Конгресс наконец-то услышал многолетние тревожные звоночки экспертов по кибербезопасности об уязвимостях медицинских устройств. На этой неделе сенаторы предложили новый законопроект, который потребует от Управления по санитарному надзору за качеством пищевых продуктов и медикаментов более регулярно выпускать руководящие принципы кибербезопасности и публиковать информацию об уязвимых устройствах на своем веб-сайте.
Законодательство, впервые опубликованное по CyberScoop, исходит от сенаторов Джеки Розена (D-Nev.) и Тодда Янга (R-Ind.). Законопроект поступил через несколько недель после того, как эксперт по кибербезопасности Джошуа Корман свидетельствовал перед комитетом Сената по уязвимости медицинских устройств для кибератак и через несколько месяцев после того, как в апреле руководители FDA обратились к Конгрессу с просьбой выделить агентству больше финансирования и полномочий в отношении кибербезопасности устройств.
Эксперты предупредили годами что медицинские устройства, подключенные к Интернету, являются основными целями для хакеров, и что отрасль здравоохранения не готова справиться с угрозой, которая подвергает опасности как данные пациентов, так и их здоровье. Все, от насосов для инфузий лекарств до больничных коек, может быть подключено к Интернету, что делает их открытыми для эксплуатации.
В настоящее время нет требований к тому, как часто FDA должно давать рекомендации о том, как производители медицинских устройств должны защищать свои устройства. Последнее руководство вышло в 2018 году. Агентство выпустило новый проект руководства в апреле этого года. Закон, предложенный Розеном и Янгом, потребует от FDA выпуска руководящих указаний каждые два года. Также потребуется, чтобы агентство размещало информацию о любых проблемах с устройствами на своем веб-сайте и предлагало поддержку медицинским работникам и компаниям в решении этих проблем.
Выпуск регулярных руководств для компаний, производящих медицинское оборудование, может гарантировать, что новые устройства, поступающие на рынок, будут более защищены от известных киберугроз. Но это не так сильно помогает с используемыми сегодня устройствами, которые не являются безопасными, и не помогает организациям здравоохранения следить за возникающими проблемами. Во многих организациях нет сотрудников, занимающихся кибербезопасностью, и им сложно даже следить за состоянием используемых ими устройств. Обновления на веб-сайте FDA могут сделать информацию более доступной.
Даже при такой динамике пробелы в кибербезопасности здравоохранения и медицинских устройств огромны. Атаки увеличиваются, и недостаточно организаций имеют ресурсы, предназначенные для их предотвращения. В своих показаниях в Сенате Корман сказал что он всегда думал, что кто-то должен умереть, прежде чем регулирующие органы примут меры в отношении кибербезопасности медицинских устройств. К счастью, по его словам, FDA начало работать над проблемой до того, как это произошло — агентство выдало первое предупреждение о конкретном устройстве. в 2015 году. И внимание к этой проблеме за последний год, поскольку кибератаки стали более серьезными и частыми, помогает продвигать изменения.
Но атаки продолжаются, у организаций по-прежнему нет ресурсов, чтобы их остановить, и потребуется гораздо больше усилий, чтобы усилить защиту. «Я беспокоюсь о кибербезопасности здравоохранения США больше, чем когда-либо», — Корман. сказал в своих письменных показаниях.