ה-FDA פרסם תקנות אבטחת מידע להתקנים רפואיים
התקנים רפואיים חכמים ומוסדות רפואיים נמצאים בסיכון גבוה להתקפות סייבר, כעת מנהל המזון והתרופות בארה"ב מפרסם קובץ שמפרט את אחריות היצרנים להילחם ולמנוע מקרים כאלה
מנהל המזון והתרופות האמריקאי פרסם אתמול (ג') קובץ תקנות סייבר לפיקוח על יישום נהלי אבטחת מידע במכשור רפואי. זו הפעם הראשונה שה-FDA מפרסם קובץ מפורט שכזה. ב-2014 פרסם המנהל תקנות שנוגעות לדרכים בהן היצרנים אמורים לדאוג לאבטחת המכשור, אולם הקובץ הנוכחי מתייחס גם לדרישות הבטיחות לאחר שהמכשירים עזבו את המפעל ונמצאים בשימוש שוטף.
- מדיניות הסייבר של סין עולה מדרגה: נשבעת להגן על המידע שלה בכל דרך
- מחקר אמריקאי: 70% מהעסקים שנפגעו מנוזקות כופר משלמים אותו
- מיליארד חשבונות יאהו נפרצו: האם גם שלכם ביניהם?
המודעות לבעיית אבטחת המידע בהתקנים רפואיים התעוררה כבר לפני כעשור, בעקבות סדרה של מקרים ותקלות, החל מגילוי פרצות במשאבות תרופות, אינסולין, קוצבי לב ומכשירי דפיברילציה וכלה בתקיפות של מוסדות רפואה בנוזקות כופר. זכור המקרה של דיק צ'ייני, שניתק את קוצב הלב שלו מחשש שהאקרים יפרצו אליו במהלך כהונתו כסגן נשיא ארה"ב.
הבעיה העיקרית שעמדה עד היום בפני היצרנים הייתה שהם לא יכלו לעדכן את המכשירים באופן שוטף מבלי לקבל על כך אישור מה-FDA בהליך שהיה יכול לקחת זמן רב. כעת, אישר המנהל ליצרנים לבצע עדכונים שוטפים ותיקוני באגים ללא צורך בקבלת אישור, כל מה שנדרש הוא להודיע על העדכון למשתמשים תוך כחודש מגילוי הבעיה, לספק את העדכון תוך כ-60 יום ולהודיע על כך במערכת מידע ציבורית.
עם זאת, ה-FDA הזהיר שהחברות כן ייאלצו לדווח על באגים או תקיפות שגרמו לנזק או למוות של המטופל. פרסום התקנות עשוי לאפשר סוף סוף התייחסות לנושא הפריצות למתקנים והתקנים רפואיים - ה-FDA גם הודיע שמדובר רק בצעד ראשון ושהמהלך ימשיך בשנים הקרובות.
בישראל, עובד משרד הבריאות כבר יותר משנתיים על מסמך דומה. עם זאת, עד היום אין שום רגולציה רשמית בנושא. תחום אבטחת המידע נתון עדיין לשיקול דעתם של המוסדות השונים ואין שום בקרה על יישום המלצות כאלה ואחרות. יש לקוות שעם פרסום המסמך האמריקאי גם משרד הבריאות יקדם את תהליך התקינה בארץ.