#AnToanMangYTe #FDA #RuiRoAnNinhMang #ThietBiYTe
Các chuyên gia bảo mật Plamena Entcheva-Dimitrov và Joseph Madden đã thảo luận về an ninh mạng của các thiết bị y tế tại Hoa Kỳ. Với sự phụ thuộc ngày càng cao vào kết nối mạng để thực hiện các chức năng cơ bản hoặc để tương tác với các thiết bị khác, các thiết bị y tế ngày càng dễ bị tấn công mạng. Những cuộc tấn công như vậy có thể đe dọa tính mạng của các bệnh nhân và là một mối lo ngại lớn cho cả ngành y tế.
Trong lĩnh vực y tế, chi phí trung bình cho một sự cố an ninh mạng vào năm 2022 là 10,1 triệu đô la, trong khi 20% trong số các bệnh viện gặp sự cố an ninh mạng cho biết tỷ lệ tử vong gia tăng.
Để giảm thiểu rủi ro này, FDA đã đưa ra các hướng dẫn về phân tích và giảm thiểu rủi ro an ninh mạng trong thiết bị y tế. Hơn nữa, Đạo luật Thực phẩm, Dược phẩm và Mỹ phẩm đã sửa đổi để bổ sung yêu cầu an ninh mạng mới cho các nhà sản xuất thiết bị y tế. Các yêu cầu này được áp dụng cho tất cả các loại đệ trình tiếp thị thiết bị y tế, đảm bảo rằng các thiết bị và các hệ thống liên quan là an toàn mạng.
Nguồn: https://techtoday.co/are-medical-devices-protected-from-cyber-criminals/
Plamena Entcheva-Dimitrov, Tiến sĩ, RAC, người sáng lập Công ty Tư vấn Quy định Preferred và Joseph Madden, phó chủ tịch phụ trách bán hàng của Nova Leah, thảo luận về an ninh mạng của các thiết bị y tế tại Hoa Kỳ.
Các chuyên gia bảo mật nói “không” và giải thích rằng Internet được hình thành và phát triển để dễ sử dụng, để phù hợp, để di chuyển dữ liệu lớn, nhưng bảo mật là vấn đề được tính đến sau. FBI nói rằng 90% các công ty Mỹ dễ bị tấn công mạng. Thật là sốc! Nhưng điều tồi tệ hơn là các thiết bị y tế cứu sinh và hỗ trợ tính mạng hoặc thậm chí toàn bộ mạng lưới chăm sóc sức khỏe có thể là mục tiêu (do cố ý hoặc ngẫu nhiên) của các cuộc tấn công như vậy khiến tính mạng của những người vô tội gặp nguy hiểm.
Giới thiệu
Khi các thiết bị y tế ngày càng phụ thuộc vào kết nối mạng để thực hiện các chức năng cơ bản của chúng hoặc để tương tác với các thiết bị khác, điện thoại thông minh đang lưu trữ các ứng dụng y tế và các thuật toán được lưu trữ trên đám mây, các thiết bị y tế ngày càng dễ bị tấn công mạng hơn. Các thiết bị y tế cũng là một cửa ngõ vào mạng bệnh viện lưu trữ dữ liệu nhạy cảm của bệnh nhân, làm trầm trọng thêm vấn đề và tăng cường nhu cầu tăng cường hệ thống an ninh mạng cho các thiết bị y tế.
Lý lịch
Các nhóm ngành cùng với các chuyên gia của FDA đã làm việc để tăng cường an ninh mạng cho các thiết bị y tế trong hơn 20 năm. Các cơ quan khác, chẳng hạn như FCC, FBI, CISA, NIST cũng là các bên liên quan trong một hệ thống chăm sóc sức khỏe ngày càng phức tạp hơn. Hàng loạt sự kiện như máy bơm insulin bị hack, hồ sơ sức khỏe cá nhân bị đánh cắp và hoạt động gián điệp công nghiệp đang trở nên bình thường trên báo chí. Những cuộc tấn công mạng này có thể xảy ra thông qua các thiết bị y tế được kết nối với bệnh viện, nhà riêng hoặc mạng công cộng.
Tấn công mạng là gì?
Tấn công mạng là một nỗ lực nhằm giành quyền truy cập trái phép vào máy tính hoặc mạng máy tính. Không ai miễn dịch và công nghệ y tế là một trong những mục tiêu cao cấp. Chi phí trung bình cho một sự cố an ninh mạng trong lĩnh vực chăm sóc sức khỏe vào năm 2022 là 10,1 triệu đô la. Chi phí lớn hơn nhiều so với chi phí tiền tệ đơn giản, trong số các bệnh viện gặp sự cố an ninh mạng, 20% cho biết họ thấy tỷ lệ tử vong gia tăng trong cuộc tấn công.
