Con uno sguardo precoce alla pediatria e una specializzazione nella chirurgia delle vittime di ustioni, il Dr. Suzanne Schwartz, Director of Strategic Partnerships & Technology Innovation presso il Center for Diseases and Radiological Health (CDRH) non prevedeva che sarebbe stata una campionessa così importante per la sicurezza informatica dei dispositivi medici.
Verso l’inizio del Dott. Durante il mandato di Schwartz presso la FDA nel 2012, il suo ruolo è stato Direttore della preparazione/operazioni alle emergenze e delle contromisure mediche, concentrandosi sul garantire che il paese fosse pronto per qualsiasi tipo di emergenza improvvisa a livello nazionale. “La nostra responsabilità era assicurare che la FDA e il CDRH fossero specificamente preparati ad assumersi diversi tipi di rischi, siano essi fisici o naturali o altri tipi di eventi che possono manifestarsi come emergenze di salute pubblica”.
All’epoca, quell’emergenza si presentava sotto forma di scarsa sicurezza dei prodotti nei dispositivi medici esistenti, che avrebbero dovuto manomettere i dati dei pazienti e interrompere le operazioni della struttura medica. Mentre la salute del paziente era fondamentale nella progettazione di dispositivi medici emergenti, la sicurezza informatica non lo era.
Mappatura del campo di gioco della sicurezza informatica dei dispositivi medici
Gli ospedali sono stati attaccati da un ransomware per anni, con dispositivi IoT non protetti che fungono da gateway degli hacker in una rete ospedaliera.
Già nel 2012, la FDA ha assistito a dimostrazioni di simulazioni catastrofiche contro strutture mediche che potevano essere eseguite utilizzando le tecnologie esistenti. Questi hacker dal cappello bianco hanno dimostrato come un cattivo attore potrebbe penetrare nelle strutture di assistenza clinica a livello amministrativo o del paziente. È arrivato un punto in cui il dott. Il team di Schwartz aveva “visto una discreta quantità di prove di concetti su come un impatto su un dispositivo medico può certamente influenzare la sua funzione in modi che o non funziona affatto o funziona in modo inappropriato. Ciò ha il potenziale per essere letale nel peggiore dei casi, o almeno dannoso per i pazienti”, ha affermato il dott. Schwartz. “Quindi, abbiamo dovuto affrontare la realtà. Come è sempre stato il caso, non stiamo aspettando che si verifichi il primo decesso o infortunio per agire”.
Nel corso del prossimo anno, il dott. Schwartz ha formato un team di specialisti e ha costruito un approccio di sicurezza informatica fondamentale basato su leader del settore che comprendono l’intera portata della sfida che ci attende. All’inizio, questo significava essere reattivi a ogni nuovo incidente che accadeva. Dopo poco tempo, la FDA è stata in grado di essere più proattiva, creando nuove linee guida su quali pratiche di sicurezza informatica dovrebbero essere seguite prima di presentare un dispositivo per l’approvazione della FDA.
Dott. Schwartz ha spiegato: “Il nostro team è passato a una posizione più proattiva in termini di definizione e identificazione delle politiche e delle aspettative che la FDA avrebbe al fine di proteggere meglio i dispositivi medici durante tutto il loro ciclo di vita”.
Creazione e mantenimento delle normative
All’inizio di quest’anno, la FDA ha pubblicato le linee guida per la sicurezza informatica nei dispositivi medici: considerazioni sul sistema di qualità e contenuto delle richieste di prevendita.
Secondo il dott. Schwartz, questo vuole essere un documento vivo, che aggiorna le linee guida pre-mercato originali per soddisfare il mercato in evoluzione. Per vedere quanto fosse cambiato il mercato e i requisiti della FDA, le linee guida originali del 2013 erano lunghe nove pagine. Al contrario, le ultime linee guida sono 40. Tuttavia, sotto queste 40 pagine ci sono tre temi comuni: affidabilità, trasparenza e resilienza.
Affidabilità
Innanzitutto, i pazienti devono avere fiducia nei dispositivi medici che gli vengono assegnati. Un modo per garantire che tutti i dispositivi siano sicuri, cosa che per impostazione predefinita dà ai pazienti la certezza che sono al sicuro, è stato quello di guidare le aziende su come identificare le minacce e mitigare le potenziali vulnerabilità prima di sottoporli all’approvazione prima della commercializzazione della FDA.
