Новые директивы FDA в сфере кибербезопасности медицинских устройств
Управление по санитарному надзору за качеством пищевых продуктов и медикаментов США (Food and Drug Administration, FDA), регулирующий государственный орган, к сфере компетенции которого относятся и медицинские устройства, выпустило новые директивы Postmarket Management of Cybersecurity in Medical Devices, которые ставят своей целью уменьшить вероятность нарушения безопасности медицинских устройств и утечек из больничных компьютерных сетей.
Эти документы, которые пока имеют статус проекта, отмечают серьезность угроз и подчеркивают позицию FDA, которая заключается в том, что ответственность за обеспечение кибербезопасности медицинских устройств в одинаковой степени лежит на производителях и организациях, которые используют это оборудование.
Для того, чтобы помочь компаниям обеспечить свою долю ответственности, FDA рекомендует использовать "Правила для улучшения безопасности критической инфраструктуры" (Framework for Improving Critical Infrastructure Cybersecurity), разработанные Национальным институтом стандартов и технологий США.
Кроме того, FDA рекомендует производителям разрабатывать комплексные программы риск-менеджмента в сфере кибербезопасности, вместо того, чтобы реактивно реагировать и устранять недостатки устройства только после того, как они нанесли ущерб компьютерным сетям системы здравоохранения. Такой более проактивный подход включает в себя несколько ключевых компонентов:
- Отслеживать информационные источники в сфере кибербезопасности с целью идентификации и обнаружения нарушений безопасности и рисков
- Понимать, оценивать и обнаруживать присутствие и влияние разного рода угроз
- Определить и связать между собой процессы для выделения и обработки уязвимостей
- Четко понимать влияние этих процессов на клиническую производительность, чтобы разрабатывать меры по снижению уязвимости с целью защиты, реагирования и восстановления после возникновения угрозы
- Принять согласованные политики и практики обнаружения уязвимостей
- Внедрить системы уменьшения последствий при возникновении риска кибербезопасности на ранней стадии, до полной реализации угрозы.
Источник: iMedicalApps