Một số kết quả từ một cuộc tấn công mạng:
- Từ chối hoặc phá hủy các dịch vụ mạng của bạn
- Trộm cắp hoặc phá hủy thông tin quan trọng
- Thiệt hại vật chất của cơ sở hạ tầng
Trong lĩnh vực y tế, có một số lĩnh vực dễ bị tổn thương:
- tấn công vào các thiết bị y tế hoặc hệ thống chăm sóc sức khỏe, đe dọa tính mạng – các thiết bị hỗ trợ và duy trì sự sống bị thay đổi hoặc vô hiệu hóa, các mạng bị suy yếu do mất khả năng thực hiện các chức năng chính hoặc gây ra sự cố ngừng hoạt động.
- tấn công vào các thiết bị y tế hoặc hệ thống chăm sóc sức khỏe, gây mất mát, hư hỏng, xâm phạm thông tin sức khỏe cá nhân – mất quyền riêng tư.
Bất kỳ yếu tố nào trong số này đều có thể ảnh hưởng đến các thiết bị chăm sóc y tế, bệnh viện và y tế tại nhà của chúng ta, chẳng hạn như máy thở, máy tạo nhịp tim, thiết bị HOẶC, máy bơm truyền dịch, hệ thống theo dõi ICU, máy đo đường huyết, máy lọc máu, v.v.! Do đó, FDA coi an ninh mạng là một vấn đề an toàn quan trọng. Các đệ trình mới hiện phải chứng minh sự đảm bảo hợp lý rằng các thiết bị y tế được bảo vệ khỏi các cuộc tấn công mạng. Sự đảm bảo này đạt được thông qua thử nghiệm trong các môi trường khác nhau, thông qua kết nối có dây hoặc không dây và sử dụng các công cụ khác nhau.
Một số trường hợp tấn công an ninh mạng nổi tiếng bao gồm:
- Máy bơm insulin bị hack vào năm 2012, khi bệnh nhân xâm nhập vào máy bơm của chính mình để làm nổi bật lỗ hổng của thiết bị, sau đó phát hiện ra một vấn đề lớn hơn với máy bơm insulin Medtronic
- Ransomware ảnh hưởng đến xạ trị cho hơn 200.000 bệnh nhân ung thư
- Vào năm 2021, Armis đã báo cáo 9 lỗ hổng nghiêm trọng trong hệ thống ống khí nén được sử dụng tại 3000 bệnh viện trên toàn thế giới. Các lỗ hổng có thể cho phép kẻ tấn công chiếm quyền kiểm soát máy trạm và khởi chạy các cuộc tấn công ransomware
- Máy tạo nhịp dễ bị tổn thương và máy khử rung tim cấy ghép
- Thông tin sức khỏe được bảo vệ của 1,4 triệu bệnh nhân có khả năng bị xâm phạm trong cuộc tấn công ransomware ở Georgia
Như đã thấy trong các ví dụ, rủi ro của các cuộc tấn công mạng độc hại vào các thiết bị y tế và cơ sở hạ tầng chăm sóc sức khỏe là vấn đề sinh tử. Do đó, điều quan trọng đối với các nhà sản xuất và các nhà cung cấp dịch vụ chăm sóc sức khỏe nói chung là tiến hành phân tích rủi ro thích hợp và giảm thiểu những rủi ro đó trước một cuộc tấn công mạng. Phân tích rủi ro an ninh mạng lần đầu tiên được FDA giới thiệu trong Hướng dẫn năm 2014 Nội dung đệ trình tiếp thị trước để quản lý an ninh mạng trong thiết bị y tế. Khi ngày càng có nhiều thiết bị y tế được kết nối với mạng, nhu cầu tiến hành phân tích và giảm thiểu rủi ro an ninh mạng trở nên cấp thiết hơn, dẫn đến việc ban hành hướng dẫn dự thảo mới của FDA vào năm 2022, An ninh mạng trong các thiết bị y tế: Cân nhắc về hệ thống chất lượng và nội dung của các lần gửi trước khi tiếp thị.
Những thay đổi gần đây trong luật
Các thiết bị y tế phải tuân theo Đạo luật Thực phẩm, Dược phẩm và Mỹ phẩm (FD&C, 21 USC 351 et seq). Gần đây, Quốc hội, thông qua việc thông qua Dự luật Omnibus, (HR 2617, Mục 3305) đã sửa đổi Đạo luật FD&C, bằng cách bổ sung Mục 524B mới, Đảm bảo An ninh Mạng cho Thiết bị. Phần này mã hóa các yêu cầu an ninh mạng mới cho các nhà sản xuất thiết bị y tế. Các yêu cầu được áp dụng cho tất cả các loại đệ trình tiếp thị thiết bị y tế: 510(k)s, de novos và PMAs (đệ trình theo mục 510(k), 513, 515(c), 515(f) hoặc 520(m)) .
