שטרות ההוצאות של האומניבוס של הרגע האחרון הם צנצנות הממתקים של קפיטול היל. הצעות החוק הללו, שמגלגלות 12 חודשים של חקיקה באיחור בסוף השנה, ממולאות לעתים קרובות ב"חזיר" - ממתיקים פוליטיים עבדו ברגע האחרון כדי לעודד את הבוחרים המקומיים של פוליטיקאים. עם זאת, הם יכולים לפעמים להפעיל צעדים שאחרו זה מכבר, שאחרת עלולים להיעלם על הגבעה.
בדצמבר האחרון, 1.7 מיליארד דולר חוק ההקצאות המאוחדות (CAA) כללה מרכיב קריטי: חקיקה שתאלץ סוף סוף את יצרני המכשור הרפואי להישאר בטופ של אבטחת הסייבר לאחר שהמכשירים שלהם יעזבו את המדפים.
סעיף 3305 של CAA תיקן את חוק המזון, התרופות והקוסמטיקה הפדרלי על ידי הוספת סעיף 542B, 'הבטחת אבטחת סייבר של מכשירים רפואיים'. תקנה חדשה זו חלה על כל מכשיר מכוסה ב-FDA שמתחבר לאינטרנט ועלול להיות פגיע לבעיות אבטחת סייבר.
גישה מתמשכת לאבטחת סייבר
חלק מהלשון בחוק החדש מגיע ממערכת חוקים מחייבת שפלסדה את דרכה בקונגרס. חוק ההגנה והשינוי של שירותי בריאות הסייבר (PATCH), שהוצא במרץ 2022, ניסה לחוקק בקרות אבטחת סייבר עבור מכשירים רפואיים.
מהדהד את חוק ה-PATCH, החוק החדש מאלץ את יצרני המכשור הרפואי לתת לסוכנות תוכנית לניטור, זיהוי וטיפול בפרצות אבטחת סייבר לאחר השקת המכשירים.
יצרני מכשירים חייבים גם לאמץ תוכנית מתואמת לגילוי פגיעות. המשמעות היא שהם לא יכולים עוד לטאטא חרקים מתחת לשטיח על ידי התעלמות מהם או מהחוקרים שמגדלים אותם.
הספקים חייבים גם להציע קובץ תוכנה (SBOM) המפרט באילו רכיבי תוכנה המכשיר משתמש, בהנהון גדול מה-FDA לאבטחת שרשרת האספקה.
מזכיר ה-FDA חייב לעדכן את הנחיות הסוכנות לגבי הגשות אבטחת סייבר לפני השוק עבור מכשירים רפואיים תוך שימוש במשוב מבעלי עניין, כולל יצרנים וספקי שירותי בריאות. ה-FDA חייב גם לפרסם מידע ומשאבים על שיפור אבטחת הסייבר של מכשירים רפואיים מדי שנה.
משרד האחריות של ממשלת ארה"ב (GAO) יפרסם גם דו"ח שנתי המפרט את החסמים שחוו בעלי עניין בהבטחת תמיכת הממשלה הפדרלית לשיפור אבטחת הסייבר של מכשירים.
השפה של CAA היא לא הראשונה שדורשת מאמץ מסוים לאבטחת סייבר מספקי מכשירים. ל-FDA כבר יש תקנת מערכת איכות (QSR) המחייבת גישה מבוססת סיכונים לאבטחת סייבר מיצרני המכשירים, כלומר עליהם לזהות את הסבירות וההשפעה של סיכוני סייבר.
ה-QSR מגיע רק עד כה. על ידי תיאור ספציפי של תוכנית תיקון אבטחת הסייבר המתמשכת לאחר השחרור, החוק החדש מאלץ גישה מתמדת לאבטחת סייבר במקום גישה של 'אש ושכח' המעידה רק על אבטחת המכשיר בנקודת זמן אחת.
שנים של לחימה למען אבטחת סייבר
החוק, שנכנס לתוקף ב-29 במרץ 2023, הוא שיאה של יוזמה ארוכה בנושא אבטחת סייבר מכשירים של ה-FDA. זה מתוארך לשנת 2005 כאשר הסוכנות פרסמה הדרכה על טיפול במכשירים ברשת המכילים תוכנת מדף מסחרית. בשנת 2014, היא פרסמה את ההנחיה הספציפית הראשונה שלה בנושא תכנון ותיעוד אמצעי אבטחת סייבר עבור מכשירים לאחר מכירה. זה עדכן את זה ב-2018.
