#FDA #an_ninh_mạng #thiết_bị_y_tế #Đạo_luật_phân_bổ_hợp_nhất
Hôm nay, Quốc hội đã trao quyền cho FDA hành động trước các mối đe dọa mạng trong các thiết bị y tế. Chris Harvey, phó chủ tịch cấp cao của Sedgwick, đã giải thích những phát hiện trong báo cáo của mình về việc thu hồi thiết bị y tế.
Khi các thiết bị y tế ngày càng được kết nối với mạng Internet và các mạng kỹ thuật số khác, chúng cũng trở nên dễ bị tấn công mạng hơn, đặt ra mối đe dọa cho sự an toàn và riêng tư của bệnh nhân. Điều này đã trở thành mối quan tâm lớn đối với ngành chăm sóc sức khỏe, khi một số sự cố nghiêm trọng đã được báo cáo trong những năm gần đây.
Các nguyên nhân dẫn đến tăng nguy cơ bị tấn công mạng đối với các thiết bị y tế bao gồm kết nối tốt hơn, thiếu tiêu chuẩn bảo mật, di sản hệ thống cũ và thiếu thẩm quyền trong ngành thiết bị y tế.
Để giúp giảm thiểu mối đe dọa ngày càng tăng này, Đạo luật phân bổ hợp nhất năm 2023 (HR 2617) đã được ký vào tháng 12 năm 2022, trao cho FDA quyền thiết lập và thực thi các tiêu chuẩn an ninh mạng cho các thiết bị y tế. Đạo luật này bao gồm một số điều khoản nhằm cải thiện an ninh mạng của các thiết bị y tế bằng cách tăng cường yêu cầu bảo mật, thiết lập trách nhiệm hậu thị trường, nâng cao tính minh bạch và trách nhiệm giải trình, thúc đẩy hợp tác và chia sẻ thông tin và thành lập Trung tâm An ninh mạng Xuất sắc trong FDA.
Việc áp dụng các quy tắc này sẽ giúp giảm thiểu mối đe dọa an ninh mạng đối với các thiết bị y tế, đảm bảo tính bảo mật và tính toàn vẹn của dữ liệu bệnh nhân, và cải thiện chất lượng dịch vụ chăm sóc sức khỏe.
Nguồn: https://techtoday.co/congress-empowers-the-fda-to-act-on-cyber-threats-in-medical-devices/
Chris Harvey, phó chủ tịch cấp cao, bảo vệ thương hiệu Sedgwick, giải thích những phát hiện trong báo cáo của mình về việc thu hồi thiết bị y tế.
Khi các thiết bị y tế ngày càng được kết nối với Internet và các mạng kỹ thuật số khác, chúng cũng trở nên dễ bị tấn công mạng hơn. Điều này đặt ra một mối đe dọa cho sự an toàn và riêng tư của bệnh nhân. Rủi ro tăng cao này đã trở thành mối quan tâm lớn đối với ngành chăm sóc sức khỏe. Một số sự cố nghiêm trọng đã được báo cáo trong những năm gần đây ảnh hưởng đến một loạt thiết bị bao gồm máy bơm IV, máy MRI và máy đo nhịp tim.
Lý do gia tăng các mối đe dọa an ninh mạng đối với các thiết bị y tế
Có một số yếu tố dẫn đến tăng nguy cơ bị tấn công mạng đối với các thiết bị y tế:
- Kết nối tốt hơn – Lý do chính cho sự gia tăng các mối đe dọa an ninh mạng đối với các thiết bị y tế là khả năng kết nối ngày càng tăng của chúng. Ngày càng có nhiều thiết bị y tế được thiết kế để kết nối với Internet và các mạng kỹ thuật số khác. Điều này cải thiện việc chăm sóc bệnh nhân bằng cách cho phép theo dõi từ xa, cập nhật phần mềm và các chức năng khác. Tuy nhiên, kết nối này cũng khiến các thiết bị dễ bị tấn công mạng hơn. Tin tặc có thể khai thác các lỗ hổng trong phần mềm hoặc kết nối mạng để có quyền truy cập vào dữ liệu nhạy cảm của bệnh nhân hoặc thậm chí kiểm soát chính thiết bị. Trong những trường hợp này, việc thu hồi có thể đặc biệt khó khăn do mối đe dọa đến tính mạng của bệnh nhân và nhu cầu sử dụng liên tục thiết bị y tế bị ảnh hưởng nếu không có giải pháp thay thế phù hợp. Các nhà sản xuất sẽ phải đối mặt với những rủi ro mới khi công nghệ tiếp tục phát triển.