Yêu cầu cập nhật như sau:
1. Lên kế hoạch theo dõi, xác định và giải quyết, khi thích hợp, trong thời gian hợp lý, các lỗ hổng và khai thác an ninh mạng sau khi đưa ra thị trường, bao gồm cả việc phối hợp tiết lộ lỗ hổng và các thủ tục liên quan.
2. Thiết kế, phát triển và duy trì các quy trình và thủ tục để đảm bảo hợp lý rằng thiết bị và các hệ thống liên quan là an toàn mạng, đồng thời cung cấp các bản cập nhật và bản vá sau khi đưa ra thị trường cho thiết bị và các hệ thống liên quan để giải quyết—
- trên một chu kỳ thường xuyên được chứng minh hợp lý, các lỗ hổng không thể chấp nhận được đã biết; Và
- càng sớm càng tốt ngoài chu kỳ, các lỗ hổng nghiêm trọng có thể gây ra rủi ro không kiểm soát được.
3. Cung cấp danh mục nguyên liệu phần mềm, bao gồm các thành phần phần mềm thương mại, mã nguồn mở và có sẵn.
4. Tuân thủ các yêu cầu hiện hành khác như vậy để thể hiện sự đảm bảo hợp lý rằng thiết bị và các hệ thống liên quan là an ninh mạng.
Những ngày quan trọng cần ghi nhớ
Ngày có hiệu lực của các yêu cầu mới là 90 ngày sau khi thông qua dự luật, tức là ngày 29 tháng 3 năm 2023.
Những thay đổi đối với Đạo luật FD&C được giới thiệu trong Dự luật Omnibus 2022 (HR 2617, Mục 3305) sẽ dẫn đến việc cập nhật một số tài liệu hướng dẫn dự thảo và cuối cùng của FDA, vì vậy các nhà sản xuất thiết bị mạng (được định nghĩa trong HR 2617, Mục 3305) nên tìm kiếm những thứ kia. Trong thời gian chờ đợi, các nhà sản xuất thiết bị mạng nên tự làm quen với các yêu cầu trong Đạo luật FD&C sửa đổi.
Như đã nêu trong Mục 3305, trong vòng hai năm kể từ khi luật mới được ban hành, Bộ trưởng HHS (mặc dù là FDA) và giám đốc Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA) sẽ cập nhật các yêu cầu về thông tin được đưa vào các bản đệ trình cho cơ sở hạ tầng và an ninh mạng. thiết bị.
Trong vòng 180 ngày, tức là ngày 22 tháng 6 năm 2023, FDA phải cung cấp cho công chúng thông tin liên quan đến việc cải thiện an ninh mạng của thiết bị, bao gồm xác định và giải quyết các lỗ hổng mạng cho các nhà cung cấp dịch vụ chăm sóc sức khỏe, hệ thống y tế và nhà sản xuất thiết bị.
Trong vòng một năm kể từ khi luật này được ban hành, tổng kiểm soát phải công bố một báo cáo xác định các thách thức về an ninh mạng đối với các thiết bị, bao gồm cả các thiết bị cũ có thể không hỗ trợ một số bản cập nhật bảo mật phần mềm.
Phần kết luận
Các thiết bị y tế đang trở nên tinh vi và ngày càng phụ thuộc vào kết nối mạng. Rủi ro tấn công mạng vào hoặc thông qua các thiết bị tinh vi này đã tăng theo cấp số nhân và chúng thường là cổng vào mạng bệnh viện lưu trữ dữ liệu nhạy cảm của bệnh nhân, làm trầm trọng thêm vấn đề và tăng cường nhu cầu tăng cường hệ thống an ninh mạng cho các thiết bị y tế. Những lỗ hổng an ninh mạng này tạo ra rủi ro và làm lộ dữ liệu nhạy cảm của bệnh nhân, cuối cùng gây ra kết quả bất lợi cho bệnh nhân, thương tích nghiêm trọng hoặc trong một số trường hợp là tử vong. Việc đánh giá và giảm thiểu rủi ro mạng cho các thiết bị y tế đã trở thành một phần quan trọng trong thiết kế và phát triển các công nghệ thiết bị y tế được kết nối và tài liệu chi tiết cần phải được (i) chuẩn bị ngay từ đầu của mỗi dự án như vậy, (ii) được đưa vào các đệ trình của FDA và ( iii) duy trì hậu tiếp thị.
