Cybersecurity-evenementen zoals de NotPetya-ransomware-aanval in 2016 komen vaak in uitbarstingen van verwarring en bezorgdheid, maar het harde werk van het verminderen van cyberbeveiligingsrisico's in technologie voor de gezondheidszorg is ingebed in de dagelijkse sleur van de medische technologie-industrie, zeggen ingewijden.

De Food and Drug Administration vereist dat bedrijven in medische apparatuur in de vroegste ontwerpfasen plannen voor cyberbeveiliging, en om te controleren op nieuwe kwetsbaarheden lang nadat apparaten naar klanten zijn verzonden. Maar insiders uit de industrie zeggen dat bedrijven ongelijk zijn in hun capaciteiten en bereidheid om het probleem aan te pakken en er openlijk over te praten. die vooruitgang kunnen belemmeren.

Nu ontwikkelt de in Washington gevestigde handelsgroep voor medische technologie, AdvaMed, een nieuw communicatiemiddel voor medische technologiebedrijven, bekend als een "organisatie voor het delen en analyseren van informatie, " of ISAO (uitgesproken als "I-sow") waarmee technisch georiënteerde med-tech experts tips kunnen uitwisselen en lopende problemen kunnen analyseren.

Het nieuws over de op handen zijnde oprichting van ISAO komt op het moment dat de FDA de laatste hand legt aan een update van haar vijf jaar oude richtlijn over de dingen die apparaatmakers moeten doen op het gebied van cyberbeveiliging voordat ze toestemming vragen om hun apparaten in de VS op de markt te brengen.

Bekend als de "premarket" indieningsrichtlijnen, het 24 pagina's tellende ontwerp van de nieuwe regels beschrijft specifieke taken en doelen, zoals werken om ongeautoriseerde toegang te voorkomen en gevoelige gegevens te beschermen. (Openbare opmerkingen over de richtlijnen voordat deze definitief zijn, worden maandag verwacht.)

"Deze documenten ... geven niet alleen 'richtlijnen' weer die een fabrikant kan volgen, "Zach Rothstein, vice-president technologie en regelgeving bij AdvaMed, zei donderdag in een telefonische vergadering met verslaggevers. "Een fabrikant kan er niet voor kiezen om de documenten te negeren. Als ze dat zouden doen, FDA zou waarschijnlijk de premarket-indiening niet beoordelen, of in de post-market setting zou de FDA handhavingsmaatregelen kunnen nemen."

Deelname aan een ISAO is een manier waarop een med-techbedrijf regelgevers en het publiek kan laten zien dat het cyberbeveiliging serieus neemt.

De richtlijnen voor cyberbeveiliging na het op de markt brengen van de FDA, vastgesteld in 2016, zegt dat fabrikanten ongecontroleerde kwetsbaarheden in cyberbeveiliging zo snel mogelijk moeten oplossen, en rapporteer ze aan de FDA. Echter, als de fabrikant het probleem verhelpt, maakt het bekend aan zijn ISAO, en de kwetsbaarheid niet heeft geleid tot de dood of ernstige gezondheidsproblemen, dan kan het bedrijf voorkomen dat het probleem aan de FDA wordt gemeld, volgens de regels van 2016.

Rothstein zei dat de AdvaMed ISAO zal zijn als een gewoon online forum, behalve dat het een sterke beveiliging zal hebben en dat de gebruikers beperkt zullen zijn tot experts in cyberbeveiliging die ermee hebben ingestemd om geen vertrouwelijke informatie buiten het forum te delen.

De groep helpt experts notities in realtime te vergelijken. Maar het zal ook een belangrijke functie vervullen voor kleinere bedrijven die het misschien moeilijk hebben om de cyberbeveiligingscompetentie te bieden die ze nodig hebben.

"Het is waarschijnlijk geen verrassing om te horen dat hoe kleiner het bedrijf voor medische apparaten, hoe moeilijker het voor hen is om iemand aan te nemen, expertise op het gebied van cyberbeveiliging behouden en betalen, Rothstein zei. "Een deel van wat we de ISAO gebruiken om te doen, is om dat soort onderwijs te bieden (voor) onze middelgrote, kleinere bedrijven."

©2019 Star Tribune (Minneapolis)
Gedistribueerd door Tribune Content Agency, LLC.