Los eventos de ciberseguridad como el ataque de ransomware NotPetya de 2016 tienden a llegar en ráfagas de confusión y preocupación, pero el arduo trabajo de mitigar los riesgos de ciberseguridad en la tecnología de atención médica está integrado en la rutina diaria de la industria de la tecnología médica, dicen los conocedores.

La Administración de Alimentos y Medicamentos requiere que las empresas de dispositivos médicos planifiquen la ciberseguridad en las primeras etapas de diseño, y monitorear nuevas vulnerabilidades mucho después de que los dispositivos se hayan enviado a los clientes. Pero los conocedores de la industria dicen que las empresas son desiguales en sus habilidades y voluntad para abordar el problema y hablar sobre él abiertamente. lo que puede obstaculizar el progreso.

Ahora, el grupo comercial de tecnología médica con sede en Washington, AdvaMed, está creando una nueva herramienta de comunicación para las empresas de tecnología médica conocida como "organización de análisis e intercambio de información". "o ISAO (pronunciado" I-sow ") que permitirá a los expertos en tecnología médica con mentalidad técnica intercambiar consejos y análisis de problemas en curso.

La noticia de la inminente creación de ISAO se produce cuando la FDA está finalizando una actualización de su guía de cinco años sobre las cosas que los fabricantes de dispositivos deben hacer en el frente de la ciberseguridad antes de pedir permiso para comercializar sus dispositivos en los EE. UU.

Conocida como la guía de envío "previa a la comercialización", el borrador de 24 páginas de las nuevas reglas detalla tareas y objetivos específicos, como trabajar para evitar el acceso no autorizado y proteger los datos confidenciales. (Los comentarios públicos sobre la guía antes de su finalización vencen el lunes).

"Estos documentos ... no transmiten simplemente 'orientación' que un fabricante puede optar por seguir, "Zach Rothstein, vicepresidente de tecnología y asuntos regulatorios de AdvaMed, dijo en una conferencia telefónica con periodistas el jueves. "Un fabricante no puede optar por ignorar los documentos. Si lo hicieran, Es probable que la FDA no revise la presentación previa a la comercialización, o en el contexto posterior a la comercialización, la FDA podría tomar medidas de cumplimiento ".

Participar en una ISAO es una forma en que una empresa de tecnología médica puede mostrar a los reguladores y al público que se toma en serio la ciberseguridad.

La guía de ciberseguridad posterior a la comercialización de la FDA, promulgada en 2016, dice que los fabricantes deberían corregir las vulnerabilidades de ciberseguridad no controladas lo más rápido posible, e informarlos a la FDA. Sin embargo, si el fabricante soluciona el problema, lo divulga a su ISAO, y la vulnerabilidad no ha provocado la muerte o problemas de salud graves, entonces la empresa puede evitar informar el problema a la FDA, bajo las reglas de 2016.

Rothstein dijo que AdvaMed ISAO será como un foro en línea regular, excepto que tendrá una seguridad sólida y sus usuarios estarán restringidos a expertos en ciberseguridad que hayan acordado no compartir información confidencial fuera del foro.

El grupo ayudará a los expertos a comparar notas en tiempo real. Pero también cumplirá una función importante para las empresas más pequeñas que pueden tener dificultades para permitirse la competencia en ciberseguridad que necesitan.

"Probablemente no sea una sorpresa escuchar que cuanto más pequeña es la empresa de dispositivos médicos, cuanto más les cuesta contratar, retener y pagar por la experiencia en ciberseguridad, ", Dijo Rothstein." Parte de lo que estamos usando ISAO para hacer es brindar ese tipo de educación (para) nuestra mediana empresa, empresas de menor tamaño ".

© 2019 Star Tribune (Minneapolis)
Distribuido por Tribune Content Agency, LLC.