Devido ao volume crescente de ataques contra dispositivos médicos, os reguladores da União Europeia apresentaram um novo conjunto de requisitos de entrada no mercado para dispositivos médicos e dispositivos médicos de diagnóstico in vitro para reduzir o risco de danos aos pacientes como resultado de um incidente cibernético, bem como proteger os sistemas nacionais de saúde.
Os reguladores da UE estão elevando o nível dos requisitos de segurança cibernética com o Regulamento de Dispositivos Médicos da União Europeia (MDR) e o Regulamento de diagnóstico in vitro da União Europeia (IVDR), que entrou em vigor em 26 de maio de 2021. Os regulamentos visam “estabelecer uma estrutura regulatória robusta, transparente, previsível e sustentável … que garanta um alto nível de segurança e saúde e, ao mesmo tempo, apoie a inovação”.
As organizações têm até 26 de maio de 2024, ou quando os certificados digitais utilizados pelos dispositivos expirarem, para fazer as alterações necessárias em seus sistemas de gestão de qualidade e documentação técnica para cumprir os novos requisitos. Apesar do número de processos de avaliação, padrões e documentos de orientação que foram fornecidos, os fabricantes, fornecedores e serviços de certificação de dispositivos médicos podem não estar prontos a tempo.
Mais de 90% dos certificados AIMDD/MDD atualmente válidos expirarão em 2024, portanto, um número significativo de dispositivos existentes precisa ser reaprovado, além de novos dispositivos entrando no mercado. Estima-se que 85% dos produtos atualmente no mercado ainda requerem nova certificação sob MDR.IVDR. Considerando que o processo leva de 13 a 18 meses, as empresas precisam iniciar o processo agora para cumprir o prazo de 2024.
Configurando Instruções de Uso
Em geral, os processos de segurança cibernética não são tão diferentes dos processos gerais de desempenho e segurança do dispositivo. O objetivo é garantir (através da verificação e validação) e demonstrar (através da documentação) o desempenho do dispositivo, a redução e o controle de riscos e a minimização de riscos previsíveis e efeitos colaterais indesejáveis por meio do gerenciamento de riscos. Produtos combinados ou dispositivos/sistemas interconectados também requerem gerenciamento dos riscos que resultam da interação entre software e ambiente de TI.
O Grupo de Coordenação de Dispositivos Médicos Orientação MDCG-16 sobre segurança cibernética para dispositivos médicos explica como interpretar e cumprir os requisitos de segurança cibernética em MDR e IVDR. Espera-se que os fabricantes levem em consideração os princípios do ciclo de vida de desenvolvimento seguro, gerenciamento de riscos de segurança e verificação e validação. Além disso, eles devem fornecer requisitos e expectativas mínimas de TI para processos de segurança cibernética, como instalação e manutenção nas instruções de uso de seus dispositivos. “Instruções de uso” é uma seção obrigatória altamente estruturada do pedido de certificação que os fabricantes devem apresentar.
As medidas de segurança cibernética devem reduzir quaisquer riscos associados à operação de dispositivos médicos, incluindo riscos de segurança induzidos pela segurança cibernética, para fornecer um alto nível de proteção à saúde e segurança. A Comissão Eletrotécnica Internacional (IEC) define recursos de segurança de alto nível, melhores práticas e níveis de segurança em CEI/TIR 60601-4-5. Outro relatório técnico da IEC, IEC 80001-2-2, enumera recursos específicos de segurança de design e arquitetura, como logoff automático, controles de auditoria, backup de dados e recuperação de desastres, detecção/proteção de malware e proteção do sistema e do SO.
Para atender às diretrizes ISO (ISO 14971), a Associação para o Avanço da Instrumentação Médica aconselha um equilíbrio entre segurança e proteção. É necessária uma análise cuidadosa para evitar que as medidas de segurança comprometam a segurança e que as medidas de segurança se tornem um risco de segurança. A segurança precisa ser do tamanho certo e não deve ser nem muito fraca nem muito restritiva.
Compartilhando a responsabilidade pela segurança cibernética
A segurança cibernética é uma responsabilidade compartilhada entre o fabricante do dispositivo e a organização de implantação (normalmente o cliente/operador). Assim, funções específicas que fornecem funções importantes de segurança cibernética – como integrador, operador, profissionais de saúde e médicos e pacientes e consumidores – exigem treinamento e documentação cuidadosos.
