلبات الأمن السيبراني الجديدة، والتي دخلت حيز التنفيذ في 29 مارس.th، 2023. تم تجسيد هذه المتطلبات في الجديد التوجيه النهائي لإدارة الغذاء والدواء بشأن سياسة رفض القبول (RTA) المتعلقة بالأمن السيبراني في الأجهزة الطبية، وتحديدًا "الأجهزة السيبرانية"، كما هو محدد في قانون الأغذية والأدوية ومستحضرات التجميل المعدل حديثًا (القسم 524 ب).
وتأتي هذه الصلاحيات من قانون حماية وتحويل الرعاية الصحية السيبرانية (PATCH) لعام 2022 والأحكام التي تم تمويلها بموجب قانون المخصصات الموحدة لعام 2023 الذي تم توقيعه كقانون في 29 ديسمبر. ونظرًا لإقرار كلا القانونين العام الماضي والطلبات المتزايدة على تحسين الأمن السيبراني للأجهزة الطبية منذ عقد من الزمان على الأقل، فلا ينبغي أن يكون هذا مفاجئًا للشركات المصنعة.
في الواقع، نصت إرشادات إدارة الغذاء والدواء الأمنية قبل طرح المنتجات في السوق قبل القانون الجديد على متطلبات أمنية متزايدة، رغم أن العديد من الشركات المصنعة لم تنفذ هذه الإرشادات بعد. وبموجب الصلاحيات الجديدة، أصبح تحسين الأمن السيبراني والدعم المستمر للأجهزة الطبية إلزاميًا الآن.
يعني هذا القرار الذي اتخذته إدارة الغذاء والدواء أن الشركات التي تطور الأجهزة الطبية سوف تحتاج إلى التأكد من أن منتجاتها تلبي معايير الأمن السيبراني المحددة وأنها ليست عرضة للاختراق أو أي خروقات أمنية أخرى. بالنسبة للشركات التي تصنع الأجهزة الطبية، أصبح من المتطلبات الآن أن يتم بناء جهازك وتأمينه من حيث التصميم، وتطوير استراتيجيات لمراقبة وصيانة أمان هذا الجهاز بعد التسويق وطوال عمر الجهاز، وإنشاء وصيانة فاتورة مواد البرنامج، وإنشاء الوثائق المطلوبة التي تثبت أنك فعلت ذلك كجزء من تقديمك التنظيمي إلى إدارة الغذاء والدواء.
عصر جديد في أمن الأجهزة الطبية
لقد انتهت أيام البناء والبيع والنسيان. وفي حين كان بعض المصنعين أفضل من غيرهم فيما يتعلق بالأمن السيبراني ودعم التصحيحات المستمرة، يمكن اعتبار البعض الآخر مهملين إلى حد كبير. وقد أدى رفض تصحيح الأجهزة الطبية المعروفة بأنها شديدة الضعف إلى إصدار إدارة الغذاء والدواء الأمريكية لقرارها أول استدعاء للأجهزة الطبية على الإطلاق في عام 2017، بعد الكشف العلني عن ثغرات أمنية حرجة ناجمة عن اختراق جهاز مزيل الرجفان القلبي من إنتاج شركة سانت جود الطبية. كانت لشركة سانت جود الطبية تاريخ طويل في رفض تصحيح أجهزتها الطبية غير الآمنة، وبعد فترة وجيزة من الكشف، بيعت الشركة إلى شركة أبوت لابز، بخصم كبير حسبما ورد.
يجب أن تتضمن الطلبات المقدمة إلى إدارة الغذاء والدواء قائمة بمواد البرامج، والتي يجب أن تحتوي على جميع مكونات البرامج التجارية ومفتوحة المصدر والجاهزة مع الامتثال لمتطلبات إدارة الغذاء والدواء الأخرى "لإثبات ضمان معقول بأن الجهاز والأنظمة ذات الصلة آمنة إلكترونيًا". يتيح هذا لفرق أمن مقدمي الرعاية الصحية فهم التعرضات والاستجابة لها على الفور عندما يتم نشر CVEs لمكونات البرامج الفردية بدلاً من انتظار مصنعي الأجهزة الطبية لتقييم ونشر إفصاحاتهم الخاصة بالثغرات الأمنية.
