p Eventos de cibersegurança, como o ataque de ransomware NotPetya de 2016, tendem a chegar em explosões de confusão e preocupação, mas o trabalho árduo de mitigar riscos de segurança cibernética em tecnologia de saúde está incorporado na rotina diária da indústria de tecnologia médica, insiders dizem. p A Food and Drug Administration exige que as empresas de dispositivos médicos planejem a segurança cibernética nos estágios iniciais de design, e monitorar novas vulnerabilidades muito depois de os dispositivos terem sido enviados aos clientes. Mas especialistas do setor dizem que as empresas são desiguais em suas habilidades e disposição para abordar o problema e falar sobre ele abertamente, o que pode atrapalhar o progresso.

p Agora, o grupo comercial de tecnologia médica com sede em Washington, AdvaMed, está criando uma nova ferramenta de comunicação para empresas de tecnologia médica, conhecida como "organização de análise e compartilhamento de informações, "ou ISAO (pronuncia-se" I-semear ") que permitirá que especialistas em tecnologia médica com mentalidade técnica troquem dicas e análises de problemas em andamento.

p Notícias da criação iminente do ISAO chegam enquanto o FDA está finalizando uma atualização de sua orientação de cinco anos sobre as coisas que os fabricantes de dispositivos precisam fazer na frente da segurança cibernética antes de pedir permissão para comercializar seus dispositivos nos EUA.

p Conhecida como orientação de envio "pré-mercado", o rascunho de 24 páginas das novas regras detalha tarefas e objetivos específicos, como trabalhar para prevenir o acesso não autorizado e proteger dados confidenciais. (Os comentários públicos sobre a orientação antes de sua finalização devem ser entregues na segunda-feira).

p "Esses documentos ... não apenas transmitem 'orientação' que um fabricante pode escolher seguir, "Zach Rothstein, vice-presidente de assuntos regulatórios e de tecnologia da AdvaMed, disse em uma teleconferência com repórteres na quinta-feira. “Um fabricante não pode escolher ignorar os documentos. O FDA provavelmente não revisaria o envio de pré-comercialização, ou na configuração pós-mercado, a FDA poderia tomar medidas de fiscalização. "

p Participar de um ISAO é uma forma de uma empresa de tecnologia médica mostrar aos reguladores e ao público que leva a sério a segurança cibernética.

p A orientação de segurança cibernética pós-mercado da FDA, promulgado em 2016, diz que os fabricantes devem corrigir vulnerabilidades não controladas de segurança cibernética o mais rápido possível, e relatá-los ao FDA. Contudo, se o fabricante corrigir o problema, divulga-o ao seu ISAO, e a vulnerabilidade não levou à morte ou sérios problemas de saúde, então a empresa pode evitar relatar o problema ao FDA, de acordo com as regras de 2016.

p Rothstein disse que o AdvaMed ISAO será como um fórum online regular, exceto que terá uma segurança forte e seus usuários ficarão restritos a especialistas em segurança cibernética que concordaram em não compartilhar informações confidenciais fora do fórum.

p O grupo ajudará especialistas a comparar notas em tempo real. Mas também terá uma função importante para empresas menores, que podem ter dificuldade em obter a competência em segurança cibernética de que precisam.

p "Provavelmente não é surpresa saber que quanto menor for a empresa de dispositivos médicos, mais difícil é para eles contratar, reter e pagar por experiência em segurança cibernética, "Rothstein disse." Parte do que estamos usando o ISAO para fazer é fornecer esse tipo de educação (para) nosso médio porte, empresas de menor porte. " p © 2019 Star Tribune (Minneapolis)
Distribuído pela Tribune Content Agency, LLC.