USA: FDA pubblica documento di discussione per migliorare la sicurezza informatica nella manutenzione dei Dispositivi Medici

Il Center for Devices and Radiological Health (CDRH) di Food and Drug Administration (FDA) ha pubblicato il documento “Strengthening Cybersecurity Practices Associated with Servicing of Medical Devices: Challenges and Opportunities” relativo a problemi e soluzioni di sicurezza informatica (cybersecurity) associata alla manutenzione dei dispositivi medici.

USA FDA pubblica documento di discussione per migliorare sicurezza informatica nella manutenzione dei Dispositivi Medici
FDA pubblica documento di discussione per migliorare la sicurezza informatica nella manutenzione dei Dispositivi Medici

Il documento ha lo scopo di raccogliere i feedback di gruppi e individui esterni alla FDA in merito al tema. Le parti interessate hanno tempo fino al 17 agosto 2021 per comunicare il proprio contributo, attività che porterà a un documento condiviso, frutto dell’impegno e della responsabilità di tutti gli stackholder.

Questo documento di discussione fa seguito al report sulla manutenzione dei Dispositivi Medici pubblicato nel 2018 da FDA, nato con l’obiettivo di rafforzare la sicurezza informatica nella manutenzione dei Dispositivi Medici.

Quattro problemi, quattro soluzioni per migliorare la sicurezza informatica nella manutenzione dei dispositivi medici

Nel documento FDA identifica i seguenti quattro punti sui quali è importante intervenire per migliorare la sicurezza informatica nella manutenzione dei dispositivi medici.

1. Accesso privilegiato

L’accesso a un dispositivo per scopi di manutenzione è limitato a specifici utenti privilegiati (in genere designati dal Fabbricante dell’apparecchiatura originale del dispositivo – Original Equipment Manufacturer OEM). Estendere infatti l’accesso ad altri utenti o entità per eseguire funzioni di assistenza, manutenzione o riparazione introduce rischi di sicurezza informatica. Per questo motivo, FDA raccomanda alle aziende di definire un accesso privilegiato ai sistemi operativi e alle applicazioni del dispositivo, così come l’uso dell’autenticazione dell’utente e i relativi controlli per limitare questi rischi.

2. Identificare le vulnerabilità e gli incidenti di cybersecurity

FDA rileva che i fornitori di servizi sono in grado di aiutare a identificare le vulnerabilità di cybersecurity e gli incidenti nelle loro fasi iniziali, in alcuni casi prima che gli OEM vengano a conoscenza di questi problemi. La condivisione di queste informazioni e dei dati relativi alla post-commercializzazione con le parti interessate appropriate, (compresi OEM e agenzie di regolamentazione) potrebbe portare a individuare più velocemente le minacce e gli incidenti di cybersecurity.

3. Prevenzione e mitigazione delle vulnerabilità di cybersecurity

In genere, la prevenzione e la mitigazione si ottengono tramite aggiornamenti del software. FDA raccomanda che gli OEM dei dispositivi coinvolgano maggiormente i fornitori di servizi nel mantenimento della sicurezza dei dispositivi, attraverso l’implementazione efficiente di aggiornamenti e correzioni del software per affrontare i rischi e gli incidenti di cybersecurity.

4. Sfide e opportunità del ciclo di vita del prodotto

Questi aspetti riguardano dispositivi legacy utilizzati in ambienti sanitari oltre il loro ciclo di vita previsto. I dispositivi legacy in questione sono quelli che non possono essere protetti contro le attuali minacce alla cybersecurity. Per ulteriori informazioni, consultare “Principles and Practices for Medical Device Cybersecurity” (IMDRF). FDA e altri stakeholder internazionali di cybersecurity hanno chiesto una maggiore comunicazione da parte degli OEM quando non sono più in grado di supportare gli aggiornamenti software e le modifiche necessarie per affrontare i rischi di cybersecurity dei dispositivi. Sebbene i problemi di fine vita dei dispositivi possano rivelarsi molto difficili da comunicare in ambienti sanitari complessi, FDA consiglia l’utilizzo di accordi di responsabilità tra gli OEM e le strutture sanitarie per quanto riguarda i dispositivi che rispettano dei criteri di prestazioni accettabili attraverso la manutenzione, ma che possono causare rischi di cybersecurity sempre maggiori se vengono utilizzati per un lungo periodo di tempo.

Desideri ulteriori informazioni sulla Cybersecurity?

Gli esperti Thema sono a tua disposizione per una consulenza strategico-regolatoria.

Contattaci e scopri che cosa possiamo fare per te.

Fonti:

Discussion Paper: Strengthening Cybersecurity Practices Associated with Servicing of Medical Devices: Challenges and Opportunities, FDA, 17 giugno 2021

FDA Report on the Quality, Safety, and Effectiveness of Servicing of Medical Devices, FDA, maggio 2018