O avanço da tecnologia médica exige mais regulamentação de dispositivos médicos

O avanço da tecnologia médica exige mais regulamentação de dispositivos médicos
A regulamentação de dispositivos médicos é uma parte importante do setor de saúde, pois também ajuda a proteger os pacientes, garantindo que qualquer dispositivo usado para diagnóstico, tratamento ou prevenção de uma condição médica atenda a determinados padrões de segurança e qualidade.
Compartilhe

Não há dúvida de que a tecnologia médica avançou e deve se desenvolver ainda mais no futuro. Essa evolução tecnológica vem com um preço, no entanto. As ameaças cibernéticas aumentam exponencialmente à medida que os dispositivos e sistemas médicos se tornam digitais e conectados.

Os ataques cibernéticos no setor de saúde aumentaram consistentemente ano após ano. Um dos piores aumentos nos ataques foi em 2022, que registrou um aumento de 86% no número de ataques semanais em comparação com 2021.

Em resposta ao agravamento da situação de segurança cibernética, os governos têm tentado intervir. Tem havido esforços sérios para tentar fechar tantas brechas quanto a regulamentação do governo permite.

Regulação crescente de dispositivos médicos

Um dos exemplos mais recentes do reconhecimento da necessidade de regulamentação de dispositivos médicos é o projeto de lei aprovado pelo Congresso dos Estados Unidos pouco antes do final de 2022. Inclui disposições que obrigam as empresas que fabricam dispositivos médicos conectados à Internet a garantir a segurança de seus produtos. O projeto de lei fornece à autoridade de saúde e serviços humanos o poder de emitir requisitos e regulamentos relevantes para a segurança cibernética de dispositivos médicos conectados.

Outros países também têm regulamentos ou propostas semelhantes para proteger dispositivos médicos conectados. A União Europeia tem sua Lei de Resiliência Cibernética, que exige requisitos de segurança cibernética para produtos IoT, incluindo dispositivos médicos.

O Ministério da Saúde, Trabalho e Bem-Estar do Japão (MHLW) atualizou seus regulamentos para dispositivos médicos no início de 2022 para enfatizar a segurança cibernética. Enquanto isso, o Centro de Avaliação de Dispositivos Médicos (CMDE) da China tem novos “princípios orientadores” para software médico usado em 18 categorias de produtos.

O Reino Unido também está trabalhando em um novo projeto de lei chamado Product Security and Telecommunications Infrastructure Bill , que visa verificar a segurança cibernética de vários dispositivos habilitados para web, incluindo aqueles usados ​​na área da saúde.

Espera-se que mais governos aprovem novas legislações e regulamentos ou atualizem os existentes para refletir os novos desafios da segurança cibernética. Contar com as iniciativas de organizações privadas parece não ser mais uma opção.

Houve várias iniciativas, incluindo colaborações governamentais e privadas para lidar com ameaças cibernéticas emergentes, mas elas não parecem suficientes para acompanhar as várias maneiras pelas quais os agentes de ameaças exploram as vulnerabilidades à medida que as superfícies de ataque se expandem com o aumento da digitalização e conectividade em muitos aspectos do mundo. indústria médica e de saúde .

Justificativas para o aumento da regulamentação

Uma das razões pelas quais a regulamentação de dispositivos médicos foi inserida no projeto de lei de dotações de 2022 dos Estados Unidos é o aumento de vulnerabilidades em dispositivos médicos. Em dezembro do ano passado, o FBI alertou sobre centenas de vulnerabilidades descobertas em dispositivos médicos amplamente utilizados, que criam oportunidades para ataques cibernéticos.

“Atores de ameaças cibernéticas que exploram vulnerabilidades de dispositivos médicos afetam negativamente as funções operacionais das instalações de saúde, segurança do paciente, confidencialidade e integridade dos dados”, observa o alerta do FBI. Especificamente, a agência federal citou as deficiências de segurança em desfibriladores intracardíacos, marca-passos, bombas de insulina, telemetria cardíaca móvel e bombas para alívio da dor.

A intervenção do governo é necessária porque a maioria dos problemas de segurança cibernética em dispositivos médicos não está dentro da capacidade e experiência dos usuários de consertar. A maioria dos dispositivos é implantada e usada por várias décadas sem que os usuários examinem regularmente suas configurações e firmware.

