Seiring dengan perkembangan teknologi yang pesat, keamanan siber menjadi sangat diperlukan di banyak industri. Seiring dengan risiko serangan siber yang merambah industri perawatan kesehatan, Kongres A.S. ditekan untuk mengambil tindakan. Seiring dengan perkembangan berbagai perangkat medis - pompa infus, mesin MRI, monitor detak jantung - yang dapat terhubung ke jaringan digital, perangkat-perangkat tersebut semakin rentan terhadap risiko terkait dunia maya.
Risiko keamanan siber terus meningkat
Beberapa faktor berkontribusi pada meningkatnya ancaman keamanan siber terhadap perangkat medis. Yang paling utama adalah masuknya konektivitas dalam industri medis. Semakin banyak perangkat medis yang dirancang untuk terhubung ke Internet dan jaringan digital lainnya. Meskipun ada banyak sisi positif dari kemajuan teknologi ini, namun hal ini membuka perangkat lunak - dan dengan itu, data pasien - ke dunia yang penuh risiko. Peretas dapat mengeksploitasi kerentanan dalam perangkat lunak atau koneksi jaringan untuk mendapatkan akses ke data sensitif, atau bahkan mengambil alih perangkat itu sendiri. Dalam kasus ini, penarikan produk bisa sangat berbahaya bagi nyawa pasien karena penggunaan perangkat secara terus menerus bukanlah suatu pilihan.
Konsep remediasi juga harus dipertimbangkan. Terkadang, perangkat yang terhubung dapat diperbaiki dengan patch perangkat lunak melalui udara. Mengingat sifat beberapa perangkat dan kekritisannya terhadap kesehatan pasien, baik patch perangkat lunak maupun penarikan kembali bukanlah solusi yang sederhana. Ada juga pertimbangan peralatan dan peralatan tugas berat yang dipasang di rumah sakit dan pusat kesehatan yang tidak dapat dengan mudah dipindahkan dari lokasi fisiknya; pemindai MRI, mesin sinar-X dan ultrasound, dan masih banyak lagi. Ketika perangkat ini semakin terhubung ke jaringan rumah sakit, mereka juga menjadi rentan terhadap ancaman siber. Jika ini tidak dapat diperbaiki dari jarak jauh dengan tambalan perangkat lunak, maka biasanya diperlukan pengerahan teknisi lapangan untuk memeriksa, mendiagnosis, dan memperbaiki di tempat.
Kemungkinan penarikan kembali tidak hanya bergantung pada insiden yang sebenarnya, tetapi juga pada kerentanan terhadap serangan siber. Pengujian kerentanan pre-emptive memainkan peran penting dalam mengidentifikasi kelemahan dalam struktur keamanan perangkat ini, membantu mengurangi timbulnya insiden sebelum terjadi. Melalui penilaian yang berkelanjutan - dan remediasi terhadap paparan yang ditemukan - penyedia layanan kesehatan dan produsen dapat meningkatkan keamanan siber secara keseluruhan dari peralatan medis yang penting, mengurangi risiko bahaya bagi pasien dan pelanggaran data.
Regulator perangkat medis bergegas untuk mengikuti perkembangan teknologi yang berkembang pesat. Meskipun demikian, belum ada peraturan keamanan yang terstandardisasi di seluruh industri. Akibatnya, produsen tidak dapat mendesain produk dengan sistem keamanan yang tangguh, dan menyerahkan tanggung jawab kepada penyedia layanan kesehatan untuk melakukan yang terbaik dalam mengevaluasi keamanan perangkat mereka. Banyak perangkat medis yang dibangun di atas sistem lama yang tidak dirancang sesuai dengan standar keamanan modern. Sistem ini mungkin sangat rentan terhadap serangan siber dan lebih sulit - dan mahal - untuk diperbarui untuk melindungi dari ancaman modern.
Kongres mengalokasikan dana keamanan siber
Hingga disahkannya undang-undang baru-baru ini, Badan Pengawas Obat dan Makanan AS (FDA) tidak memiliki wewenang untuk menegakkan pedoman keamanan siber. RUU yang ditandatangani menjadi undang-undang pada Desember 2022 yang disebut Consolidated Appropriations Act, 2023 (H.R. 26217) - yang memiliki sumber daya diskresioner sebesar $1,7 triliun selama tahun fiskal, tingkat pendanaan nonpertahanan tertinggi dalam sejarah Amerika - memiliki potensi paling nyata untuk mengekang ancaman keamanan siber. RUU alokasi omnibus ini penuh dengan pendanaan untuk program pemerintah dan pembangunan ekonomi seperti pembangunan pedesaan dan infrastruktur, konservasi, kesehatan hewan dan tumbuhan, penelitian pertanian dan pemasaran, dan banyak lagi.
Di antaranya, $3,5 miliar dialokasikan ke FDA untuk mengatasi berbagai masalah termasuk krisis opioid, masalah rantai pasokan medis, dan ya - meningkatkan keamanan siber perangkat medis. Selain itu, untuk pertama kalinya FDA juga diberi wewenang untuk menetapkan dan menegakkan standar keamanan siber untuk perangkat medis.
Bagaimana Undang-Undang Alokasi Konsolidasi dapat membantu
Consolidated Appropriations Act berisi beberapa ketentuan yang menargetkan keamanan siber perangkat medis, sekaligus meningkatkan otoritas regulasi FDA.
Pertama, persyaratan keamanan akan diterapkan pada tingkat federal yang belum pernah terjadi sebelumnya. Produsen akan diminta untuk menerapkan kontrol keamanan yang mencegah akses tidak sah ke perangkat, memastikan perangkat medis dapat diakses di tengah serangan siber, dan melindungi kerahasiaan dan data pasien. Setiap produsen akan diminta untuk menyerahkan rencana keamanan siber yang komprehensif kepada FDA untuk ditinjau guna mendapatkan persetujuan pra-pasar yang akan merinci prosedur mereka untuk memastikan pembaruan perangkat lunak dan firmware pasca-pasar tersedia bagi konsumen.
Langkah-langkah tersebut juga akan membutuhkan peningkatan transparansi dan akuntabilitas dari produsen. Kini, produsen harus melaporkan insiden keamanan siber kepada FDA (serta pasien yang terdampak) dalam jangka waktu tertentu dan memberikan informasi terbaru mengenai kemajuan upaya remediasi dan rencana untuk mencegah terjadinya insiden serupa.
Penarikan produk dan masalah remediasi akibat ancaman siber sering terjadi, dan karena lembaga-lembaga (seperti FDA) semakin sering menyuarakan kritik mereka terhadap keputusan produsen secara terbuka, produsen harus mengikuti aturan yang berlaku untuk mencegah reaksi keras dari publik. Akibatnya, ada lebih banyak insentif untuk mengikuti saran para ahli untuk membuat rencana penarikan dan remediasi yang mencakup cara merespons krisis terkait produk. Produsen juga disarankan untuk melakukan latihan penarikan produk sebagai bagian dari protokol manajemen risiko.
Beberapa ketentuan tidak hanya menargetkan produsen perangkat medis - seperti salah satu ketentuan utama yang membentuk pusat baru di dalam FDA yang didedikasikan untuk meningkatkan dan mengoordinasikan upaya keamanan siber untuk perangkat medis. Pusat Keunggulan Keamanan Siber akan mengembangkan dan menerapkan standar dan praktik terbaik, memberikan panduan kepada produsen dan penyedia layanan kesehatan, serta mengevaluasi keamanan perangkat. Yang terpenting, hal ini akan menjembatani produsen dan pemerintah federal untuk menciptakan jalan ke depan dalam mengatasi masalah keamanan siber di industri perangkat medis.
Ketentuan lainnya mendorong pembagian informasi dan kerja sama di antara para pemangku kepentingan; FDA akan diminta untuk membangun kemitraan publik-swasta untuk mempromosikan keamanan siber di dalam industri. FDA juga akan diwajibkan untuk membuat program percontohan baru yang dirancang untuk menilai pelaporan kerentanan keamanan siber dan memberikan data penting mengenai risiko kepada badan tersebut.
Dampak yang diproyeksikan
Sekarang FDA, produsen, dan penyedia layanan kesehatan akan diminta untuk bekerja bersama-sama, masalah yang melibatkan kurangnya kejelasan atau masalah transparansi pada akhirnya dapat diselesaikan. Di pihak produsen, dengan adanya persyaratan untuk merinci informasi keamanan siber dalam laporan penarikan, memastikan standar keamanan tingkat tinggi, dan melaporkan informasi kepada badan tersebut, FDA dan penyedia layanan kesehatan akan memiliki banyak informasi untuk lebih memahami risiko keamanan siber yang terkait dengan perangkat medis.
Sebaliknya, dengan mewajibkan FDA untuk memberikan panduan mengenai tinjauan pascapasar, membuat pusat khusus untuk mengembangkan standar, dan membuat program percontohan yang menargetkan kerentanan, produsen (dan penyedia layanan kesehatan) akan mendapatkan pengetahuan bermanfaat yang dapat membantu memperbaiki area masalah dan menurunkan risiko penarikan produk.
Ketika perangkat medis membahayakan pasien, tindakan cepat menjadi sangat penting. Selain kesehatan pasien, penarikan perangkat medis dapat berdampak buruk terhadap merek dan keuntungan perusahaan, serta membuat perusahaan terbuka terhadap tindakan regulasi dan litigasi. Pakar perlindungan merek Sedgwick memiliki pengalaman puluhan tahun di bidang perangkat medis - membantu Anda mengembangkan, meningkatkan, menguji, dan melaksanakan rencana penarikan produk atau prosedur remediasi.
Pelajari lebih lanjut > kunjungi situs web kami untuk menjelajahi pengalaman kami di sektor perangkat medis
Tags: dunia maya, risiko siber, keamanan siber, Data, kesehatan, kesehatan dan keselamatan, masalah kesehatan, Perawatan medis, klaim medis, obat-obatan, Keselamatan, Keamanan