Zephyrnet-logotyp

Generativ dataintelligens

Medicintekniska produkter

Översikt över den nya FDA-vägledningen om cybersäkerhet

Återutgiven av Platon
Återutgiven av Platon

Datum:

Visningar: 25
FDA-vägledning Cybersäkerhet för medicinsk utrustning"Cybersäkerhet i medicintekniska produkter: kvalitetssystemets överväganden och innehållet i premarket-inlämningar | FDA” är ett nytt dokument som tagits fram av FDA som ger vägledning om hur man integrerar cybersäkerhet i kvalitetssystemets hantering och inlämningsprocessen för medicinsk utrustning.
Den täcker riskhantering, designkontroller, mjukvaruvalidering och andra element för att säkerställa säkerhet, effektivitet och säkerhet för medicinsk utrustning inför potentiella cyberhot.

Målet med dokumentet är att ge enhetstillverkarna behovet av att överväga cybersäkerhet i alla aspekter av enhetsmjukvara inklusive design, utveckling, testning, övervakning och underhåll. Ett nyckelbegrepp i dokumentet är planering för "Total Product Life Cycle". FDA har tagit in många aspekter av cybersäkerhet som normalt skulle överlåtas till HIPAA och enhetskunder. Det åligger nu enhetstillverkarna att integrera säker programvara från början av utvecklingsfasen och visa genom dokumentation hur de kommer att fortsätta för att säkerställa att enheten förblir säker.

Vad är cybersecurity?

NIST (National Institute of Standards and Technology) har en hel sida tillägnad de olika definitioner av cybersäkerhet.

NIST identifierar Cybersecurity som en synonym för datorsäkerhet[1]. Det är "Åtgärder och kontroller som säkerställer konfidentialitet, integritet och tillgänglighet för den information som behandlas och lagras av en dator."[2] Det är också "förebyggande av skada på, obehörig användning av, exploatering av och – om så behövs – återställande av elektroniska informations- och kommunikationssystem och den information de innehåller, för att stärka sekretessen, integriteten och tillgängligheten för dessa system .”[3]

När den utvidgas till medicinsk utrustning, omfattar cybersäkerhet användar- och patientsäkerhet. Som noterats i FDA-vägledningen på sidan 11: "Omfattningen och syftet med en säkerhetsriskhanteringsprocess, i kombination med andra SPDF-processer (t.ex. säkerhetstester), är att avslöja hur hot, genom sårbarheter, kan manifestera patientskada och andra potentiella risker.” Figur 1 nedan visar sambandet mellan cybersäkerhetsrisk och säkerhetsrisk.

Hur man hanterar cybersäkerhetsrisker

FDA:s riktlinjer föreslår att ett sätt att hantera cybersäkerhetsrisker är genom vad den kallar ett "Secure Product Development Framework" eller SPDF. En SPDF är i huvudsak en plan för att identifiera cybersäkerhetshot och begränsningar för enhetens hela livslängd. Enhetstillverkare bör implementera en SPDF som en del av nyckelkvalitetsledningssystemet (QMS) som styr hur en enhet med programvara utvecklas och underhålls.

Processen kan kokas ner till följande steg:

  • Identifiera hot
  • Dokumentera och utvärdera risker
  • Dokumentera och implementera begränsningar
  • Testa och verifiera begränsningar
  • och slutligen övervaka enheten och enhetsutrymmet för nya hot.

Resultaten av dessa steg och implementeringen av framtida förfaranden är de indata som FDA kräver för alla nya regulatoriska inlämningar. Även om stegen i processen är lätta att identifiera, är implementeringen av en SPDF allt annat än lätt.

Mer om SPDF

Ett ramverk för säker produktutveckling bör bli en standarddel av alla QMS som används för att utveckla en elektronisk medicinteknisk utrustning eller annan medicinsk utrustning med programvara. Det är frestande att hävda att en enhet inte kräver en SPDF eller cybersäkerhetsöverväganden, men detta skulle vara ett misstag. Det finns inget sätt att bevisa för FDA att din enhet INTE utgör cybersäkerhetsrisker förrän efter att du har utfört många av de första stegen i en SPDF, nämligen hotidentifiering och cybersäkerhetsriskanalys. Vi har redan hört historier om andra tillverkare som antog att de var säkra bara för att FDA skulle peka på en USB-port eller en latent nätverksport (bakom en panel inte mindre!) och avvisa ansökan på grund av brist på cybersäkerhetsdokumentation. Bara för att enheten inte ansluter till internet betyder det inte att en hotaktör inte kunde utnyttja en del av ditt system. Det enda sättet att bevisa att din enhet är säker är att implementera en SPDF från början av enhetens livscykel och dokumentera bristen på hot eller risker.

Riskhantering för cybersäkerhet

Vårt mjukvaruteam samarbetar med ett antal cybersäkerhetsproffs, penetrationstestningsföretag och FDA-konsulter för att säkerställa att de enheter vi utvecklar kan uppfylla FDA:s krav på cybersäkerhetsdokumentation för medicinsk utrustning. Enhetsutvecklare bör internalisera den nya FDA-vägledningen och skapa nya processer för att hjälpa till med efterlevnad och nya verktyg för att generera de utdata som krävs för att tillfredsställa FDA. Detta är inte ett litet företag. Vi har lagt ner mycket tid och ansträngning på att ta fram dessa system. Ansträngningen har gett utdelning för våra kunder eftersom vi har automatiserat sårbarhetsdetektering och rapportering.

Om du vill veta mer om hur StarFish Medical kan hjälpa till med din efterlevnad av cybersäkerhetsregler, vänligen kontakta vår affärsutvecklingsgrupp. De diskuterar gärna hur Starfish kan hjälpa dig att lyckas skapa robusta, säkra medicinska apparater.

[1] https://csrc.nist.gov/glossary/term/cybersecurity

[2] https://www.cnss.gov/CNSS/issuances/Instructions.cfm

[3] https://doi.org/10.6028/NIST.IR.8074v2

Bild: FDA

Russell Haley är en StarFish Medical Senior Software Engineer. Han är en mjukvaru- och IT-veteran med över 20 års uppstartserfarenhet av att designa IoT-system som samlar in data via Wi-Fi, Bluetooth och MICS (implanterbara) radioapparater och lagrar viktiga register i molnet från oceanografiska bojar, finansinstitutioner, passagerartåg och nu senast medicinsk utrustning.

FDA Cybersecurity Draft Guide

Dela detta…
plats_img

Senaste intelligens

plats_img

Copyright @ 2024 Plato Technologies Inc.