ואז, באפריל 2022, הוא פורסם סט נוסף של טיוטת הנחיות אבטחת סייבר על הגשות לאישור קדם-שוק שהחליפו את מסמך 2018. מסמך זה קרא גם לכתב חומרי תוכנה למעקב אחר רכיבי צד שלישי. הוא המליץ על מסגרת פיתוח מוצר מאובטח להפחתת פגיעויות אבטחה ויכולות עדכון מובנות עבור מכשירים.
אמנם המאמצים של הסוכנות זכו לשבח, אך הנחיות ה-FDA שלה לגבי אבטחת מכשירים עד כה היו וולונטריות, מה שאומר בדרך כלל שהציות בתעשייה יהיה נקודתי.
מומחים שעבדו עבור ה-FDA טענו שאבטחת סייבר הייתה מאבק עלייה עבור הסוכנות. לא היה לה אפילו אדם אחד המוקדש לעמוד בראש פונקציית אבטחת הסייבר עד תחילת 2021, כאשר היא יצרה תפקיד חדש במרכז שלה למכשירים ובריאות רדיולוגית. פרופסור לאבטחת סייבר קווין פו מילא את תפקיד המנהל בפועל של אבטחת סייבר במכשור רפואי בהשאלה מאוניברסיטת מישיגן למשך שנה.
ביוני 2022, לאחר שעזב את התפקיד, פו מוזהר כי ל-FDA חסר צוות או תקציב ייעודי להתמודדות עם בעיית אבטחת הסייבר ההולכת וגוברת.
מה הלאה
ה-FDA אמר שהוא לא יסרב תחילה למכשירים רק על בעיות עם סעיף 542B, ומעדיף לעבוד עם ספקים בבדיקה. עם זאת, לאחר 1 באוקטובר 2023, היא תניח שלספקים היה מספיק זמן להכין את תיעוד אבטחת הסייבר שלהם לפני השוק, וישמרו לעצמם את הזכות לסרב לקבל מכשיר אם התיעוד לא יעבור את הגיוס.
הדרישות לא יחולו על מכשירים קיימים, ויתמקדו רק בהגשות חדשות. המשמעות היא שמכשירים שהוצגו לפני סוף מרץ השנה יכולים להמשיך לפעול במשך שנים מבלי לדרוש תוכניות עדכון אבטחת סייבר, במיוחד אם בתי חולים יראו לנכון לשפץ אותם כדי להזיע את נכסיהם.
התקנות המסדירות ציוד אבטחת סייבר הן רק לעתים רחוקות רטרואקטיביות, ולכן המעבר החופשי לערכות בשטח הוא צפוי. עם זאת, זהו צעד גדול בהטלת אחריות על ספקי מכשירים לאבטחת המכשירים שלהם.
הייתם מקווים שספקים היו אחראים לעצמם, אבל אבוי, לא. בשנה שעברה, ה-FBI מוזהר על מגפה של מכשירים רפואיים לא מתוקנים ולא מאובטחים. הלשכה הזהירה כי מכשירים אלה, כולל כל דבר ממשאבות אינסולין ועד קוצבי לב, עלולים להיפרץ כדי לסכן את בריאות המטופל. הוא אמר שלמעלה מארבעה מכשירים מתוך עשרה שהגיעו לסוף חייהם עדיין לא היו תיקוני אבטחה או שדרוגים.
לגרום לספקים לקחת זאת ברצינות היא רק חצי מהאתגר. השני גורם לספקי שירותי בריאות להדביק מדבקות כשהן יהיו זמינות. בקושי שליש של ספקי שירותי בריאות יודעים היכן נמצאים כל המכשירים שלהם או מתי סוף חייהם נופל. גם אם כן, תיקון ציוד רגיש לשמר חיים הוא תהליך מאתגר. ובכל זאת, צעד אחד קטן עדיף על אף אחד בכלל, אנחנו מניחים.
