Quando você pensa em ataques de segurança cibernética, provavelmente pensa neles ocorrendo em veículos comuns, como telefones celulares, computadores de trabalho e até redes universitárias mais recentemente. As probabilidades são de que você não considere um ataque cibernético no dispositivo de sequenciamento de última geração em seu laboratório, mas foi exatamente sobre isso que o FDA alertou na semana passada.
Em uma carta na quinta-feira para funcionários de laboratório e prestadores de serviços de saúde, a Food and Drug Administration (FDA) alertou sobre uma vulnerabilidade de segurança cibernética que afeta o software em instrumentos específicos de sequenciamento de próxima geração da Illumina.
A FDA diz que um usuário não autorizado pode explorar a vulnerabilidade assumindo o controle do instrumento remotamente ou operando o sistema para alterar configurações, software ou dados no instrumento ou na rede de um cliente. Os hackers podem até atacar a vulnerabilidade para impactar os resultados dos testes do paciente nos instrumentos destinados ao diagnóstico clínico, incluindo fazer com que os instrumentos não forneçam resultados ou resultados incorretos, resultados alterados ou uma possível violação de dados.
Os dispositivos afetados incluem: Illumina NextSeq 550Dx, MiSeqDx, NextSeq 500, NextSeq 550, MiSeq, iSeq e MiniSeq, instrumentos de sequenciamento de próxima geração.
Neste momento, a FDA e a Illumina não receberam nenhum relatório indicando que esta vulnerabilidade foi explorada.
Desde que descobriu e divulgou o problema para os clientes afetados em 3 de maio, a Illumina desenvolveu um patch de software para proteger contra essa vulnerabilidade e está trabalhando para fornecer uma correção permanente de software para instrumentos atuais e futuros.
Nova orientação, legislação
A carta da FDA lança uma luz renovada sobre os fracos protocolos de segurança cibernética dos dispositivos médicos atuais. Um relatório publicado em janeiro pela empresa de segurança cibernética Cynerio mostrou que mais da metade dos dispositivos conectados à Internet usados em hospitais têm uma vulnerabilidade que pode colocar em risco a segurança do paciente, dados confidenciais ou a usabilidade de um dispositivo.
O relatório analisou dados de mais de 10 milhões de dispositivos em mais de 300 hospitais e unidades de saúde em todo o mundo. Os pesquisadores descobriram que o dispositivo mais hackeável eram as bombas de infusão (IV) – que, ironicamente, também são o tipo mais comum de dispositivos conectados à Internet em hospitais. A equipe descobriu que 73% das bombas de infusão têm uma vulnerabilidade de segurança cibernética.
Mesmo assim, atualmente não há lei que exija expressamente que os fabricantes de dispositivos médicos tratem da segurança cibernética. Prevendo o problema, o FDA emitiu orientações de segurança cibernética para fabricantes em 2014 e, em seguida, substituiu-as por diretrizes atualizadas quatro anos depois. Agora, à medida que a tecnologia continua avançando, a agência federal mais uma vez elaborou novas orientações.
“As ameaças de segurança cibernética ao setor de saúde tornaram-se mais frequentes, mais graves e mais impactantes clinicamente”, disse o FDA em comunicado. “O cenário em rápida evolução e o aumento da compreensão das ameaças e suas potenciais mitigações exigem uma abordagem atualizada.”
A nova orientação preliminar foi emitida em abril, mas está aberta para comentários públicos até 7 de julho. Mudanças significativas em relação à orientação de 2018 incluem recomendações para gerenciamento abrangente de riscos de segurança cibernética em todo o ciclo de vida total do produto, além de solicitar aos fabricantes que incluam uma lista de materiais de software (SBOM) com todos os novos produtos para que os usuários saibam quais componentes de seus dispositivos estão ou podem estar sujeitos a ameaças cibernéticas.
De fato, no orçamento proposto pela FDA para o ano fiscal de 2023 , a agência pede US$ 5,5 milhões para “Segurança Cibernética de Dispositivos Médicos”, um aumento de US$ 5,0 milhões em relação ao ano fiscal de 2022. A proposta diz que o dinheiro permitirá que a FDA inicie o desenvolvimento de um programa de segurança cibernética para médicos dispositivos, ajudam a lidar com riscos com dispositivos legados e tratam rapidamente de novas vulnerabilidades de segurança cibernética de dispositivos médicos.
Além de exigir um SBOM, a FDA procura ter autoridade expressa para exigir submissões de pré-mercado que incluam evidências que demonstrem garantia da segurança e eficácia do dispositivo para fins de segurança cibernética. A agência também quer exigir que os dispositivos tenham a capacidade de serem atualizados e corrigidos em tempo hábil, e que os fabricantes de dispositivos divulguem publicamente qualquer vulnerabilidade de segurança cibernética e forneçam orientação aos usuários para reduzir o risco.
“Essas autoridades são críticas, pois a FDA já viu e respondeu a vários incidentes de ransomware e outros malwares no setor de saúde”, escreveu a agência na proposta de orçamento. “Aprovar a proposta da FDA reduziria a probabilidade de danos aos pacientes, interrupção do acesso a dispositivos e perda de participação de mercado ou retirada de mercado para dispositivos para os quais uma vulnerabilidade é identificada como resultado de incidentes de segurança cibernética”.
O Congresso também está fazendo sua parte para proteger a infraestrutura cibernética do sistema de saúde dos EUA. Em abril, os senadores Bill Cassidy, MD (R-LA) e Tammy Baldwin (D-WI) apresentaram a lei bipartidária Protecting and Transforming Cyber Health Care (PATCH).
A Lei PATCH iria:
- implementar requisitos críticos de segurança cibernética para fabricantes que solicitam aprovação de pré-mercado por meio do FDA,
- permitir que o fabricante projete, desenvolva e mantenha processos e procedimentos para atualizar e corrigir o dispositivo e sistemas relacionados durante todo o ciclo de vida do dispositivo,
- estabelecer um SBOM para o dispositivo que será fornecido aos usuários,
- exigir o desenvolvimento de um plano para monitorar, identificar e abordar vulnerabilidades de segurança cibernética pós-mercado, e
- solicitar uma Divulgação Coordenada de Vulnerabilidade para demonstrar a segurança e eficácia de um dispositivo.
“Durante a pandemia, houve um aumento nos ataques de ransomware em dispositivos médicos e redes maiores”, disse o representante dos EUA Michael Burgess, MD (R-TX), que apresentou a legislação complementar na Câmara dos Deputados. “Esses ataques afetam hospitais, a indústria de dispositivos médicos e, mais importante, pacientes americanos. Essa legislação implementará protocolos e procedimentos de segurança cibernética para fabricantes que solicitam aprovação de pré-mercado por meio do FDA para garantir que os usuários estejam devidamente equipados para lidar com ataques de ransomware estrangeiros ou domésticos. É hora de examinar como modernizar e proteger nossa infraestrutura de saúde”.
Fonte: Laboratory Equipment
Descubra mais sobre DCiber
Assine para receber os posts mais recentes por e-mail.