“Abbiamo svolto una discreta quantità di lavoro sulla modellazione delle minacce, incluso il lavoro con i partner per pubblicare un playbook che fornisce alcuni esempi di come affrontare quel processo e che l’aspettativa sarebbe che la modellazione delle minacce debba essere incorporata nel pre-market sottomissione.”
Considerando la posta in gioco, è fondamentale che nessun utente non autorizzato possa entrare in un dispositivo e che i produttori debbano testarlo prima di presentare il proprio dispositivo alla FDA.
Trasparenza
Quando una famiglia, un amico o un paziente ha bisogno di cure mediche, l’affidabilità deve essere supportata con trasparenza.
Per raggiungere questo obiettivo, è necessario generare SBOM in modo che l’azienda e la FDA possano capire quali componenti software esistono all’interno del dispositivo, se qualcuno di essi è vulnerabile e come garantire la sicurezza informatica durante l’intero ciclo di vita del prodotto. Ciò consente ai pazienti di richiedere informazioni rilevanti sul dispositivo che stanno utilizzando fornendo allo stesso tempo dati critici allo sviluppo, nonché ai team di sicurezza informatica, riguardo a cosa ha funzionato, cosa non ha funzionato e come proteggere meglio i dispositivi in futuro.
Resilienza
Al centro della sfida legacy c’è consentire l’utilizzo dei dispositivi sul campo per 5, 10 o addirittura 20 anni. Mentre i dispositivi di oggi possono essere programmati per aggiornamenti remoti e patch di sicurezza, i dispositivi legacy rischiano di diventare “bloccati” o diventare inutilizzabili a seguito di un aggiornamento.
“[Resilience] è al centro della sfida dell’eredità che dobbiamo affrontare oggi. Con così tanti dispositivi sul mercato, nonostante siano in grado di identificare le vulnerabilità in essi, non possono essere riparati”, ha affermato il dott. Schwartz riguardo a ciò che possiamo imparare dal passato. “Dovrebbero essere aggiornabili e dovrebbero essere in grado di funzionare nel modo previsto mentre ricevono aggiornamenti e correzioni in tempo reale”.
La dura verità è che le nuove vulnerabilità continueranno a minacciare i dispositivi durante tutto il loro ciclo di vita. Ecco perché sono stati sviluppati piani a tutto campo in collaborazione con l’Amministrazione nazionale delle telecomunicazioni e dell’informazione (NTIA), CISA e altri. Ciò ha contribuito a stabilire un collegamento diretto tra sicurezza informatica e sicurezza, fornendo una risposta ferma al motivo per cui la FDA stava guidando con successo un cambiamento incrementale in tutto lo spazio dei dispositivi medici.
Come lo sviluppo di nuove linee guida, la protezione dei dispositivi e della loro catena di approvvigionamento richiede un approccio comunitario. È una sfida che può essere superata fintanto che le parti interessate giuste sono riunite per collaborare per il bene superiore del settore. Ciò include vedere cosa è stato fatto a monte e condurre la due diligence sui fornitori.
Collaborazione per aumentare la sicurezza informatica dei dispositivi medici
Che si tratti di un produttore leader di dispositivi o di un nuovo arrivato nel campo, i team devono sentirsi a proprio agio nel lavorare insieme per affrontare le principali sfide della sicurezza informatica.
Le startup dovrebbero poter rivolgersi ai produttori di dispositivi legacy per vedere come sono state gestite le sfide mentre, allo stesso tempo, le aziende dovrebbero essere in grado di fare appello all’agile creatività delle start-up per affrontare le minacce emergenti.
I partenariati pubblico-privato sono destinati a dare impulso all’intero settore sanitario. Un esempio di ciò è il consiglio coordinato nell’ambito del partenariato pubblico-privato del Dipartimento della salute e dei servizi umani per le infrastrutture critiche, che include aziende mediche.
In definitiva, concentrarsi sulle esigenze delle strutture mediche e un impegno incrollabile per la sicurezza dei pazienti rafforzerà l’affidabilità di tutti i pazienti che devono affrontare un nuovo mondo di emergenti minacce alla sicurezza informatica.
Scritto da David Leichner (CMO), Shlomi Ashkenazy (Head of Brand) e Rafi Spiewak (Director of Content) presso Cybellum