10 Ara

FDA  (Amerikan Gıda ve İlaç Dairesi/ U.S. Food and Drug Administration) piyasaya arz öncesi kılavuz taslağında yaptığı son güncelleme ile, artık üreticilerin cihazlarını piyasaya sunmadan önce bir “Siber Güvenlik Malzeme Listesi” hazırlamaları gerektiğini, ve bu listede muhtemel tehditlere ve risklere müsait olan cihaz parçalarının belirtilmesi gerektiğini açıkladı. Aynı zamanda FDA, DHS (U.S. Department of Homeland Security) ile yaptığı işbirliği ve yapılacak anlaşma ile yakın zamanda bu iki kurumun tıbbi cihazlardaki siber güvenliği sağlamak adına birlikte çalışacaklarını ve yeni bir yapı ve kılavuz yasa taslağı oluşturulacağını duyurdu. Uzmanlar, FDA ve DHS arasında oluşan işbirliğini ve siber güvenliğin bu şekilde gündeme getirilmesini olumlu bir gelişme olarak yorumlamaktadır.

FDA’in bu yeni “Piyasaya Arz Öncesi Kılavuz Taslağı”, 2014’te çıkarılan taslağı güncellemiş oldu ve 2016 Aralık ayında FDA tarafından çıkarılan “Pazarlama Sonrası Kılavuz” ise tıbbi cihaz üreticilerinin internete bağlı olan tıbbi cihazlarda siber güvenliği nasıl sağlayabileceğini açıkladı.

FDA Komisyon üyesi Scott Gottlieb, M.D. “Siber tehditlerin hızla gelişen etkileri yüzünden, şu anki tehdit durumuna en iyi uyum sürecini sağlayabilmeleri için, piyasaya arz öncesi kılavuz taslağının güncellendiğini ve bu taslak ile birlikte üreticilerin cihazları geliştirdikleri esnada, siber güvenliğe yönelik tehditleri engelleyici yöntemleri almalarını sağlayacağını” söyledi. Aynı zamanda “ Cihaz güvenliği için, cihazın yaşam döngüsü boyunca güvenlik sağlanmasına yönelik bir yaklaşım getirildiğini, ve böylelikle siber güvenlik tehditlerinin cihazın tasarım aşamasından piyasaya arz sürecine kadar gözetileceğini, ve bu şekilde cihazı kullanacak hastaların siber güvenlik tehditlerinden korunacaklarını” belirtti.

Kılavuz taslağında, siber güvenlik tehditleri ve alınabilecek önlemlere karşı güncellenmiş değerlendirmeler bulunmakta, bu değerlendirmeler; ürünün tasarımı, etiketlenmesi ve tıbbi cihazların piyasaya arz öncesi alması gereken onayın ve bunun belgelenmesi aşamalarında da siber güvenliğin ne şekilde yürütülmesi gerektiğini gözetmektedir.

Taslakta FDA, siber güvenlik risklerine yönelik iki aşamalı bir cihaz belirlemesi ve tanımlaması yapılmasını önermiştir. FDA bu aşamaları şu şekilde belirtmektedir:

Birinci aşama , “Yüksek Siber Güvenlik Riski” taşıyan cihazları içerecek ve bu cihazlar, başka tıbbi veya tıbbi olmayan cihazlara veya internete veya bir ağa, kablolu veya kablosuz şekilde bağlanabilenleri kapsayacak. Buna ek olarak, bu cihazlara karşı herhangi bir siber güvenlik tehdidi sonucu direkt olarak birden fazla hastanın etkilenmesi gerekmektedir. İlk aşamaya verilebilecek bazı örnekler; defibrilatör, geçici kalp pili, insülin pompaları gibi takılabilir kardiyak cihazları ve bu cihazlar ile bağlantılı yönetim ve kontrol mekanizmalarına sahip yazılımlar ve ev monitörleri gibi yardımcı sistemlerdir.

İkinci aşama ise, “Standart Siber Güvenlik Riskleri” taşıyan ve birinci aşamanın içerisine girmeyen tıbbi cihazları kapsamaktadır.

Cihazların, piyasaya arz öncesi hazırlanması gereken malzeme listesi içerisinde “Hastalar, tedarikçiler ve sağlık hizmeti sunacak kurumlar da dahil olmak üzere, cihaz kullanıcılarının varlıklarını iyi yürütebilmeleri, ve oluşabilecek risk ihtimalleri sonuçlarının cihaz ve yardımcı cihazlar üzerindeki etkilerini anlayabilecekleri ve bunun sonucunda cihazın performansı için gerekli önlemleri alabilmelerini sağlayacak; ticari, satışa hazır ve açık kaynaklı yazılım ve donanım listesini” barındıracaktır.

FDA ve DHS arasında olacak yeni anlaşma ise FDA’e göre, iki kurum arasında, tıbbi cihazların siber güvenliğinin sağlanması konusunda uzun ve güçlü bir ilişki oluşturacaktır. FDA bu yeni anlaşmanın amacını ise “İki kurum arasında bilgi paylaşımının sağlanarak, farkındalığın ve muhtemel tehditlerin tespit edilmesinin artışını sağlamak ve dolayısı ile sonrasında izlenecek yolun oluşturulmasında işbirliğini kuvvetlendirmek” olarak yorumlamaktadır. Sözleşme kapsamında DHS, tıbbi cihaz zafiyetlerini düzenleme kurumu olarak görev yapmaya devam edecek ve uygun hissedarlar ile bağlantı sağlayacak, tıbbi cihazlar için gerekli klinik ve teknik uzmanlık için FDA’e danışacaktır.

DHS’e bağlı NCCIC (National Cybersecurity and Communications Integration Center) ise tıbbi cihazlardaki siber güvenlik tehditleri ile ilgili, DHS tarafından belirlenmiş bir olay gerçekleştiğinde, tıbbi cihaz üreticileri, araştırmacılar ve FDA arasındaki bilgi paylaşımının sağlanmasını düzenlemeye devam edecektir.

FDA ise, DHS ile aralarında gerçekleşecek devamlı ve sadece bu konu için, acil durum düzenlemelerini içeren aramalara katılacak ve DHS’e hastaların sağlığına yönelik tehditler ve belirlenmiş muhtemel siber güvenlik tehditlerine yönelik tavsiye verecektir.

Uzmanlara göre bu iki kurumun birlikte çalışması tehditlerin tespiti ve sonrasında alınacak karşı önlemler ve risk planlaması için daha efektif ve sağlıklı sonuçlar doğuracaktır. DHS cihazlardaki tehditleri belirlemede FDA’den iyi iken, FDA bu cihazlarla ilgili bütün prosedürler hakkında bilgi sahibidir ve bu prosedürleri yönetmektedir. Bu şekilde birlikte çalışarak, kurumlar güçlü olduğu noktaları belirlemede ve işbirliği sağlamada, görev ve sorumluluklarının da belirli olmasından ötürü tüketiciler için daha düzgün ve güvenli cihazlar üretilmesini sağlayacaktır ve bunu planlamaktadır.

Tıbbi cihazların da nesnelerin internetinden (IoT) güçlü bir şekilde etkilendiği ve bu cihazların da siber saldırı sonucu mağduriyet yaşattığı günümüzde, FDA ve DHS’in bu şekilde bir birliktelik göstermesi, tıbbi cihazların siber güvenlik tehditlerinin ciddiye alınarak belli taslaklar hazırlanması, teknolojik gelişmelerle birlikte gelen güvenlik tedirginliğine biraz ışık tutacak gibi gözükmektedir.

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone