Cybersäkerhetshändelser som 2016 års NotPetya ransomware-attack tenderar att komma i skurar av förvirring och oro, men det hårda arbetet med att minska cybersäkerhetsrisker inom hälso- och sjukvårdsteknik är inbäddat i den medicintekniska industrins vardag, säger insiders.

Food and Drug Administration kräver att medicintekniska företag planerar för cybersäkerhet i de tidigaste stadierna av design, och för att övervaka nya sårbarheter långt efter att enheter har skickats till kunder. Men industrins insiders säger att företagen är ojämna i sin förmåga och vilja att ta itu med frågan och prata om det öppet, vilket kan hindra framsteg.

Nu skapar den Washington-baserade medicintekniska handelsgruppen AdvaMed ett nytt kommunikationsverktyg för medicinteknikföretag, känt som en "informationsdelnings- och analysorganisation, " eller ISAO (uttalas "I-sow") som gör det möjligt för tekniskt sinnade medicintekniska experter att byta tips och analysera pågående problem.

Nyheten om ISAO:s förestående skapelse kommer när FDA slutför en uppdatering av sin fem år gamla vägledning om de saker som enhetstillverkare måste göra på cybersäkerhetsfronten innan de ber om tillstånd att marknadsföra sina enheter i USA.

Känd som "premarket" inlämningsguiden, det 24-sidiga utkastet till de nya reglerna anger specifika uppgifter och mål, som att arbeta för att förhindra obehörig åtkomst och skydda känslig data. (Offentliga kommentarer om vägledningen innan den slutförs beror på måndag.)

"Dessa dokument ... förmedlar inte bara "vägledning" som en tillverkare kan välja att följa, "Zach Rothstein, vice VD för teknik och regulatoriska frågor på AdvaMed, sa i ett konferenssamtal med reportrar på torsdag. "En tillverkare kan inte välja att ignorera dokumenten. Om de skulle göra det, FDA skulle sannolikt inte granska inlämningen förmarknaden, eller i den eftermarknadsmässiga miljön FDA kan vidta verkställighetsåtgärder. "

Att delta i en ISAO är ett sätt som ett medicinteknikföretag kan visa tillsynsmyndigheter och allmänheten att de menar allvar med cybersäkerhet.

FDA:s riktlinjer för cybersäkerhet efter marknaden, antogs 2016, säger att tillverkare bör fixa okontrollerade cybersäkerhetssårbarheter så snabbt som möjligt, och rapportera dem till FDA. Dock, om tillverkaren åtgärdar problemet, avslöjar det för sin ISAO, och sårbarheten inte har lett till döden eller allvarliga hälsoproblem, då kan företaget undvika att rapportera problemet till FDA, enligt 2016 års regler.

Rothstein sa att AdvaMed ISAO kommer att vara som ett vanligt onlineforum, förutom att det kommer att ha stark säkerhet och dess användare kommer att vara begränsade till experter inom cybersäkerhet som har gått med på att inte dela konfidentiell information utanför forumet.

Gruppen kommer att hjälpa experter att jämföra anteckningar i realtid. Men det kommer också att fylla en viktig funktion för mindre företag som kan ha svårt att skaffa sig den cybersäkerhetskompetens de behöver.

"Det är nog ingen överraskning att höra att ju mindre med-device-företaget, desto svårare är det för dem att anställa, behålla och betala för cybersäkerhetsexpertis, ", sa Rothstein. "En del av det vi använder ISAO för att göra är att tillhandahålla den typen av utbildning (för) våra medelstora, mindre företag."

©2019 Star Tribune (Minneapolis)
Distribueras av Tribune Content Agency, LLC.