Eventi di sicurezza informatica come l'attacco ransomware NotPetya del 2016 tendono ad arrivare con esplosioni di confusione e preoccupazione, ma il duro lavoro di mitigazione dei rischi per la sicurezza informatica nella tecnologia sanitaria è incorporato nella routine quotidiana dell'industria della tecnologia medica, dicono gli addetti ai lavori.

La Food and Drug Administration richiede alle aziende di dispositivi medici di pianificare la sicurezza informatica nelle prime fasi della progettazione, e per monitorare le nuove vulnerabilità molto tempo dopo che i dispositivi sono stati spediti ai clienti. Ma gli addetti ai lavori affermano che le aziende non sono uniformi nelle loro capacità e volontà di affrontare il problema e parlarne apertamente, che può ostacolare il progresso.

Ora il gruppo commerciale di tecnologia medica con sede a Washington AdvaMed sta creando un nuovo strumento di comunicazione per le aziende med-tech noto come "organizzazione di condivisione e analisi delle informazioni, " o ISAO (pronunciato "I-sow") che consentirà agli esperti di med-tech dalla mentalità tecnica di scambiarsi suggerimenti e analisi dei problemi in corso.

La notizia dell'imminente creazione dell'ISAO arriva mentre la FDA sta finalizzando un aggiornamento alla sua guida quinquennale sulle cose che i produttori di dispositivi devono fare sul fronte della sicurezza informatica prima di chiedere il permesso di commercializzare i loro dispositivi negli Stati Uniti.

Conosciuta come la guida alla presentazione "premarket", la bozza di 24 pagine delle nuove regole enuncia compiti e obiettivi specifici, come lavorare per prevenire l'accesso non autorizzato e proteggere i dati sensibili. (I commenti pubblici sulla guida prima della sua finalizzazione sono previsti per lunedì.)

"Questi documenti ... non si limitano a trasmettere 'guida' che un produttore può scegliere di seguire, "Zach Rothstein, vicepresidente della tecnologia e degli affari normativi presso AdvaMed, ha detto in una teleconferenza con i giornalisti giovedì. "Un produttore non può scegliere di ignorare i documenti. Se lo facesse, La FDA probabilmente non esaminerebbe la presentazione pre-mercato, o nell'impostazione post-market la FDA potrebbe intraprendere un'azione esecutiva".

Partecipare a un ISAO è un modo in cui un'azienda di tecnologia medica può dimostrare alle autorità di regolamentazione e al pubblico che prende sul serio la sicurezza informatica.

La guida alla sicurezza informatica post-market della FDA, emanato nel 2016, afferma che i produttori dovrebbero correggere le vulnerabilità incontrollate della sicurezza informatica il più rapidamente possibile, e segnalarli alla FDA. Però, se il produttore risolve il problema, lo comunica al suo ISAO, e la vulnerabilità non ha portato alla morte o a gravi problemi di salute, quindi l'azienda può evitare di segnalare il problema alla FDA, secondo le regole del 2016.

Rothstein ha affermato che AdvaMed ISAO sarà come un normale forum online, tranne che avrà una forte sicurezza e i suoi utenti saranno limitati agli esperti di sicurezza informatica che hanno accettato di non condividere informazioni riservate al di fuori del forum.

Il gruppo aiuterà gli esperti a confrontare le note in tempo reale. Ma svolgerà anche una funzione importante per le aziende più piccole che potrebbero avere difficoltà a fornire le competenze di sicurezza informatica di cui hanno bisogno.

"Probabilmente non è una sorpresa sapere che più piccola è l'azienda di dispositivi medici, più è difficile per loro assumere, conservare e pagare per le competenze in materia di sicurezza informatica, " ha detto Rothstein. "Parte di ciò che stiamo usando l'ISAO per fare è fornire quel tipo di istruzione (per) le nostre medie dimensioni, aziende di piccole dimensioni».

©2019 Star Tribune (Minneapolis)
Distribuito da Tribune Content Agency, LLC.