Muitos dispositivos são enviados para instalações médicas com configurações padrão para implantação imediata. Eles são então usados ​​por hospitais por vinte a trinta anos. Isso cria oportunidades generosas para que os agentes de ameaças procurem meticulosamente por vulnerabilidades ou aguardem falhas de atualização de software que podem criar janelas para invasão.

Resolver esse risco é melhor abordado pelos próprios fabricantes de dispositivos. Assim, faz mais sentido exigir que os fabricantes implementem medidas de segurança para proteger esses dispositivos de uso prolongado.

Por outro lado, há a questão de os dispositivos legados se tornarem uma séria ameaça à segurança cibernética. Um estudo estima que quase três quartos dos dispositivos médicos em todo o mundo ainda usam sistemas operacionais legados. Este é um grande risco, especialmente para dispositivos que podem afetar diretamente a saúde e a vida das pessoas. Novamente, isso é algo melhor abordado pelos fabricantes, e a regulamentação é a única maneira de obrigar os fabricantes de dispositivos a serem responsáveis.

Além disso, o aumento da regulamentação é justificado porque as parcerias público-privadas de segurança cibernética tendem a ser insuficientes. O consultor do Stanford Cyber ​​Policy Center, Jim Dempsey, cita o infame incidente do Colonial Pipeline em 2021 como prova de que os governos poderiam fazer mais para reforçar a segurança cibernética em meio à inadequação da cooperação público-privada em segurança cibernética.

Além disso, a regulamentação garante que os dispositivos médicos disponíveis no mercado sejam seguros. Em vez de depender de fatores econômicos para forçar os fabricantes a se tornarem mais competitivos, oferecendo produtos melhores e mais seguros, os governos podem intervir e garantir que apenas produtos seguros e protegidos sejam disponibilizados. Os fabricantes podem competir em outras áreas, como os recursos e a longevidade dos dispositivos que estão oferecendo.

Desvantagens do aumento da regulamentação

Há críticas sensatas contra o aumento da regulamentação em nome da segurança cibernética. Uma delas é a possibilidade de tornar as organizações menos flexíveis, limitando sua capacidade de responder a ataques específicos e inovar para se tornarem melhores no tratamento de ameaças cibernéticas.

Além disso, os custos de conformidade podem ser onerosos, o que pode fazer com que algumas organizações se concentrem apenas em cumprir os regulamentos, em vez de realmente fortalecer sua postura de segurança.

Alguns também atacam a falta de experiência e incompetência dos legisladores ou formuladores de políticas que pressionam por regulamentações. Os requisitos impostos podem não resolver os problemas reais, especialmente com todo o lobby corporativo envolvido. A parte de regulamentação de dispositivos médicos no projeto de lei de apropriações de 2022 dos EUA, por exemplo, foi supostamente adulterada ou reduzida a uma forma menos potente por causa do lobby.

O projeto de lei aprovado na Câmara tem uma definição mais ampla que pode ter qualquer um destes três atributos: a presença de software ou firmware, a capacidade de se conectar à internet e a vulnerabilidade a ameaças de segurança cibernética. A versão aprovada no Senado, porém, limita a definição à inclusão dos três atributos, e não apenas de um deles. Isso basicamente reduz o número de dispositivos cobertos pela legislação.

Além disso, há dúvidas levantadas sobre a capacidade dos governos de proteger adequadamente os dados privados e confidenciais que podem ser coletados durante o cumprimento da regulamentação. Governos de todo o mundo documentaram histórias de incompetência em lidar com dados privados e de serem atacados por ataques cibernéticos agressivos que levam a paralisações do sistema.

A NECESSIDADE DE REGULAMENTAÇÃO

Se a tecnologia médica está avançando, não basta que a tecnologia de segurança cibernética também esteja avançando para acompanhar as novas ameaças? As empresas de segurança apresentam regularmente novas soluções para lidar com ameaças emergentes.

Por que há necessidade de regulamentação se for esse o caso? A resposta é simplesmente que existem vulnerabilidades que não podem ser resolvidas adequadamente apenas pelos usuários do dispositivo, especialmente para aqueles envolvidos no campo da saúde. Eles têm recursos limitados e são mais propensos a gastar esses recursos em seus serviços principais, em vez de aumentar suas equipes de TI e segurança cibernética.