وسيتعين على مصنعي الأجهزة تقديم خطط لمراقبة وتحديد ومعالجة أي ثغرات أمنية سيبرانية محددة بعد التسويق في "إطار زمني معقول"، بما في ذلك الكشف عن الثغرات الأمنية والخطط المنسقة.
"في حين أن اللغة هنا غامضة وغير محددة، إلا أنها تشكل تحسنًا كبيرًا مقارنة بممارسات الإفصاح التعسفي الحالية،" وأكد تيمور أوزيكجين، الرئيس التنفيذي لشركة سيليرا:
ويجب على المطورين الآن تصميم وصيانة إجراءات قادرة على إظهار، مع ضمان معقول، "أن الجهاز والأنظمة ذات الصلة آمنة إلكترونيًا" وإنشاء تحديثات وبرامج تصحيحية لما بعد التسويق للجهاز والأنظمة المتصلة التي تعالج "في دورة منتظمة مبررة بشكل معقول، نقاط الضعف المعروفة"، وفقًا للإرشادات.
إذا تم اكتشاف أي خلل في الدورة، يجب على الشركة المصنعة أيضًا الإعلان عن "الثغرات الحرجة التي يمكن أن تسبب مخاطر خارجة عن السيطرة"، في أقرب وقت ممكن.
"يبدو أن هذه المتطلبات أضعف من متطلبات توفر التصحيح لمدة 30 يومًا المقترحة في الأصل، كما هو الحال بالنسبة للبرامج الأخرى عند اكتشاف نقاط ضعف حرجة، ولكنها أفضل بكثير من الوضع الحالي." أضاف أوزيكسين.
"تمثل هذه التغييرات تحسنًا ضروريًا للغاية في أمن الأجهزة الطبية المتصلة، لكنها لا تغطي ملايين الأجهزة القديمة المستخدمة حاليًا في مستشفياتنا وعياداتنا. وما لم تقدم إدارة الغذاء والدواء قواعد للتعامل مع هذه الأجهزة القديمة، فقد يستغرق الأمر سنوات عديدة قبل أن يتأثر أمن صناعة الرعاية الصحية بشكل كبير". وقال ريتشارد ستايننجز، كبير استراتيجيي الأمن في شركة سيليرا: "إن الأجهزة الطبية لها عمر افتراضي متوقع يتراوح بين 8 إلى 20 عامًا في بعض الحالات، لذا فإن أمن هذه الأنظمة من المرجح أن يظل مشكلة حتى عام 2043، وهي فترة طويلة جدًا." أضاف.
في حين أن جميع الأجهزة الطبية المتصلة لن تتطور لديها ثغرات أمنية، فإن العديد منها سوف تتطور على مدار عمرها الافتراضي وجدول الاستهلاك. ما نحتاج إليه هو طريقة لتحديد الأجهزة الطبية وغيرها من الأجهزة المتصلة بإنترنت الأشياء للرعاية الصحية بشكل أفضل، وفهم مخاطرها، وتحديد ملفات تعريف الأجهزة بدقة بحيث يمكن استخدام أدوات الشبكات المحددة بالبرمجيات (SDN) مثل التحكم في الوصول إلى الشبكة (NAC) لتقسيم وعزل الأنظمة المعرضة للخطر. تعمل الأدوات القائمة على الذكاء الاصطناعي مثل Cylera Command Platform على أتمتة هذه العملية بالكامل، مما يؤدي إلى التنسيق السلس لسياسة الأمان عبر شبكة الرعاية الصحية.
لمزيد من المعلومات حول كيف Cylera يحل مشكلة تأمين الأجهزة الطبية القديمة عبر الإنترنت، يرجى التواصل معنا طلب نظرة عامة وعرض توضيحي.
