TLP: BRANCO Este relatório pode ser compartilhado sem restrições.
Os membros do Health-ISAC devem baixar a versão completa do relatório no Portal de Inteligência de Ameaças do Health-ISAC (HTIP)
Julgamentos Chave
Os dispositivos médicos passam por quatro fases do ciclo de vida, com diferentes níveis de responsabilidade atribuídos ao fabricante do dispositivo médico e à organização prestadora de serviços de saúde.
As organizações de prestação de serviços de saúde devem realizar avaliações de risco mais regulares no fim da vida útil e no fim do suporte para determinar se podem aceitar o risco do uso contínuo.
O fabricante implementa Categorias de Controle de Segurança na fase de desenvolvimento para garantir que o dispositivo seja Seguro por Design, Seguro por Padrão e Seguro por Demanda.
Documentação e Transparência são essenciais para manter a segurança cibernética. Isso inclui fornecer documentação de segurança detalhada, uma Lista de Materiais de Software (SBOM) e comunicação clara sobre vulnerabilidades e atualizações.
À medida que os dispositivos médicos se tornam mais interconectados e têm recursos de comunicação sem fio e pela Internet, entender os estágios do ciclo de vida e as tarefas necessárias para manter sua postura de segurança ajudará as organizações a proteger os dispositivos contra ameaças de segurança cibernética. O ciclo de vida do dispositivo são os vários estágios pelos quais um dispositivo passará, desde pesquisa e desenvolvimento, no mercado e, eventualmente, fim da vida útil e fim do suporte. À medida que os dispositivos médicos passam pelas fases do ciclo de vida, a responsabilidade pelas tarefas pode ser transferida entre os fabricantes e o cliente. A comunicação entre as duas partes é essencial à medida que o dispositivo passa pelo ciclo de vida para que as tarefas sejam coordenadas e as lacunas de segurança dentro do produto sejam reduzidas.
Este documento explora as tarefas necessárias para manter a resiliência cibernética de dispositivos médicos e como as responsabilidades podem mudar de parte para parte ao longo do produto total. A responsabilidade por manter a postura de segurança cibernética de um dispositivo médico evolui ao longo do ciclo de vida de um dispositivo. O processo começa com o fabricante do dispositivo durante a fase de design e desenvolvimento e pode mudar cada vez mais para a Organização de Prestação de Serviços de Saúde (HDO) uma vez em uso clínico. Os Princípios e Práticas do Fórum Internacional de Reguladores de Dispositivos Médicos (IMDRF) para a Segurança Cibernética de Dispositivos Médicos Legados descrevem quatro fases do ciclo de vida. A Food and Drug Administration (FDA) fornece requisitos para a segurança cibernética de dispositivos médicos nas orientações pré e pós-mercado. Os fabricantes podem abordar a segurança cibernética de um dispositivo durante o design e desenvolvimento usando os requisitos pré-mercado. Os requisitos pós-mercado são necessários devido aos riscos de segurança cibernética que continuam a evoluir após o dispositivo médico chegar ao mercado.