- Thiếu tiêu chuẩn bảo mật – Giống như trong nhiều lĩnh vực khác, các cơ quan quản lý thiết bị y tế đang nỗ lực làm việc để theo kịp công nghệ phát triển nhanh chóng. Tuy nhiên, hiện tại không có tiêu chuẩn bảo mật thống nhất trong toàn ngành. Điều này gây khó khăn cho các nhà sản xuất trong việc thiết kế các thiết bị được bảo mật theo mặc định và cũng gây khó khăn cho các nhà cung cấp dịch vụ chăm sóc sức khỏe trong việc đánh giá tính bảo mật của các thiết bị họ đang sử dụng.
- Di sản s – Nhiều thiết bị y tế được xây dựng trên các hệ thống cũ không được thiết kế theo các tiêu chuẩn bảo mật hiện đại, chủ yếu là do thiếu kết nối trực tuyến. Các hệ thống này có thể đặc biệt dễ bị tấn công mạng và khó cập nhật hơn để đối phó với các mối đe dọa mạng hiện đại (cũng như tốn kém hơn để trang bị thêm), khiến các nhà sản xuất gặp khó khăn trong việc vá các lỗ hổng hoặc giải quyết các vấn đề bảo mật khác.
- Thiếu thẩm quyền – Cuối cùng, đã thiếu cơ quan quản lý trong ngành thiết bị y tế. Cục Quản lý Thực phẩm và Dược phẩm Hoa Kỳ (FDA) không có quyền thực thi các hướng dẫn về an ninh mạng. Mặc dù nó đã đưa ra hướng dẫn, nhưng các nhà sản xuất thiết bị phải quyết định xem họ có muốn chú ý đến những khuyến nghị đó hay không – và sẽ không có hình phạt nào nếu họ không tuân theo.
Để giúp giảm thiểu mối đe dọa ngày càng tăng này, Đạo luật phân bổ hợp nhất năm 2023 (HR 2617) được ký vào tháng 12 năm 2022 bao gồm các điều khoản nhằm cải thiện an ninh mạng của các thiết bị y tế. Dự luật phân bổ tổng hợp cũng lần đầu tiên trao cho FDA quyền thiết lập và thực thi các tiêu chuẩn an ninh mạng cho các thiết bị y tế.
Đạo luật phân bổ hợp nhất sẽ giúp ích như thế nào
Ngoài việc trao cho FDA nhiều thẩm quyền quản lý hơn, Đạo luật phân bổ hợp nhất (Đạo luật) bao gồm một số điều khoản để cải thiện an ninh mạng của các thiết bị y tế:
- Tăng cường yêu cầu bảo mật cho các thiết bị y tế – Các nhà sản xuất sẽ được yêu cầu triển khai các biện pháp kiểm soát bảo mật để ngăn chặn truy cập trái phép vào thiết bị, bảo vệ tính bảo mật và tính toàn vẹn của dữ liệu bệnh nhân và đảm bảo tính khả dụng của thiết bị trong trường hợp bị tấn công mạng. Họ cũng sẽ được yêu cầu gửi kế hoạch an ninh mạng cho FDA để xem xét trong quy trình phê duyệt trước khi đưa ra thị trường.
- Thiết lập trách nhiệm hậu thị trường – Các kế hoạch của nhà sản xuất cũng phải nêu chi tiết quy trình và thủ tục của họ để đảm bảo rằng các bản cập nhật chương trình cơ sở và phần mềm sau khi đưa ra thị trường, cũng như các bản vá cho thiết bị của họ và các hệ thống liên quan, được cung cấp cho người tiêu dùng và các bên liên quan khác khi cần.
- Nâng cao tính minh bạch và trách nhiệm giải trình – Theo các quy định mới, các nhà sản xuất phải báo cáo các sự cố an ninh mạng cho FDA và các bệnh nhân bị ảnh hưởng trong một khung thời gian cụ thể. Họ cũng sẽ được yêu cầu cung cấp thông tin cập nhật về tình trạng của các nỗ lực khắc phục và bất kỳ hành động nào được thực hiện để ngăn chặn các sự cố tương tự xảy ra trong tương lai. Với việc thu hồi ngày càng trở thành sự kiện công khai do các cơ quan không ngại kêu gọi các công ty thông qua các kênh của họ, các quy tắc này sẽ giải quyết nhu cầu thông báo cho bệnh nhân. Điều này cũng làm cho các nhà sản xuất làm theo lời khuyên của các chuyên gia để thiết lập các kế hoạch thu hồi trở nên quan trọng hơn bao gồm cách nhà sản xuất sẽ ứng phó với khủng hoảng liên quan đến sản phẩm và cách họ giao tiếp với khách hàng. Để chuẩn bị, các nhà sản xuất cũng nên ưu tiên các bài tập thu hồi mô hình như một phần của giao thức quản lý rủi ro của họ.