A seção “instruções de uso” do aplicativo de certificação de um fabricante deve fornecer processos de segurança cibernética, incluindo opções de configuração de segurança, instalação do produto, diretrizes de configuração inicial (por exemplo, alteração de senha padrão), instruções para implantação de atualizações de segurança, procedimentos para usar o dispositivo médico em segurança contra falhas (por exemplo, entrar/sair do modo à prova de falhas, restrições de desempenho no modo à prova de falhas e função de recuperação de dados ao retomar a operação normal) e planos de ação para o usuário no caso de uma mensagem de alerta.
Essa seção também deve fornecer os requisitos do usuário para treinamento e enumerar as habilidades necessárias, incluindo as habilidades de TI necessárias para a instalação, configuração e operação do dispositivo médico. Além disso, deve especificar requisitos para o ambiente operacional (hardware, características de rede, controles de segurança, etc.) , controles de segurança de TI recomendados e recursos de backup e restauração para dados e definições de configuração.
Informações de segurança específicas podem ser compartilhadas por meio de documentação diferente das instruções de uso, como instruções para administradores ou manuais de operação de segurança. Essas informações podem incluir uma lista de controles de segurança de TI incluídos no dispositivo médico, disposições para garantir a integridade/validação de atualizações de software e patches de segurança, propriedades técnicas de componentes de hardware, lista de materiais de software, funções de usuário e privilégios/permissões de acesso associados no dispositivo, função de registro, diretrizes sobre recomendações de segurança, requisitos para integrar o dispositivo médico em um sistema de informações de saúde e uma lista dos fluxos de dados de rede (tipos de protocolo, origem/destino de dados fluxos, esquema de endereçamento, etc.).
Se o ambiente operacional não for exclusivamente local, mas envolver provedores de hospedagem externos, a documentação deve indicar claramente o que, onde (em consideração às leis de residência de dados) e como os dados são armazenados, bem como quaisquer controles de segurança para proteger os dados no ambiente de nuvem (por exemplo, criptografia). A seção de instruções de uso da documentação precisa fornecer requisitos de configuração específicos para o ambiente operacional, como regras de firewall (portas, interfaces, protocolos, esquemas de endereçamento etc.).
Os controles de segurança implementados durante as atividades de pré-venda podem ser inadequados para manter um nível de risco-benefício aceitável durante a vida operacional do dispositivo. Portanto, os regulamentos exigem que o fabricante estabeleça um programa de vigilância de segurança cibernética pós-comercialização para monitorar a operação do dispositivo no ambiente pretendido; compartilhar e divulgar informações de segurança cibernética e conhecimento de vulnerabilidades e ameaças de segurança cibernética em vários setores; realizar a correção de vulnerabilidades; e planejar a resposta a incidentes.
O fabricante também é responsável por investigar e relatar incidentes graves e ações corretivas de segurança em campo. Especificamente, os incidentes que têm causas raiz relacionadas à segurança cibernética estão sujeitos a relatórios de tendências, incluindo qualquer aumento estatisticamente significativo na frequência ou gravidade dos incidentes.
Planejamento para todos os cenários
Os dispositivos médicos de hoje são altamente integrados e operam em uma rede complexa de dispositivos e sistemas, muitos dos quais podem não estar sob controle do operador do dispositivo. Portanto, os fabricantes devem documentar cuidadosamente o uso pretendido do dispositivo e o ambiente operacional pretendido, bem como planejar o uso indevido razoavelmente previsível, como um ataque cibernético.
Os requisitos de gerenciamento de risco de segurança cibernética pré e pós-mercado e as atividades de suporte não são necessariamente diferentes dos programas de segurança tradicionais. No entanto, eles adicionam um nível adicional de complexidade como:
- A gama de riscos a considerar é mais complexa (segurança, privacidade, operações, negócios).
- Eles exigem um conjunto específico de atividades que precisam ser realizadas ao longo do ciclo de vida de desenvolvimento do dispositivo por meio de um Secure Product Development Framework (SPDF).
Reguladores globais, incluindo MDR/IVDR, estão começando a impor um nível mais alto de segurança para dispositivos médicos e exigindo especificamente segurança demonstrável como parte do ciclo de vida maior do dispositivo. Os dispositivos devem atender, com base no tipo de dispositivo e no caso de uso, uma linha de base de segurança, e os fabricantes precisam manter essa linha de base durante toda a vida útil do dispositivo.
- blockchain
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Leitura escura
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- a segurança do website
