Noticias y Alertas
Header

Y la seguridad en la SALUD? (#6)

junio 9th, 2017 | Posted by kwelladm in Publicaciones | Salud

Tal como mencionamos en un artículo previo, Suzanne B. Schwartz, M.D., M.B.A. (FDA’s Associate Director for Science and Strategic Partnerships, at the Center for Devices and Radiological Health), comenta en el Blog:

La protección de los dispositivos médicos contra amenazas cambiantes de ciberseguridad requiere un enfoque de ciclo de vida completo que comienza con el desarrollo temprano del producto y se extiende a lo largo de toda la vida útil del producto.

Este comentario lo hizo cuando el 28.12.2016 anunció el lanzamiento del documento que publicamos en el artículo pasado y en el cual la FDA se hace parte de los problemas de la Ciberseguridad en la Salud y en especial en los dispositivos médicos que se utilizan.

Recordemos que la anterior guía se remotaba al 2014!, en tres años corrió muchísima agua bajo el puente….

Como resumen de la guía, la doctora comenta:

“….Para entender por qué esta guía es tan importante para los pacientes, los cuidadores y la comunidad de dispositivos médicos, necesitamos dar un paso atrás y ver cómo encaja la ciberseguridad en el ecosistema de dispositivos médicos.

En el mundo actual de los dispositivos médicos que están conectados a la red de un hospital o incluso al propio servicio de Internet del paciente en casa, vemos avances tecnológicos significativos en la atención al paciente y, al mismo tiempo, un aumento del riesgo de violaciones de la ciberseguridad que podrían afectar a la perfomance o disponibilidad de esos Dispositivos.

La mejor manera de combatir estas amenazas es que los fabricantes consideren la ciberseguridad en todo el ciclo de vida total del producto de un dispositivo. En otras palabras, los fabricantes deben construir controles de seguridad cibernética cuando diseñen y desarrollen el dispositivo para asegurar el desempeño adecuado del dispositivo frente a las amenazas cibernéticas y luego deben monitorear y resolver continuamente los problemas de seguridad cibernética una vez que el dispositivo esté en el mercado y sean utilizados por los pacientes.

Las guías de postmercado de hoy reconocen la realidad actual: las amenazas de seguridad cibernética son reales, siempre presentes y cambian continuamente. De hecho, las redes hospitalarias experimentan constantes intentos de intrusión y ataque, lo que puede suponer una amenaza para la seguridad del paciente. Y a medida que los hackers se vuelven más sofisticados, estos riesgos de seguridad cibernética evolucionarán.

Con esta guía, ahora tenemos un esquema de pasos que la FDA recomienda a los fabricantes tomar para permanecer vigilantes y abordar continuamente los riesgos de seguridad cibernética de los dispositivos médicos comercializados. El punto central de estas recomendaciones es la creencia de la FDA de que los fabricantes de dispositivos médicos deben implementar un programa estructurado e integral para manejar los riesgos de seguridad cibernética. Esto significa que los fabricantes deben, entre otras cosas:

  • Tener una manera de monitorear y detectar vulnerabilidades de seguridad cibernética en sus dispositivos
  • Comprender, evaluar y detectar el nivel de riesgo que una vulnerabilidad plantea a la seguridad del paciente
  • Establecer un proceso para trabajar con investigadores de ciberseguridad y otras partes interesadas para recibir información sobre vulnerabilidades potenciales (conocida como “política coordinada de divulgación de vulnerabilidades”)
  • Implementar mitigaciones (por ejemplo, parches de software) para abordar temprano los problemas de ciberseguridad, antes de que puedan ser explotados y causar daño.

Este enfoque permite a los fabricantes centrarse en la mejora continua de la calidad, que es esencial para garantizar la seguridad y la eficacia de los dispositivos médicos en todas las etapas del ciclo de vida del dispositivo.

Además, es primordial para los fabricantes e interesados de todo el ecosistema considerar la aplicación de los principios básicos del Instituto Nacional de Estándares y Tecnología (NIST) para mejorar la ciberseguridad de las infraestructuras críticas: identificar, proteger, detectar, responder y recuperar. Sólo a través de la aplicación de estos principios rectores, ejecutados junto con las mejores prácticas como la divulgación coordinada de vulnerabilidades, que nos permitirá navegar por este territorio desconocido de la evolución de los riesgos a la seguridad del dispositivo.

Esto claramente no es el fin de lo que la FDA hará para abordar la ciberseguridad. Seguiremos trabajando con todas las partes interesadas en la seguridad cibernética de los dispositivos médicos para supervisar, identificar y abordar las amenazas, y tenemos la intención de ajustar nuestra orientación o emitir nuevas directrices, según sea necesario.

Las conexiones digitales ofrecen gran innovación y la ciberseguridad de los dispositivos médicos debe mantenerse al mismo ritmo que esa innovación. Las mismas innovaciones y características que mejoran el cuidado de la salud pueden incrementar los riesgos de seguridad cibernética. Es por eso que necesitamos que todas las partes interesadas en el ecosistema de dispositivos médicos colaboren para abordar simultáneamente la innovación y la ciberseguridad. Hemos hecho grandes progresos, pero sabemos que las amenazas de seguridad cibernética son capaces de evolucionar al mismo ritmo que la innovación y, por lo tanto, hay que trabajar más….”

CONCLUSIONES:

  • Hasta acá tenemos dos visiones o percepciones, la de los que investigamos las brechas y problemas de seguridad, en este caso relativo a los dispositivos empleados en la salud y que muestra a las claras que más de 8.000 vulnerabilidades detectadas y probadas en dispositivos médicos, sin requerir “alta tecnología”, reviste un problema más que serio.
  • La de los reguladores, en este caso la FDA, que con las mejores intenciones, publica guías para poder seguir todo el ciclo de vida de un producto (dispositivo) desde su concepción o diseño hasta su producción y mantenimiento.
  • ¿Pero y que hay de las dos patas restantes?. Por un lado los pacientes, cobayos, que además de su dolencia tienen que preocuparse por si hay un riesgo adicional?,
  • Y por el otro los proveedores, los grandes jugadores y ganadores de este juego. No vemos o hemos visto mucho de ese lado…… Silencio de radio. La seguridad es un costo adicional en la fabricación de cualquier cosa, pero acá no estamos hablando que se corte un servicio de correo electrónico o que pierda datos de un disco, estamos hablando en término de vidas humanas.
  • Investigaremos a los proveedores y sus acciones y trataremos de mantenerlos informados.

Esperamos que estos artículos hayan despertado interés en uds. y descuenten que estamos para colaborar y responder todo aquello que esté a nuestro alcance.

Gracias.

 

 

You can follow any responses to this entry through the RSS 2.0 You can leave a response, or trackback.

Deja un comentario