- Thúc đẩy hợp tác và chia sẻ thông tin – Pháp luật bao gồm các điều khoản để thúc đẩy hợp tác và chia sẻ thông tin giữa các nhà sản xuất, nhà cung cấp dịch vụ chăm sóc sức khỏe và FDA. FDA sẽ được yêu cầu thiết lập quan hệ đối tác công tư để thúc đẩy an ninh mạng trong ngành thiết bị y tế.
- Thành lập trung tâm an ninh mạng xuất sắc – Một trong những điều khoản quan trọng của luật thành lập Trung tâm An ninh mạng Xuất sắc trong FDA. Trung tâm này sẽ phối hợp các nỗ lực để cải thiện an ninh mạng của các thiết bị y tế. Các trách nhiệm của Trung tâm sẽ bao gồm phát triển và triển khai các tiêu chuẩn an ninh mạng cũng như các phương pháp hay nhất, đánh giá tính bảo mật của thiết bị và cung cấp hướng dẫn cho các nhà sản xuất và nhà cung cấp dịch vụ chăm sóc sức khỏe. Mặc dù các nhà sản xuất có thể phải đối mặt với sự giám sát gia tăng do đó, văn phòng chuyên trách sẽ cung cấp một số thông tin rõ ràng về cách các cơ quan quản lý của Hoa Kỳ sẽ giải quyết các mối lo ngại về an ninh mạng trong ngành thiết bị y tế.
Tác động đối với việc thu hồi thiết bị y tế
Việc thu hồi thiết bị y tế cũng bị ảnh hưởng bởi Đạo luật phân bổ hợp nhất mới. Đạo luật yêu cầu các nhà sản xuất thiết bị y tế đưa thông tin an ninh mạng vào báo cáo thu hồi của họ cho FDA. Thông tin này sẽ giúp FDA và các nhà cung cấp dịch vụ chăm sóc sức khỏe hiểu rõ hơn về các rủi ro an ninh mạng liên quan đến các thiết bị y tế bị thu hồi.
Ngoài ra, FDA phải cung cấp hướng dẫn cho các nhà sản xuất thiết bị y tế về cách tiến hành các đánh giá sau khi đưa ra thị trường tập trung vào an ninh mạng đối với các thiết bị y tế. Hướng dẫn này sẽ giúp các nhà sản xuất xác định và giải quyết các lỗ hổng bảo mật mạng trong các thiết bị đã có mặt trên thị trường. Bằng cách giải quyết các lỗ hổng này, các nhà sản xuất có thể giảm nguy cơ thu hồi sản phẩm trong tương lai do các vấn đề về an ninh mạng.
FDA cũng được yêu cầu thiết lập một chương trình thí điểm để đánh giá tính hiệu quả của việc báo cáo lỗ hổng an ninh mạng của thiết bị y tế. Chương trình này sẽ cung cấp cho FDA dữ liệu có giá trị về các rủi ro an ninh mạng và giúp cơ quan xác định các khu vực có thể cần các biện pháp bổ sung.
Nhìn chung, các điều khoản trong Đạo luật mới sẽ có tác động đáng kể đến an ninh thiết bị y tế và thu hồi sản phẩm, cũng như sự an toàn của bệnh nhân. Bằng cách yêu cầu các nhà sản xuất đưa thông tin an ninh mạng vào các báo cáo thu hồi, cung cấp hướng dẫn về đánh giá sau khi đưa ra thị trường và thiết lập một chương trình thử nghiệm để đánh giá hiệu quả của việc báo cáo lỗ hổng, luật này sẽ giúp giảm nguy cơ thu hồi sản phẩm do các vấn đề an ninh mạng.
Điều này không chỉ mang lại lợi ích cho bệnh nhân mà còn giúp giảm rủi ro tài chính và uy tín cho các nhà sản xuất thường xảy ra do thu hồi sản phẩm.
