¿Cómo pueden prepararse las Medtechs para la estrategia de cambio a la izquierda de la FDA sobre ciberseguridad?

El reciente Guía de la FDA sobre las marcas de seguridad buenas y malas noticias para la industria. En resumen, la FDA ahora puede rechazar las presentaciones de los fabricantes de dispositivos médicos si no pueden demostrar que cuentan con procesos integrales de ciberseguridad e información detallada sobre la composición de su software program. Esta es una buena noticia para el público y la industria de la salud en basic.

Si bien la FDA ha publicado una serie de planes para abordar los problemas de dispositivos médicos posteriores a la comercialización, sus planes y procesos para abordar los problemas de seguridad cibernética han sido lamentablemente inadecuados. Los reguladores están cada vez más preocupados por el potencial de que los dispositivos médicos se conviertan en un vector para propagar ataques de malware a través de las redes hospitalarias, lo que resulta en daños incalculables para los pacientes y miles de millones de dólares en todo el mundo.

Ya en 2012, en el standard drama “Homeland”, el personaje principal ayuda a hackear el marcapasos del vicepresidente, lo que provoca que el vicepresidente sufra un infarto y muera. Este episodio ilustra las debilidades potenciales de la vida actual en la cirugía de implantes médicos. Un informe de 2018 de la Oficina del Inspector Common del Departamento de Salud y Servicios Humanos de EE. UU. dijo que la FDA no estaba protegiendo adecuadamente los dispositivos para que no fueran pirateados. De hecho, a medida que la IA y el Web de las cosas han revolucionado la atención médica al hacerla más accesible y brindar mejores resultados a los pacientes, se brindan más dispositivos y formas desde las cuales un pirata informático puede lanzar un ataque. Todo, desde aplicaciones móviles hasta bombas de insulina y monitoreo remoto de pacientes, aunque salva vidas, también puede ser weak a compromisos.

Entonces, ¿cuál es la buena noticia en todo esto? Una vez más, la FDA se está tomando muy en serio estas amenazas al exigir a los fabricantes que específicamente:

• Demostrar que tienen un plan de ciberseguridad
• Ejecute el escaneo de vulnerabilidades de forma common
• Envíe una lista de materiales de software program (SBOM) para SOUP (software program de procedencia desconocida) y otro software program de terceros

La mala noticia para Medtechs es que la FDA está “girando hacia la izquierda” para colocar la carga directamente sobre los fabricantes para documentar esta información crítica. No todas las empresas estarán listas para cumplir con esta estrategia de “cambio a la izquierda” y retrasarán las presentaciones o podrían cerrar por completo. Este es el por qué:

• Como la mayoría de los fabricantes de dispositivos médicos saben, SOUP, o Software program de procedencia desconocida, no es un plato caliente de delicias de pollo.
• Más bien, SOUP se refiere a los elementos de software program estándar que ya están desarrollados y generalmente disponibles, aunque no desarrollados con el fin de incorporarlos a un dispositivo médico.
• La ventaja de SOUP es que puede acelerar los tiempos de desarrollo. No hay motivo para reinventar la rueda cuando se utilizan componentes de software program complejos que requieren tiempo y esfuerzo y que pueden no estar disponibles en el equipo de desarrollo médico.
• Debido a que SOUP puede afectar el rendimiento del software program de dispositivos médicos sin el management directo de un desarrollador, Medtech siempre ha tenido que proporcionar un análisis de riesgo de SOUP y una justificación para su uso.
• Con esta última guía, la FDA reconoce la posibilidad de que, sin comprender qué hay en los componentes SOUP del dispositivo, un dispositivo médico podría ser weak a compromisos.
• Por lo tanto, mientras que la FDA ha requerido requisitos de función/desempeño para cada SOUP, la amenaza de negar cualquier presentación que no tenga un SBOM detallado, incluido SOUP, pone algunos dientes en el proceso.

Una vez más, la mala noticia es que los fabricantes han luchado con las normas de cumplimiento de la FDA durante años, con el resultado de que no pueden llevar nuevas innovaciones al mercado en un entorno crítico para la seguridad. Y con la escasez de médicos y una mayor esperanza de vida, es aún más importante hacer que la atención médica de buena calidad esté disponible para las poblaciones remotas y que envejecen. Esta última guía, al tiempo que hace que los dispositivos sean más seguros, también podría ralentizar radicalmente el ritmo de la innovación que tanto se necesita y disuadir a las nuevas empresas de software program de ingresar al mercado.

¿Qué hacer? Los nuevos enfoques de software program facilitan el ensamblaje y la documentación de SOUP y otras dependencias de software program al mismo tiempo que identifican riesgos y vulnerabilidades potenciales desde el comienzo del proceso de desarrollo. Las mejores herramientas de su clase también alertarán sobre el riesgo de la cadena de suministro de software program nuevo a través de sistemas conectados, como correo electrónico, Groups/Slack y herramientas de gestión de proyectos como Jira. La consolidación de esta información en un solo tablero facilita la identificación de riesgos mientras los monitorea continuamente desde el punto de vista de la calidad y, en última instancia, prepara la documentación lista para la FDA. Después de la comercialización de estos documentos y tableros, será más fácil aislar cualquier problema y mantener un proceso de gestión de cambios efectivo.

Foto: Traitov, Getty Photos